Как мошенники сняли деньги и почему банк Тинькофф не отреагировал?
02.02.2022 года в 17-35 поступил звонок с номера 900 (согласно детализации звонили +79777578648 ) пытались предложить кредит, я отказалась и положила трубку.
В 18-41 началась СМС- атака бомбером и посыпались звонки с разных номеров.
В 19-44 начались списания с карты Банка Тинькофф при этом СМС оповещения не приходили. Заметила происходящее по пуш уведомлению в 19-46. При попытки зайти в приложение оно зависло на входе. Карта была рядом, поэтому уже в 19:47 я позвонила на горячую линию, чтобы заблокировать карту.
Как оказалось с моей карты была совершена покупка в магазине Лента в город Ульяновск, и 3 операции по снятию наличных денежных средств в банкомате Тинькофф, на общую сумму 71000. А я при этом нахожусь в Калининграде!
У меня есть два вопроса.
1.Как такое могло произойти? Карта всегда находилась дома и пользовалась я ей только с помощью гугл пей. В банкомат вставляла 5-6 раз для пополнения, в остальных случаях пополняла с карты сбер. Данные карты я никогда никому не сообщала. Несколько раз мне переводили на нее деньги только по номеру телефона. Покупки в интернете делала не часто и только на проверенных сайтах типа Озон и Валберис. По посторонним ссылкам не переходила. Вирусов нет ни на компьютере, ни на телефоне. Посторонних устройств подключенных или подключавшихся ранее по гугл истории нет. Т.е. мной были соблюдены все меры безопасности!
В своем комментарии Банк Тинькофф предположил что мошенники использовали дубликат сим карты, однако я позвонила своему оператору и мне сказали что последний перевыпуск был в 2017 году.
2. Почему банк не приостановил операции самостоятельно? Руководствуясь п.3 Приказа Банка России от 27 сентября 2018 года № ОД-2525 на лицо признаки осуществления перевода денежных средств без согласия клиента, а именно несоответствие характера и места осуществления операции, а также частота осуществления операций.
За весь период использования карты я ни разу не снимала с нее деньги в банкомате, тем более в другом регионе. Утром того же дня мной был оплачен проезд в Калининграде. А вечером операции в другом месте.
Мы активно боремся с мошенниками, но они сейчас особенно активизировались. Полагаем, что мошенники могли заранее узнать всю информацию о карте для привязки ее к другому мобильному устройству. С нашей стороны утечка исключена, система мониторинга сработала правильно, ошибок в работе системы не обнаружили.
Когда вы обратились, мы сразу заблокировали карту, удалили токены, с которых проходят списания по бесконтактной оплате, и предложили перевыпуск.
Мы не можем вернуть деньги, потому что операции совершены по токену, а по договору такие операции оспорить не получится. Рекомендуем обратиться в правоохранительные органы. Со своей стороны готовы помогать в расследовании.
Очередная позорная отписка – мы ни в чем не виноваты, клиент сам дурак. Я сам пользуюсь продуктами банка Тинькофф, но с такой дырой в безопасности, как у вас, зарекся держать у вас больше 10 тысяч рублей на счетах. Только на VC я с десяток раз натыкался на истории о кражах с карт Тинькофф, и во всех случаях вы вините клиента, ни разу у вас не было утечек, ни разу никто из сотрудников не накосячил, ни разу служба безопасности не проспала очередной факт мошенничества. Нет вам веры.
Вчера лишили денег товарища. Он был дома, сладко спал. Какой то выродок снял 150 000 в соседнем городе. Банк Тинькофф дважды осекся в показаниях, сначала говорили, что сняли пластиковой картой, однако у клиента она железная!!!!
Видимо некто взломал приложение, отключил уведомления, хотя они были включены, узнал мин код и снял деньги. Он их снял реальной картой, дубликатов, который выпущен вместе с основной. Поэтому этот банк и упрямо гонит что деньги не вернет, что нужно идти в МВД, прекрасно зная, что там никто не станет работать, и здаст в архив.
Правильно ли я понимаю, что чтобы привязать карту Тинькофф к другому мобильному устройству (добавив в Google или Apple pay) не нужно подтверждения смской? Достаточно знать данные карты?
Приветствуем. Карту можно добавить в google/apple pay с мобильного приложения, без подтверждения СМС. Но если мы говорим о ситуации, которую вы написали выше, то нет. Если у человека будут реквизиты карты и не будет доступа в мобильное приложение, он не сможем привязать ее, так как потребуется СМС подтверждение.
Как же тогда "мошенники могли заранее узнать всю информацию о карте для привязки ее к другому мобильному устройству", если помимо этого нужно или получить доступ в мобильное приложение или СМС подтверждение? Что было у мошенников в данном случае?
@tinkoff прокомментируйте, пожалуйста вопрос про СМС и мобильное приложение. Всем пользователям Вашего банка важно знать. И вообще, что нужно было сделать, чтобы такой ситуации не случилось.
Мы не знаем откуда у мошенников появилась эта информация. При каждой активации карты в Google Pay или Apple Pay, мы запрашиваем СМС-код для ее привязки.
Не рекомендуем сообщать кому-либо данные своих карт.
@tinkoff Скажите, если ставить запрет на интернет платежи, защитит именно в этой сиутации? Чисто технически, это сработает? Или может произойти всё тоже самое, даже если стоит запрет на интернет-платежи.
если операцию засчитаем, как "онлайн платеж", тогда защитит.
@tinkoff т.е. вы не знаете, что автор, перед тем как это всё случилось, мог сделать, чтобы ситуация не произошла? Получается, что отключение интернет-платежей и платеж только картой (без привязки телефона) также не может гарантировать таких проблем. Печально :(
мы не можем комментировать действия автора.
Советуем придерживаться наших рекомендаций, чтобы не попадать в подобные ситуации.
Текущие рекомендации не помогают не попадать в такие ситуации. Что мне, как и многим другим Вашим клиентам, сделать, чтобы ровно этот сценарий не повторился? Отключить интернет платежи? Или что-то еще можно? Страховка банковских карт в этом случае сработала бы? Напишите нормально-то. @tinkoff Это реально интересно. Никто не хочет попадать в такие ситуации. Или укажите точно, какая из ваших рекомендаций в этой ситуации была нарушена.
Наши основные рекомендации: не сообщать никому данные своих карт, вводить их только на проверенных сайтах и таким, которым вы доверяете, не привязывать карты к устройствам, к которым у вас нет доступа и другие меры безопасности.
Можно отключить интернет-платежи, установить лимит на операции по карте, а также подключить страховку карт.
Мы не знаем какую именно рекомендацию нарушил автор поста, но можем повторить, что утечек с нашей стороны быть не может.
А можете понятнее написать. Карта была добавлена в Google Pay или Apple Pay? Те кто добавляли, ввели код из смс или нет? У вас должна быть такая информация в логах. И она явно не попадает под какую то тайну.
И если это не персональная информация, то во сколько была добавлена карта на новое устройство?
Информация конфиденциальная и мы не можем писать ее публично.
А сам факт, введён был код из смс или нет? Это важно для понимания о том, как обеспечить свою безопасность.
Когда у вас будут дополнительные 2fa средства кроме смс?
Без кода из смс карту привязать нельзя.
Мне смс код не приходил о том что карта была привязана к другому устройству
Если привязывать карту по реквизитам, то без кода это сделать нельзя. Но если делать это напрямую из мобильного приложения, код не требуется.
Ок. Но доступа к личному кабинету у похитителей не было
Ибо, если бы он был, то они бы сняли все деньги разом, а не пошли бы покупать чайник
@Евгения, можете напрямую спросить, с каких ip-адресов был выполнен вход в мобильное приложение (либо веб-версию) в тот день? Станет понятно, был доступ к нему или нет.
Я вчера написала письмо в банк @Тинькофф
И менялся ли пин код в тот день? Банк может это сказать Вам?
Комментарий недоступен
@Евгения в выписке от мобильного оператора есть СМС с кодом для привязки карты к Google Pay или Apple Pay?
@сбербанк @альфабанк что бы вы делали в такой ситуации? Вернули бы средства?
Они бы вообще не ответили.
Комментарий недоступен
Нравится мне ваше "исключено". У человека сволочи в день привоза новой карты отключили уведомления. Через неделю, узнав о крупном пополнении украли деньги. И все "исключено"!!!!! Этот человек работает в тк Садовод, сейчас там все на ушах, деньги снимают, переводят в другие банки.
Звонят клиентам чтобы себя обезопасить. Разумеется из Тинькофф инвестиции тоже немало побегут
Она легализована законами о передаче персональных данных. Вы без раздумий их бросаете в ГУ, ФНС, РКН, ФСБ и прочим структурам, которые крайне халатно обращаются с ними. Всем плевать, вот и все))) Плохо, то что потребитель не может с вас "три шкуры содрать" за такие оплошности, но надеюсь времена изменятся и банк будет в слезах..
Ведь банк должен по простой логике защищать средства и интересы клиента, а не государства, структур и законы. За это он и берет деньги, комиссии и клиенты несут бабки, по той же логике. При Олеге было как-то более сносно и работало, а при новых владельцах явно разваливают всё...