02.02.2022 года в 17-35 поступил звонок с номера 900 (согласно детализации звонили +79777578648 ) пытались предложить кредит, я отказалась и положила трубку.
В 18-41 началась СМС- атака бомбером и посыпались звонки с разных номеров.
В 19-44 начались списания с карты Банка Тинькофф при этом СМС оповещения не приходили. Заметила происходящее по пуш уведомлению в 19-46. При попытки зайти в приложение оно зависло на входе. Карта была рядом, поэтому уже в 19:47 я позвонила на горячую линию, чтобы заблокировать карту.
Как оказалось с моей карты была совершена покупка в магазине Лента в город Ульяновск, и 3 операции по снятию наличных денежных средств в банкомате Тинькофф, на общую сумму 71000. А я при этом нахожусь в Калининграде!
У меня есть два вопроса.
1.Как такое могло произойти? Карта всегда находилась дома и пользовалась я ей только с помощью гугл пей. В банкомат вставляла 5-6 раз для пополнения, в остальных случаях пополняла с карты сбер. Данные карты я никогда никому не сообщала. Несколько раз мне переводили на нее деньги только по номеру телефона. Покупки в интернете делала не часто и только на проверенных сайтах типа Озон и Валберис. По посторонним ссылкам не переходила. Вирусов нет ни на компьютере, ни на телефоне. Посторонних устройств подключенных или подключавшихся ранее по гугл истории нет. Т.е. мной были соблюдены все меры безопасности!
В своем комментарии Банк Тинькофф предположил что мошенники использовали дубликат сим карты, однако я позвонила своему оператору и мне сказали что последний перевыпуск был в 2017 году.
2. Почему банк не приостановил операции самостоятельно? Руководствуясь п.3 Приказа Банка России от 27 сентября 2018 года № ОД-2525 на лицо признаки осуществления перевода денежных средств без согласия клиента, а именно несоответствие характера и места осуществления операции, а также частота осуществления операций.
За весь период использования карты я ни разу не снимала с нее деньги в банкомате, тем более в другом регионе. Утром того же дня мной был оплачен проезд в Калининграде. А вечером операции в другом месте.
Мы активно боремся с мошенниками, но они сейчас особенно активизировались. Полагаем, что мошенники могли заранее узнать всю информацию о карте для привязки ее к другому мобильному устройству. С нашей стороны утечка исключена, система мониторинга сработала правильно, ошибок в работе системы не обнаружили.
Когда вы обратились, мы сразу заблокировали карту, удалили токены, с которых проходят списания по бесконтактной оплате, и предложили перевыпуск.
Мы не можем вернуть деньги, потому что операции совершены по токену, а по договору такие операции оспорить не получится. Рекомендуем обратиться в правоохранительные органы. Со своей стороны готовы помогать в расследовании.
Правильно ли я понимаю, что чтобы привязать карту Тинькофф к другому мобильному устройству (добавив в Google или Apple pay) не нужно подтверждения смской? Достаточно знать данные карты?
Приветствуем. Карту можно добавить в google/apple pay с мобильного приложения, без подтверждения СМС. Но если мы говорим о ситуации, которую вы написали выше, то нет. Если у человека будут реквизиты карты и не будет доступа в мобильное приложение, он не сможем привязать ее, так как потребуется СМС подтверждение.
Как же тогда "мошенники могли заранее узнать всю информацию о карте для привязки ее к другому мобильному устройству", если помимо этого нужно или получить доступ в мобильное приложение или СМС подтверждение? Что было у мошенников в данном случае?
@tinkoff прокомментируйте, пожалуйста вопрос про СМС и мобильное приложение. Всем пользователям Вашего банка важно знать. И вообще, что нужно было сделать, чтобы такой ситуации не случилось.
Мы не знаем откуда у мошенников появилась эта информация. При каждой активации карты в Google Pay или Apple Pay, мы запрашиваем СМС-код для ее привязки.
Не рекомендуем сообщать кому-либо данные своих карт.
@tinkoff Скажите, если ставить запрет на интернет платежи, защитит именно в этой сиутации? Чисто технически, это сработает? Или может произойти всё тоже самое, даже если стоит запрет на интернет-платежи.
если операцию засчитаем, как "онлайн платеж", тогда защитит.
@tinkoff т.е. вы не знаете, что автор, перед тем как это всё случилось, мог сделать, чтобы ситуация не произошла? Получается, что отключение интернет-платежей и платеж только картой (без привязки телефона) также не может гарантировать таких проблем. Печально :(
мы не можем комментировать действия автора.
Советуем придерживаться наших рекомендаций, чтобы не попадать в подобные ситуации.
Текущие рекомендации не помогают не попадать в такие ситуации. Что мне, как и многим другим Вашим клиентам, сделать, чтобы ровно этот сценарий не повторился? Отключить интернет платежи? Или что-то еще можно? Страховка банковских карт в этом случае сработала бы? Напишите нормально-то. @tinkoff Это реально интересно. Никто не хочет попадать в такие ситуации. Или укажите точно, какая из ваших рекомендаций в этой ситуации была нарушена.
Наши основные рекомендации: не сообщать никому данные своих карт, вводить их только на проверенных сайтах и таким, которым вы доверяете, не привязывать карты к устройствам, к которым у вас нет доступа и другие меры безопасности.
Можно отключить интернет-платежи, установить лимит на операции по карте, а также подключить страховку карт.
Мы не знаем какую именно рекомендацию нарушил автор поста, но можем повторить, что утечек с нашей стороны быть не может.
А можете понятнее написать. Карта была добавлена в Google Pay или Apple Pay? Те кто добавляли, ввели код из смс или нет? У вас должна быть такая информация в логах. И она явно не попадает под какую то тайну.
И если это не персональная информация, то во сколько была добавлена карта на новое устройство?
Информация конфиденциальная и мы не можем писать ее публично.
А сам факт, введён был код из смс или нет? Это важно для понимания о том, как обеспечить свою безопасность.
Когда у вас будут дополнительные 2fa средства кроме смс?
Без кода из смс карту привязать нельзя.
Мне смс код не приходил о том что карта была привязана к другому устройству
Если привязывать карту по реквизитам, то без кода это сделать нельзя. Но если делать это напрямую из мобильного приложения, код не требуется.
Ок. Но доступа к личному кабинету у похитителей не было
Ибо, если бы он был, то они бы сняли все деньги разом, а не пошли бы покупать чайник
@Евгения, можете напрямую спросить, с каких ip-адресов был выполнен вход в мобильное приложение (либо веб-версию) в тот день? Станет понятно, был доступ к нему или нет.
Я вчера написала письмо в банк @Тинькофф
И менялся ли пин код в тот день? Банк может это сказать Вам?
Комментарий недоступен
@Евгения в выписке от мобильного оператора есть СМС с кодом для привязки карты к Google Pay или Apple Pay?