Ответ @Тинькофф на VC "мошенники заранее узнали информацию о карте для привязки к другому устройству"
21 212
просмотров
Отличается от ответа, который я сегодня получила по телефону (звонила Анастасия с номера 88007552550).
Звонившая сотрудница @Тинькофф сообщила, что банк все проверил и никакой ошибки быть не может! Операции производились моим мобильным устройством самсунг к которому была прикреплена карта и с моего IP адреса. Никаких других устройств не было и точка.
Ответить на вопрос «Как мое мобильное устройство могло быть одновременно и в Калининграде и в Ульяновске?» она ответить не смогла.
Поэтому я отправила следующий запрос
Возбуждено уголовное дело по ст. 158, ч.3, пункт «г»
Начало истории тут
Здравствуйте.
В звонке мы действительно ошиблись и дали неверную информацию. Вы спросили с какого устройства были совершены операции. Мы сообщили данные по входу в мобильное приложение, а не устройства, к которому привязана карта. Также ошибочно сказали, что вход в Тинькофф и оплата производилась с одного и того же устройства. После сказали, что уточним информацию и позже ответим на ваш вопрос. Пока этот момент мы еще проверяем.
Дополнительно вам отправили документ на e-mail о том, что система мониторинга сработала корректно и утечки информации не было.
Не слишком ли много ошибок в одном кейсе?
@Тинькофф как можно быть уверенным что нет такой же ошибки в системе мониторинга? Если вы ошиблись в звонке, и далее?
Так же есть множество примеров ошибок "двойников" - людей с совпадающими ФИО и датой рождения:
https://vc.ru/claim/183059-tinkoff-bank-otdal-moy-schet-drugomu-klientu
https://vc.ru/claim/220011-o-tom-kak-tinkoff-bank-schitaet-chto-dva-raznyh-cheloveka-eto-odno-celoe
https://vc.ru/claim/271553-tinkoff-bank-otkryl-dostup-k-moemu-lk-drugomu-cheloveku
При этом, судя по последним ответам, вы не сделали вывода - и продолжаете спрашивать только ФИО и Дату рождения для идентификации здесь на сайте.
А как выяснили - этого совсем не достаточно.
Т.е. вы публично продолжаете использовать ненадёжный механизм.
Как мы можем быть уверенны, при этом, что система мониторинга надёжна? Ошибки в других частях случаются регулярно, но ни разу не случаются в системе мониторинга?
Тинькофф, ты охренел уже в край. Пора закрывать карты, ты нихрена не можешь и не будешь сохранять мои деньги. Ни мои, ни свои судя по всему, плевать ты хотел на своих клиентов.
У тинька всегда позиция "украли не у нас, а у клиента, а клиент сам виноват". Вместо безопасности в тиньке дырявое решето. Один только случай, где клиент делают qr код, отменяет и отправляет его, а мошенники снимают деньги по этому коду, который отменён и не может работать говорит о том, что там одни дыры
Комментарий недоступен
да закрывай уже, ЗАКРЫВАЙ )
Тинек, ответь пожалуйста, как одно устройство может быть в двух городах одновременно? Вот без этой чушни, что у вас там ошибок нет и всё такое. Как одно устройство одновременно в двух городах?
Да вряд ли они видят второе устройство) У них видно как я понимаю если в банкинг заходишь. А тут видимо было устройство с привязанной к NFC оплатой (не важно gpay/spay/apay или вообще кошелёк pay) но без лк. Был бы лк - вряд ли бы стали вообще возиться с банкоматом или покупками оффлайновыми. Слишком большой риск. Хотя банкомат без пин-кода все равно остаётся загадкой. Неужели видеозаписей нет?
Да в натуре присоединяюсь к вашему вопросу либо сотрудник некомпетентный сама не поняла что сказала) =😎 😀
С подменой оно может быть хоть в пяти городах одновременно.
Так оно не одновременно же
Не могу отделаться от чувства, что Тинькофф банк сдулся сразу же как только Рокетбанк, на который они равнялись и держал их в тонусе вышел из игры.
Это прям видно по характеру публикаций на VC, с рокетом и после.
Рокетбанк? сириосли?
Я там три года копил кешбек, потому что вывести можно было только от 3000 рокетрублей (если не покупать их сраную толстовку)
Так, стало ссыкотно да свои бабки в тиньке
У меня всегда такое мнение было. И к альфу. Стороной обхожу эти два банка
А вы не ссыте, а развивайте критическое мышление. Сколько лет пользуетесь и сколько раз у вас крали бабки?
Удачи в суде
@Тинькофф Недавно у вас завел карты tinkoff junior и black, жалею о своем поступке, в топку их однозначно
Держу кулачки, что бы ТС вернули её деньги. Тинька я смотрю, совсем от рук отбилась.
Благодарю!
Буду держать в курсе развития событий
Приветствуем! Мы сообщили вам верную информацию. Работу с сотрудником проведем, спасибо за сигнал.
Которая информация верная?
@Тинькофф будьте добры, расскажите как возможно зная заранее данные карты привязать ее к мобильному телефону для оплаты оффлайн?
Комментарий недоступен
Полиция рассматривает дело от суммы украденного!! В Москве это 50 000,в регионах от 25 000.Так что надеюсь автор "начнёт" этот Говнобанк и заставит выполнить свои требования!! Как бывший пользователь не советую эту шарагу!!
Есть 2 негативных аспекта, которые выяснились в комментариях к прошлой теме. Автор не обновляет приложения и на смартфон давно не приходят патчи безопасности Google.
И поэтому он заслуживает того, чтобы у него украли все деньги? Прикол в том, что его не спасет тогда даже отсутствие приложения банка на телефоне.
Смартфон у автора прошлогодний, старая система и старое ПО (древняя пиратка фотошоп) на компе.
Самое плохое что она пользовалось ещё и интернет банком через комп а это ещё опаснее чем пользоваться им на телефоне !!!
Автор, а расшифровку приведенных банком служебных сообщений вы получили ? Что это, если авторизация покупок, то это не интересно, вам нужен момент привязки чего-то там к вашей карте.
Вы упоминали, что перед взломом вам позвонили, вы взяли трубку, видимо это - снятие трубки и является неким моментом, когда злоумышленники получили некий идентификатор вашего обмена с серверами банка. Иначе нет смысла привлекать к себе внимание. А далее вы сказали, что был вал сообщений, это вы ведь про push сообщения говорили ? Возможно, что здесь уже расчет был на пропуск вами одного важного уведомления о привязке. Вот этот мешок пуш сообщений и надо запросить у банка, т.к. по странному стечению обстоятельств, они не сохраняются на устройстве пользователя, видимо, чтобы ему никогда не докопаться до истины в таких вот случаях. Это еще не дыра в безопасности, но как минимум козырь в руках банка, пользователь ничего не сможет доказать не имея этих сообщений. И поискать в этом мусоре важное сообщение о привязке.
После вашего пересказа произошедшего я долго думал, как это технически может происходить и пришел к выводу, что звонок играет ключевую роль в этом процессе. Т.к. и звонки и пуш сообщения идут у оператора в виде пакетов данных. Получив идентификатор из звонка, далее, на основе фильтра из этого идентификатора, перехватывается пуш сообщение с кодом привязки. Естественно для этого нужен физический доступ к трафику вашего звонка и пуш сообщения. Но изюминка в том, что доступ нужен на границе сети, там, где сотовый оператор уже почти ничего не защищает, т.е. доступ может бвть у широкого круга лиц. Плюс сейчас весь трафик активно прослушивается госорганами и их всевозможными субподрядчиками, т.к. сами госорганы только бумажную работу проводят, ничего не стоит перехватить ваш трафик на таких точках.
Господи, что за чушь вы тут понаписали...
Автор вообще странными вещами занимается, запрашивает IP/MAC которые меняются за минуту, по MAC так вообще ничего не установить.
Ну получит она IP из какой-нибудь республики Конго, это лишь подтвердит факт мошенничества но ни денег, ничего она не увидит уже.
Все да, но это подтвердит, что у автора дыра в телефоне через которую ушли данные. А это не косяк банка.
Но если со счета клиента были снятия/платежи с разных устройств и в очень удаленных регионах в короткий срок, то вот это уже косяк банка.
пуши хранится на андроиде.
activity launcher > лупа вверху > журнал уведомлений
добавлю, что авторка еще могла быть подключена к общедоступной фай-вай сети и оттуда зайти в банковское приложение, например
У меня не пуш шли, а смс с разных сайтов и звонки с разных номеров.
Теория с переватом данных интересная, но вряд ли точечно будет направлена на меня
В любом случае утечка персональных данных должн быть чтобы возник интерес долбить конкретного человека...
Есть приложения, которые все пуши сохраняют. На тот случай если случайно что т важное закроешь. Или в том же ватс ап написал кто то сообщение и удалил, а там все осталось)
Кто ещё сомневается в тинькове, расскажу мои истории(Наперёд скажу, что никогда не являлся и не буду их клиентом):
1. Они оформили на меня кредитную карту, обошли присланную мне смс в 5 утра, когда я спал. Для тех, кто параонит, то я при каждом звонке им говорил, что мне их всратый банк не нужен, при этом говорили, что это я решил в 5 утра карту оформить.
2. Их оператор, предлагая мне карту, без подтверждения моей личности выдала всю мою паспортную инфу
Жаль, что мы не на загнивающем западе, иначе быть мне миллионером через суды и статью ФЗ 152.
А так, итог на заметку другим людям - я позвонил в банк и отозвал обработку моих персональных данных. Я скептически относился к подобному, потому что раньше надо было пройти 7 кругов бюрократии для этого. Но алилуя, 21 век приходит и можно сделать по звонку в банк.
Уже полгода никто оттуда не беспокоит. Тишина.
Комментарий недоступен
Те методы которыми украли бабки - безотзывные. Банкомат так и вовсе требует пин. Непонятно почему челиков которые накормили банкомат билетами банка приколов нашли за день (не у Тинька случай), а тут не могут. Хотя сумма конечно меньше.
Тинькоф вообще нерекомендую
На проекте с 12 фев 2022
Тенькофф никогда не мог обеспечить безопасность своим клиентам! При любой возможности они всегда винят клиентов банка! Лишить лицензии этот Банк!
Вообще история интересная. Интересно было бы прослушать разговор оператора с мошенниками, при котором было изменено мобильное устройство. Паспортные данные раздобыть не поблема, мы сами их предоставляем десяткам лиц: в поликлинике, в стоматологии, работодателям, даже потенциальным для проверки их СБ, да даже тем же банкам сами даём их. А пароль к аккаунту откуда у мошенников? Или они попросили его обнулить, а оператор так и сделал? А кодовое слово? Или Тинькофф, которого уже с дерьмом смешали за его неиспользование при таких операциях, все также игнорирует элементарную проверку? По-моему, нужно привлекать адвоката, чтобы тот официально запросил копию записи разговора. При подозрительной благожелательности и готовности услужить вопреки здравому смыслу (да даже если кодовое слово не запросил) со стороны оператора или при отсутствии записи подавать в суд с иском о полном возмещении. Попытка не пытка.
Любые смс-ки ходят через шлюзы, нету технической возможности отправить смс в обход. Любая компания которая их шлёт использует шлюзы.
Из этого вытекает тот факт что оператор шлюза имеет доступ к содержимому, хорошо если это непосредственно оператор, но часто третья организация. Отсюда и "у меня новый телефон, оставлял только в вашем банке, но уже спамят кредитами все другие, почему вы сливаете мои данные"...никто в здравом уме не будет из банков сливать ваши данные (кроме личной выгоды какого-либо сотрудника), все это обрабатывается на шлюзе а потом продается как тематическая рассылка за деньги.
Собственно вполне возможен и перехват кода прикрепления карты на стороне шлюза.
Войти в лк можно по номеру карты вместо пароля. А кодовое слово по степени защиты не сильно от паспортных данных отличается.
Удачи вам в решении данного спора
Благодарю! Мне хотя бы правду узнать.
Судя по ответам поддержки, профанов там как грязи
либо тот, кому плевать на деньги клиентаБинго,это как раз Тинькофф банк, ему плевать. Он всегда занимает позицию "клиент сам лох"
Тинькофф в последнее время такой днище стал(
Комментарий недоступен
А насколько вообще реальна малварь, которая прямо дыры Андроида эксплуатирует ради мелочи? Кажется большая часть того, что светится — просто социнжинерия в другом формате.
Если уж рассуждать про возможную вину пользователя, то я бы скорее поверил что она сама все слила мошенникам.
После такого и доверяй банкам свои деньги(
🙀Божечки, что вы несёте?!
СБ - скорее всего уже нашла всех причастных, но это внутренняя кухня и репутация, о которой вам знать не положено.
Используйте нал и добудет с вами счастья! 🤘
уже возбуждено дело или только написано заявление?)
Заявление написано 02.02
Дело возбуждено
А каким был интервал между тратами в калининграде и в Ульяновске?
если говорить именно о тратах, то в 9 утра я оплачивала проезд в Калининграде
а в Ульяновке покупка в 7 вечера
расстояние 2500км + 2 границы
Да уж. Не нужно вводить данные от карт на ненадежных сайтах. Пользуюсь Тинькофф с самого основания и не разу не было проблем.
В России две проблемы, дураки и дороги.
очень жаль, что всё в конце концов дошло до этого.. думала, это может разрешится чуть мирно.
в любом случае, удачи.
Благодарю
Как же сильно я ошибался с этим банком
Ну мое мнение, с учетом пуш и смс (а если еще идут и звонки/смс спамом чтоб вы ниче увидеть не смогли, тут ваще 100%), в 99% случаях это заражение телефона.
Сколько угодно можно говорить про "проверял, ниче не нашел" - это вобще ниче не значит, к андройду - так как там открытый код тупо относится да больше, чем к ИОСу, но есть у обоих.
А все эти басни про дубликаты симок, а тем более перехват - это ваще уже фантастика, я уж молчу что суммы просто не те, для тех кто такое в теории смог бы. Слив банка - 0.00001%, ниче у них нету там, у поддержки, а паспортные данные и так, как уже говорили найти не сложно.
Прочитайте и подавайте в суд на Тинькофф - полиция ничего не найдёт и ничего не вернёт (им искренне пох на вас)
https://vc.ru/finance/325093-esli-moshenniki-ukrali-dengi-s-bankovskoy-karty-ne-speshite-v-policiyu
Кто следит за ситуацией после 1 статьи?
Были аргументы от сторон по итогу или нет?
В данной статье только путаница в банке, вроде же определили, что списывались в другом городе и с другого устройства, разве нет?
у них во всем путаница. Два сотрудника поддержки говорят одно, получается наоборот. В итоге мнение третьего противоречит словам первых двух, и оно сука единственно верное оказывается типа!
Так, чо тут? Опять куча соплей и ни единой претензии, да еще и номер КУСП на руках?
И номер КУПС и номер уголовного дела есть
Честно говоря, полгода назад думал переходить в тиньков, но чет на vc.ru если и творится какая-то жесть, то это точно с банком тиньков
Комментарий недоступен
Все просто - тиньков не ищет мошенников потому, что он сам - мошенник. И любит называть мошенниками других
А что есть «токены»? Может кто-нибудь рассказать пожалуйста?
Если речь конкретно про NFC оплату - то токены это сгенерированный последовательности которые хранятся в телефоне для проведения оплаты грубо говоря. Введены для того чтобы не хранить данные карты в открытом виде и не передавать при оплате. А в целом упрощённо понятие - штука для авторизации без передачи чувствительных данных
Когда привязываешь карту к Apple/Google/Samsung и прочим Pay на стороне банка генерируется так называемый токен, который по сути является электронной картой с другим номером. Но этот токен оказывается связанным с твоей основной картой. Это делается для того, чтобы их можно было блокировать по отдельности. Да и вообще, по стандартам невозможно создать копию карты, поэтому выпускается этот самый токен
что за смс вам приходили? есть такие фишинговые схемы бомбардировками смс. и что за звонки вы не рассказали. кстати у всех банкоматов есть камеры, во всех тц где с вашей карты что-то купили есть камеры. ну и да, с банком надо разбираться юридически.
Коды доступа к разным сайтам, которыми я никогда не пользовалась
Комментарий удален модератором
Согласен
Комментарий удален модератором
эта такая подлость!! как просто можно быть такими людьми, красть что-то..
невежды.
Наверное чем банк менее технологичнее, тем он безопаснее. Кто там сейчас на самом дне?...
Нал прошлый век, как не крути. Если жизнь не работа, пятерочка, дом без карт анриал. Это отели, самолеты, да что обяснять, у меня тут за эл-во выходило 40к в мес (не майнинг), ну не готов я жить вскрывая матрац, в очередь и там платить. Кто говорит, что нал круто - просто нет денег.
а еще в очереди будут обсуждать что так много за электрику, наверное "бандит" :))
п.с.: так же считаю нал прошлым веком, ну насколько же удобнее платить картой или телефоном, чем тягать бумажки в кармане ;)
Не в оправдание банка, но сколько читаю постов, то клиент пишет что его не оповещали, а оказалось что он игнорирует сообщения/пуши, то меняют/теряют почту/телефон и забывают сообщить в банк, то хотят возврат средств за ставки у букмекера.
Моя жалоба на велобанк сейчас в роспотребе по разглашению ПД . В начале марта что-то может уже скажут
У тинька дыра в безопасности! В какой то момент мне стали названивать и спрашивать брал ли я кредит.потом пришла смс с кодом от Тинькофф. Судя по всему кто то пытался получить доступ к личному кабинету. Я сразу написал в чат и спросил - ваши звонили насчёт кредита?? Ответили нет написал про смс. Спросили про номера с которых звонили, и время. Потом перевыпустили карту. Но самое главное- я стал спрашивать зачем код был из смс, что пытались сделать. Не ответили, но рассказали что моя карта была привязана к Эппл пей пару дней назад. Только один момент - у меня андроид.. никаких смс по поводу привязки мне не приходило! Начал выяснять, оператор сказал что это сделал я ! Теперь думаю что делать дальше, у меня на тиньке брокерский счёт. И как брокер он меня устраивает.
Здравствуйте. Пожалуйста, напишите ваши ФИО и дату рождения в ЛС, проверим наши консультации.
Для тинька держу отдельный телефон, ничего туда не ставлю принципиально.
Комментарий недоступен
Не держать свои деньги в 🏦 но как вариант иметь часть средств в онлайн а часть налиликом!¡!
Для оборота очень удобно нал действительно всегда выручает убедился в этом на 100% особенно в случае сбоев системы и 🗺 с например вариант с отключением от SWIFT но у нас придумали национальную платёжную систему МИР 🗺 на этот случай отключения а под этой системой такие гиганты как Visa и MasterCard в тч с привелегиями и для держателя!
Вывод