Ответ @Тинькофф на VC "мошенники заранее узнали информацию о карте для привязки к другому устройству"
Отличается от ответа, который я сегодня получила по телефону (звонила Анастасия с номера 88007552550).
Звонившая сотрудница @Тинькофф сообщила, что банк все проверил и никакой ошибки быть не может! Операции производились моим мобильным устройством самсунг к которому была прикреплена карта и с моего IP адреса. Никаких других устройств не было и точка.
Ответить на вопрос «Как мое мобильное устройство могло быть одновременно и в Калининграде и в Ульяновске?» она ответить не смогла.
Поэтому я отправила следующий запрос
Возбуждено уголовное дело по ст. 158, ч.3, пункт «г»
Начало истории тут
24
показа
21K
открытий
1
репост
Автор, а расшифровку приведенных банком служебных сообщений вы получили ? Что это, если авторизация покупок, то это не интересно, вам нужен момент привязки чего-то там к вашей карте.
Вы упоминали, что перед взломом вам позвонили, вы взяли трубку, видимо это - снятие трубки и является неким моментом, когда злоумышленники получили некий идентификатор вашего обмена с серверами банка. Иначе нет смысла привлекать к себе внимание. А далее вы сказали, что был вал сообщений, это вы ведь про push сообщения говорили ? Возможно, что здесь уже расчет был на пропуск вами одного важного уведомления о привязке. Вот этот мешок пуш сообщений и надо запросить у банка, т.к. по странному стечению обстоятельств, они не сохраняются на устройстве пользователя, видимо, чтобы ему никогда не докопаться до истины в таких вот случаях. Это еще не дыра в безопасности, но как минимум козырь в руках банка, пользователь ничего не сможет доказать не имея этих сообщений. И поискать в этом мусоре важное сообщение о привязке.
После вашего пересказа произошедшего я долго думал, как это технически может происходить и пришел к выводу, что звонок играет ключевую роль в этом процессе. Т.к. и звонки и пуш сообщения идут у оператора в виде пакетов данных. Получив идентификатор из звонка, далее, на основе фильтра из этого идентификатора, перехватывается пуш сообщение с кодом привязки. Естественно для этого нужен физический доступ к трафику вашего звонка и пуш сообщения. Но изюминка в том, что доступ нужен на границе сети, там, где сотовый оператор уже почти ничего не защищает, т.е. доступ может бвть у широкого круга лиц. Плюс сейчас весь трафик активно прослушивается госорганами и их всевозможными субподрядчиками, т.к. сами госорганы только бумажную работу проводят, ничего не стоит перехватить ваш трафик на таких точках.
Все да, но это подтвердит, что у автора дыра в телефоне через которую ушли данные. А это не косяк банка.
Но если со счета клиента были снятия/платежи с разных устройств и в очень удаленных регионах в короткий срок, то вот это уже косяк банка.
Пуш сообщение перехватывается на пути от сервера к клиенту. Никакой дыры или вины клиента в этом нет. Просто много подкованных людей устремилось в эту область и пока не будет оставлена без денег критическая масса клиентов, банк не пошевелится об усложнении процесса привязки нового устройства.
Пуш-сообщения через шифрованный канал доставляются и расшифровываются на телефоне. То есть, если и была утечка кодов, то с телефона пользователя.