Ответ @Тинькофф на VC "мошенники заранее узнали информацию о карте для привязки к другому устройству"
Отличается от ответа, который я сегодня получила по телефону (звонила Анастасия с номера 88007552550).
Звонившая сотрудница @Тинькофф сообщила, что банк все проверил и никакой ошибки быть не может! Операции производились моим мобильным устройством самсунг к которому была прикреплена карта и с моего IP адреса. Никаких других устройств не было и точка.
Ответить на вопрос «Как мое мобильное устройство могло быть одновременно и в Калининграде и в Ульяновске?» она ответить не смогла.
Поэтому я отправила следующий запрос
Возбуждено уголовное дело по ст. 158, ч.3, пункт «г»
Начало истории тут
24
показа
21K
открытий
1
репост
Автор, а расшифровку приведенных банком служебных сообщений вы получили ? Что это, если авторизация покупок, то это не интересно, вам нужен момент привязки чего-то там к вашей карте.
Вы упоминали, что перед взломом вам позвонили, вы взяли трубку, видимо это - снятие трубки и является неким моментом, когда злоумышленники получили некий идентификатор вашего обмена с серверами банка. Иначе нет смысла привлекать к себе внимание. А далее вы сказали, что был вал сообщений, это вы ведь про push сообщения говорили ? Возможно, что здесь уже расчет был на пропуск вами одного важного уведомления о привязке. Вот этот мешок пуш сообщений и надо запросить у банка, т.к. по странному стечению обстоятельств, они не сохраняются на устройстве пользователя, видимо, чтобы ему никогда не докопаться до истины в таких вот случаях. Это еще не дыра в безопасности, но как минимум козырь в руках банка, пользователь ничего не сможет доказать не имея этих сообщений. И поискать в этом мусоре важное сообщение о привязке.
После вашего пересказа произошедшего я долго думал, как это технически может происходить и пришел к выводу, что звонок играет ключевую роль в этом процессе. Т.к. и звонки и пуш сообщения идут у оператора в виде пакетов данных. Получив идентификатор из звонка, далее, на основе фильтра из этого идентификатора, перехватывается пуш сообщение с кодом привязки. Естественно для этого нужен физический доступ к трафику вашего звонка и пуш сообщения. Но изюминка в том, что доступ нужен на границе сети, там, где сотовый оператор уже почти ничего не защищает, т.е. доступ может бвть у широкого круга лиц. Плюс сейчас весь трафик активно прослушивается госорганами и их всевозможными субподрядчиками, т.к. сами госорганы только бумажную работу проводят, ничего не стоит перехватить ваш трафик на таких точках.
У меня не пуш шли, а смс с разных сайтов и звонки с разных номеров.
Теория с переватом данных интересная, но вряд ли точечно будет направлена на меня
В любом случае утечка персональных данных должн быть чтобы возник интерес долбить конкретного человека...
Выше писал, мне тоже 1 февраля утром полетела куча смс-флуда как с бомбера. СМС от разных сервисов. Тоже клиент тинька. У вас получается на следующий день так было, 2 числа. Мб просто совпадение, но никому особо зла не делал чтоб телефон флудили)
ой, ну это разве что-то необычное? посто скрипт за минуту отработал все. когда бомбят, то это сутки продолжается минимум. это должно так задолбать, что человек в худшем случае переводит телефон в режим не беспокоить, а в лучшем выключает его до следующего дня. а если к этому добавить реальные звонки реальных компаний по вымышленным объявлениям, то тогда получается нормальный прогрев жертвы
Обычно флудят чтобы в куче сообщений важное затерялось. Что с смс, что с email так. На счёт выключить телефон мне кажется в наше время это как то не очень реально) Да и хороший плотный флуд денег стоит)
а нахрена тебе телефон на который тебе не смогут дозвониться клиенты, например. или если смогут, то ты их как то должен идентифицировать. а если у тебя шквал звонков каждую минуту — ты думаешь надолго хватит обычного неподготовленного пользователя? максимум на 2 часа. потом режим не беспокоить и просто смотришь как у тебя высаживается батарея от уведомлений от включений экрана.
я сочувствую барышне, которая потеряла 70k.
но тут стольно нюансов про которые она не рассказывает или рассказывает сквозь призму своей интерпретации происходящего. злоумышленники откуда-то узнали пин код. он не хранится в банке в открытом виде. его не может увидеть сотрудник службы поддержки. его назначает исключительно пользователь.
Пользователь пин назначает, а потом вводит каждый день в каждом магазине, и сохранность пинкода, за которую вся ответственность повешена на клиента, по сути обеспечивается только отсутствием интереса у окружающих (людей в очереди, работников торговых точек, операторов видео наблюдения).
По факту, банк: "клиент сам виноват, что проебал пинкод".
"настроить терминалы на отбой операции при отказе от ввода пинкода (когда у кассира нет технической возможности продолжить операцию, запросив другой способ авторизации - паспорт, подпись)" - тоже банк.
"убрать козырек, оставив голой Клаву банкомата" - тоже банк.
Получается, что юзер может обеспечить сохранность пинкода только вообще нигде и никогда его не вводя. А ещё лучше - вообще не зная.
нет, так не получается.
только вообще нигде и никогда его не вводяпотому что есть телефон с нфц, где человек не вводит никаких пин кодов от карты во время покупки. потому что есть небольшие суммы, которые не требуют авторизации на терминале. еще есть карты с чипом, я уже писал где то раньше, что в случае, если сделали копию карты, но расплатились в магазине этой копией с магнитной полосой, то это банк возместит украденную сумму.
пин как и любой другой пароль нужно иногда менять
Допустим они его узнали, но как?
Карта всегда была дома
СVC код и данные карты я вводила только на этих сайтах:
https://www.reserved.com/
https://www.ozon.ru/
https://www.wildberries.ru/
https://fabrika-fotoknigi.ru/
https://profitness39.ru/
https://appevent.ru/
https://www.gosuslugi.ru/
https://premier.one/
Яндекс Такси
вы вероятно не понимаете одну простую вещь.
cvc — для оплаты онлайн. pin — для банкоматов и офлайн оплаты. ну и есть еще просто пароль (или otp). cvc идет сразу с картой, а пин в тиньке назначаете вы и никто другой. где вы его записали, чтобы не забыть — я ¯\_(ツ)_/¯ используется ли точно такой же пин у вас на других картах — я ¯\_(ツ)_/¯ что за софт у вас стоит на компьютере и телефона — я ¯\_(ツ)_/¯ когда произошла компрометация карты — я ¯\_(ツ)_/¯ я не исключаю, что в тиньке могла бы быть дыра, но тогда ее начали бы жестко использовать, пока не прикрыли. и не только с вашей картой
А вы не пользуетесь виртуальными картами у Тинькофф? Довольно удобная штука, и гораздо безопаснее чем пихать обычную карту. У меня из этого списка только озон, ятакси и госуслуги. А у вашей подруги у которой похожее было? Может быть если есть пересечения можно будет понять где утечка
Евгения писал же вам про яндекс что туда ни в коем случае нельзя привязывать карты и валдбериз в их числе были массовые случай раньше !!! Плюс любая карта привязана на сервисах яндекса например вы разные карты привезали, на разных сервиса яндекса они все добавляются в яндекс и если у вас есть подписка например на кинопоиск или яндекс плюс и вы её хотели отключить но забыли попытка списания будет на всех этих 5 картах по очередной!!! Хотя кинопоиску вы привязали одну карту!!!
писали, но я перечислила те сайты где использовала карту в течении года
Мне кстати тоже сразу после регистрации и первого заказа на озоне шел смс-бомбинг. Обратился в техподдержку озона, они сказали мы не при чем, просто типа совпало. Хотя разрыв по времени был меньше 10мин
3его листа тоже самое было у моей подруги, но зная мой опыт она перевела все деньги мужу