Нашла запись на Пикабу
в комментариях клиент @Тинькофф пишет о том что у него тоже сняли деньги в банкомате Тинькофф 02.02.2022 в г. Ульяновск
Я так понимаю что автор в московской области и у него часовой пояс +3, а у меня +2, кстати в Ульяновске +4
поэтому разница во времени час! расстояние от точки до точки где украли мои деньги 20 минут пешком
Ответ от @Тинькофф аналогичный
Однозначно одна и та же группа лиц
И да если говорить про возможную утечку данных, от чего так открещивается Тинькофф я нашла в телегаме канал где продают наши данные даже с фото
24
показа
6.1K
открытий
2
репоста
Что-то муть какая-то. Как карта может быть привязана к устройству ? Если всякие гпей, то там выпускается виртуалка же, соотно каждая новая привязка - новая карта, разве нет ? Если использовалась та же учёта Гугла или яблока, на новом устройстве, то там идёт запрос о привязке. Судя по всему это получается эмулятор устройства чтоль ?
Я чуть выше писал, что скорее всего скомпрометирован доступ в приложение ( код из смс под вопросом правда ). Оттуда зафигачили изменение пина или вовсе убрали его ( а может его и не было, это даже проще ).
Откуда спокойненько добавили карту на устройство в гугл пей.
Как вы правильно написали, при привязке действительно создаётся по сути виртуальная карта. Но это не вирт.карта внутри тинька с отдельным счётом, это лишь особенность технической реализации и видно ее следы лишь при оплате, если приглядеться на реквизиты.
Фактически же карта та же и при использовании в банкомате карта в гугл пее и реальная карта - равноправны. И при поднесении к банкомату телефона с этой привязкой после авторизации пинкодом вы имеете доступ до той самой реальной карты.
Эмуляция тут не требуется, наоборот, с ней все сильно сложнее будет, сам гугл и банковские приложения детектят эмуляцию сразу и не работают. Если это ОПГ с опытом, то, как мне кажется, доставать левые временные смартфоны для них вообще не проблема, учитывая, сколько они кэша стригут с одной жертвы. А если они ещё и прошаренные - могут делать подмену imei налету. Валидность имея насколько я понимаю все равно не мониторится банками ( вроде бы, но если умеют, то к лучшему ), да и сложно представляю, как это реализовать только силами банка ( хотя правительство вроде работало в этом направлении, но хз чем закончилась эпопея с блокировкой серых телефонов на сети... )
Комментарий недоступен
А зачем клон устройства?
Тут достаточно кода из смс и авторизации на любом левом телефоне в приложении. Б - безопасность.
И тут достаточно левого приложения на телефоне, которому дать доступ на чтение смс. При установке много людей не особо вникает в выдаваемые права.
Не заметил, что пин сохранился, но если это действительно так, то это как минимум загадочнее и только приложением тут не обойтись. Но я не удивлюсь ни разу, если пин где-то был сохранен в открытом виде у жертвы.
Расскажу небольшую историю.
У моих знакомых была тупая ситуация, чуть менее загадочная - девушка хотела привязать карту мужа к себе в гугл пей для оплаты и снятия, попросила отправить карту и cvc в вк, и там же муж отправил пин. Б - безопасность В общем, привязали и ничего необычного. Все бы ничего, но спустя несколько месяцев страницу этой девушки взломали, а переписку они не чистили. Тупо начались списания на оплату всяких товаров, где не требовался смс код.
О том, где они слили данные, догадались не сразу. Это мнение появилось от следователя, после того, как они случайно в каком-то контексте сказали, что страницу взломали днем ранее.
Причем их самих этот факт вообще никак не смутил, хотя они помнили про переписку.
Это я все к тому, что в 99% случаев нет никакой мистики и сливов. Есть обычный проеб со стороны человека, где человек не может сопоставить несколько событий, так как для него, ввиду отсутствия опыта и знаний, это может быть не связано.
Проблема она в головах, в том, что люди выходящие в интернеты в подавляющем числе не интересуются информационной безопасностью даже самой банальной.
P.S. Для того чтобы проржаться с нелепости ситуации. У девчонки была своя карта того же банка, функционирующая полностью. Почему они тупо не сделали перевод на карту - это остаётся загадкой. Нашли приключение на свою пятую точку на пустом месте.
А скомпрометированую карту муж заблочил быстро, потерять успели немного благо.
У Тинька можно отключить запрос пина в банкомате? о_О
Тут моя ошибочка, отключить таки не даёт ( по крайней мере не нашел ). Даёт лишь изменить. А на новой карте он не задан, по идее, пока не задан, то в банкомате не даст обслуживаться
Я к чему, когда я подключал новое устройство на альфе давным давно, вроде был тайм-аут 1 сутки, проверил, есть и сейчас. Если устройство скомпрометировано (троянами) полагаю смски перехватываются? А что на счёт пуш уведомлений через приложение банка (уведомление о новом устройстве)? Плюс у них нельзя удалить доступ с самого устройства. В тинькове же нужно знать ещё пароль, тоесть он тоже был слит или номер карты плюс секретный вопрос. Причем в тинькове нет прямого доступа к инфе о входах в ЛК ни в приложении ни на сайте...