Нашла запись на Пикабу
в комментариях клиент @Тинькофф пишет о том что у него тоже сняли деньги в банкомате Тинькофф 02.02.2022 в г. Ульяновск
Я так понимаю что автор в московской области и у него часовой пояс +3, а у меня +2, кстати в Ульяновске +4
поэтому разница во времени час! расстояние от точки до точки где украли мои деньги 20 минут пешком
Ответ от @Тинькофф аналогичный
Однозначно одна и та же группа лиц
И да если говорить про возможную утечку данных, от чего так открещивается Тинькофф я нашла в телегаме канал где продают наши данные даже с фото
24
показа
6.1K
открытий
2
репоста
А как вы сопоставили эту утечку с вашими данными? В этой утечке ваши данные? Там данные клиентов Тинькоф? Там данные с помощью которых можно снять деньги с карты?
Это как пример того что базы данных продают
Евгения, а мне вот интересно, в самом первом вашем посте, был детальный план от Искателя по тому, что м кому писать, чтобы вернуть 💰. Вы попробовали пойти по нему? Если нет, то почему?
С базой ОП обосрался - это заявки на кредит через сборщики лидов. Ничего криминального тут нет.
т.е. вы считаете продажа персональных данных это норм?
Ну как бы это тоже криминальное, торгуют перс данными...
Эта база к Тинькофф отношения не имеет, за чем вы ее сюда приплели?
Как пример того что можно купить, если надо поищу базу данных @Тинькофф
Но тогда мне придется выйти за рамки правового поля
жуть. бизнес сотрудников на крови
Ну вроде продаван пишет что от партнеров, как я понимаю через кого на кредит подают и сразу в несколько банков, а не от тинька
Автор мутный, однозначно что то не договаривает.
Здравствуйте.
Чтобы дать окончательный ответ, мы еще проводим некоторые проверки.
Расследованием таких ситуаций и поиском виновных должны заниматься правоохранительные органы, мы не можем занять их роль, при этом готовы всецело помогать им в таких ситуациях.
А почему не можете занять их роль?
У меня в 2017 году с карты мошенники сняли деньги в другой стране. При том, что физически карта была со мной, а я спал. Никому не разглашал никакой информации.
Карта была рокетбанка и он сам написал мне, уточнив я ли это или я нахожусь в России. После ответа, что это не я, банк САМ сказал, что видимо я попался на мошенников, сам запустил расследование и процедуру оспаривания. Через 3-4 месяца, в которые мне не пришлось никого дергать, банк вернул всю сумму снятых наличных на карту. Они сами провели расследование и насколько я помню, нашли точку, в которой мою карту скопировали, во время поездки в Украину.
Почему они могли заняться расследованием, а вы не можете?
Потому что они "ненастоящий банк" и это оказывается для клиентов лучше, чем обслуживание в настоящем банке? Как будто так. Или просто вы не хотите этим заниматься.
Т.е. 2 предыдущих ответа были не окончательные.... и когда вы мне отвечали вы еще не все проверили, а просто хотели слиться?
А почему камеры на банкоматах не глянуть? Глянуть соседние камеры проследить что куда откуда? Или я фильмов пересмотрел и в России в такое не умеют?)
Банк не даёт к записям доступ своим клиентам, ментов тоже могут послать, если придут не по форме, благо юр отдел есть
Как технически происходит съема денег в другом банкомате?
Делают копию карты или как-то попадают в личный кабинет и генерят QR код?
Судя по ответу банка, который был озвучен, использовалось устройство с бесконтактной оплатой (смартфон, умные часы, навигатор...). Из краткого ответа непонятно, какой именно из бесконтактных способов был задействован: "пей" сторонних поставщиков либо функция оплаты телефоном непосредственно из приложения Тинькофф. В зависимости от этого разные сценарии. Привязка карты к пею требует её полных реквизитов (номер, срок действия, защитный код) плюс подтверждается разовым паролем, который приходит клиенту банка в СМС или в виде пуш-уведомления. Если оплата приложением Тинькофф, то оно должно быть установлено на устройство. Для того чтобы зайти в приложение Тинькофф на новом устройстве, требуются логин и пароль доступа к интернет-банку Тинькофф и опять же разовый СМС или пуш- пароль. Как мошенники выманивают данные клиентов, необходимые для восстановления доступа к приложению (по сути повторное получение логина и пароля для входа) недавно публиковал @Alexey QuQu аж с примером аудиозаписи. В принципе, для неподготовленного человека вопросы могут показаться вполне адекватными и безопасными. После того, как приложение запущено на новом устройстве, мошенники получают полный доступ, включая просмотр реквизитов карт, получение пуш-уведомлений (и с разовым и паролями тоже), возможность задать или сменить ПИН по действующей карте или вновь созданной виртуальной.
Скорее всего привязывают к гугл пей и далее через nfc
Учитывая ответы ТС - вряд ли хорошие догадки будут. Но я придерживаюсь мнения, что без соприкосновения с жертвой тут не обошлось. Дело не в каких то сливах, хотя и без помощи из банка тоже не могло обойтись в теории.
Но вариаций и предположений много думаю, и возможно, что с использованием qr ( но деталей от ТС, опять же, нет особых )
- кардскимминг ( копирование ) при контакте с жертвой и использование спустя время, чтобы меньше вероятности было отловить. Хотя и дорогое удовольствие и вроде сейчас уже не так актуально.
- фишинг. Возможно, что жертва где-то вводила данные для входа, данные сохранили и использовали со временем.. Вопрос в том, откуда берется смс для входа... Мб левое приложение на телефоне перехватывает, тоже вариант вполне.
- мб где-то умудрились взять телефон жертвы и спокойно сделать авторизацию на другом устройстве.
То, что снимали в другом городе это вообще не имеет значения. Это либо ОПГ и обнальщики все там, либо они сами приехали. В теории, работва в разных регионах по мнению обнальшиков может усложнить следственные действия...
Я сама пытаюсь понять как это произошло
Подскажите пожалуйста могу ли я наглухо запретить всякие гугл пэй, самсунг пэй и все прочие, запретить возможность снятия через qr коды и nfc. Сам таким не пользуюсь.
Был звонок с от "представителя" Тинькофф с предложением увеличить сумму кредита. Дано было согласие. После чего заблокировали личный кабинет. Ни каких смс и уведомлений о снятии средств не поступало. Итог: сняли средства с карты с брокерского счета и средства с кредитной карты.
Комментарий недоступен
Попросили код для увеличения кредита и вы сказали?
Здравствуйте.
Напишите ФИО и дату рождения в личку, пожалуйста. Проверим детали этой ситуации.
Мы провели внутреннюю проверку. Когда вы к нам обратились, рассказали о звонке, о том, что раскрыли звонившим код из СМС, мы проверили все и сказали, что не звонили вам, звонившие скорее всего использовали программу для замены номера. Также дополнительно провели проверку сотрудников на предмет утечки данных. Результаты проверки можем предоставить по запросу полиции. К сожалению, не получится оспорить операции, проведенные через личный кабинет, так как доступ в личный кабинет должен быть только у вас.
В качестве частичной компенсации ваших потерь зачислили вам бонус от нас.
Дальнейшее решение вопроса возможно только через полицию. Обязательно им поможем в расследовании в случае обращения к нам.
У меня абсолютно такая же ситуация!!! : 4 февраля 2022 кто-то обналичил мою кредитку Тинькофф. Обналичили через банкомат Тинькофф г.Самара. При этом я живу в Нижегородской области. Банк ответил мне точно таким же сообщением - «Операции подтвердили ПИН-кодом, поэтому мы посчитали, что их сделали вы" . Я тоже написал заявление в полицию. Я так полагаю, что действуют одни и те же злоумышленники и СБ банка не может не видеть того, что деньги крадут в одном и том же регионе (Ульяновс-Тольятти-Самара) и при этом банк всё равно обвиняет в хищении владельцев карт.
Сергей, это ужасnно что у @Тинькофф так много пострадавших и при это никаких мер банком не было принято для безопасности своих клиентов
Здравствуйте.
Мы все проверили, ошибок не допускали. Вас не обвиняли в ситуации, лишь объяснили то, как прошла операция и почему не можем ее оспорить.
Операции сделали с помощью устройства, к которому привязали вашу карту. Реквизиты и устройство должны быть только у клиента. Такие операции нельзя отменить или оспорить.
Мы обязательно поможем в расследовании полиции, если они пришлют нам официальный запрос.
Здравствуйте. Хотим детально проверить эту ситуацию. Напишите в личку ФИО и дату рождения, пожалуйста.
Самое прикольное, что сегодня копался в приложении зелёного банка, там есть в параметрах безопасности пункт, где видно, на каких ещё устройствах есть вход в приложение, а также на каких устройствах подключена бесконтактная оплата (при необходимости можно прямо там и отвязать устройство). Потом пошёл в приложении Тиньки и был разочарован скудным функционалом и отсутсвием данных пунктов.
На мой взгляд, приложение на основном устройстве пользователя должно выдавать звуковую сирену, когда обнаружена попытка входа на другом устройстве.
Push-уведомления об тиньки вообще как отдельный вид исскуства, иногда исчезают моментально, особенно оповещения по операциям, даже не успеваешь иной раз посмотреть...
В этой истории все было бы на стороне банка, если одно но: @Тинькофф не желает сам проводить внутренние расследования, кто снимал в ульяновске деньги, не ищет сам записи видео, и так далее. О какой внутренней службе безопасности идёт речь, если они говорят клиентам, идите в полицию..... Вот если бы они сами бы начали искать и подавать заявление в полицию (или содействовали клиенту) то был бы плюс. Задумался, а не вывести ли мне деньги теперь :(
А зачем их в Тиньке держать с такими унылыми процентами?)
Банк-Тинькофф не уберег ваши деньги, а свои не отдаст ни когда.
Бегите от этого банка и чем БЫСТРЕЕ тем лучше.
Вы сможете сохранить свои денежные средства.
По УКБО п. 7.2.4. В случае компрометации и/или использования Расчетной карты или ее реквизитов или Интернет-Банка, Мобильного Банка, Абонентского номера или Абонентского устройства без согласия Держателя незамедлительно после обнаружения указанных фактов, но не позднее дня, следующего за днем получения уведомления от Банка о совершенной операции, направить в Банк письменное уведомление по форме, размещенной на сайте Банка Tinkoff.ru, с приложением всех необходимых документов заказной почтой (с уведомлением о вручении и описью вложения) или курьерской службой.
Если вы не направили уведомление в указанной в УКБО форме, мы не обязаны возмещать сумму операции.
Мы провели проверку в отношении утечки персональных данных, результаты предоставим только по запросу полиции.
Нам очень хотелось бы вам помочь, но единственный шанс вернуть деньги - обращение в полицию. Обязательно им поможем в расследовании в случае обращения к нам.
Вот так. Обвинили без вины.
Приветствуем. Хотели бы отдельно проверить вашу ситуацию. Подскажете в лс контактный номер?
Приветствуем.
Оспаривать операции нельзя, потому их сделали по бесконтактной оплате Google Pay, которую подключили после входа в приложение 1.2.2022, для входа в приложение отправляли код на телефон по смс, такие операции считаются проведенными с согласия клиента.
Вот еще ответ
Мы проводим подробную проверку каждого вопроса и обращения. По вашему обращению также проводили расследование и разбирались, можем ли мы вернуть деньги.
По имеющейся у нас информации, устройство, к которому привязывали карту Samsung SM-A127F.
IP-адреса с которых выполнялся вход в приложение через это устройство 81.222.190.18; 217.118.90.179; 217.118.90.133.
Более подробной информации о местонахождении устройства мы не владеем, поиском местонахождения мошенников занимается полиция.
Что-то муть какая-то. Как карта может быть привязана к устройству ? Если всякие гпей, то там выпускается виртуалка же, соотно каждая новая привязка - новая карта, разве нет ? Если использовалась та же учёта Гугла или яблока, на новом устройстве, то там идёт запрос о привязке. Судя по всему это получается эмулятор устройства чтоль ?
Я чуть выше писал, что скорее всего скомпрометирован доступ в приложение ( код из смс под вопросом правда ). Оттуда зафигачили изменение пина или вовсе убрали его ( а может его и не было, это даже проще ).
Откуда спокойненько добавили карту на устройство в гугл пей.
Как вы правильно написали, при привязке действительно создаётся по сути виртуальная карта. Но это не вирт.карта внутри тинька с отдельным счётом, это лишь особенность технической реализации и видно ее следы лишь при оплате, если приглядеться на реквизиты.
Фактически же карта та же и при использовании в банкомате карта в гугл пее и реальная карта - равноправны. И при поднесении к банкомату телефона с этой привязкой после авторизации пинкодом вы имеете доступ до той самой реальной карты.
Эмуляция тут не требуется, наоборот, с ней все сильно сложнее будет, сам гугл и банковские приложения детектят эмуляцию сразу и не работают. Если это ОПГ с опытом, то, как мне кажется, доставать левые временные смартфоны для них вообще не проблема, учитывая, сколько они кэша стригут с одной жертвы. А если они ещё и прошаренные - могут делать подмену imei налету. Валидность имея насколько я понимаю все равно не мониторится банками ( вроде бы, но если умеют, то к лучшему ), да и сложно представляю, как это реализовать только силами банка ( хотя правительство вроде работало в этом направлении, но хз чем закончилась эпопея с блокировкой серых телефонов на сети... )
Что имеем по факту? Особо гениальный клиент банка решил придумать "гениальную" схему, подговорив своего кореша снять деньги в другом банке, а потом начать требовать их с банка.
Слит.
Если это троян на телефоне, то он принимал за вас пуши/смс о добавлении карты в андроид пэй, покупках, снятии средств. Тинькофф что вам говорит на этот счет, куда шли уведомления в пуш или смс? Если смс, то вы у оператора можете заказать детализацию смс. Если пуши, то логи, думаю, возможно посмотреть на смартфоне. Какая инфа по этому поводу?
Банк не дает информацию
Шикарно. Базу владелец продает, даже не украли
Все таки не понятно как смогли выполнить снятие средств, через QR или NFC
Полагаю второе, но суммы снятий у обоих потерпевших одинаковые
А, как-же защита карты от @Тинькофф ?
Евгения, чем закончилась Ваша битва с Тинькофф? У меня ни фин. управляющий ни суд не стал заморачиваться с "пеями".
Поясните, пожалуйста, что значит "не стали заморачиваться"?
Комментарии в стиле “сама виновата"