Мои советы банку «Тинькофф»

Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:

  1. На карте стоит лимит на сумма не более 2-ухнедельных расходов.
  2. Интернет-платежи только с виртуальной карты.
  3. Физическая карта одна, она лежит дома и не используется для платежей.
  4. Уникальный пароль для интернет-банка и приложения.
  5. Номер телефона привязанный к банку не основной, его знают единицы.
  6. Apple Pay.

Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.

После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.

Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.

1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.

Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.

2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.

Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.

3. Кодовое слово для сотрудников.

На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.

4. Вывести список авторизованных устройств и историю событий в приложение.

Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.

0
288 комментариев
Написать комментарий...
Тинькофф

Приветствуем! Можем подробнее разобрать, как произошла ситуация, которую описываете в отзыве, если подскажите ФИО и дату рождения в ЛС.

Что касается входа в приложение с нового устройства, то сделать это совсем просто. Помимо кода из СМС, номера карты, пароля, мы можем запросить и ответ на контрольный вопрос, если устройство или IP-адрес будут подозрительными. Вся эта информация доступна только самому клиенту.

Кодовое слово можно изменить по обращению в Центр обслуживания, но и тут паспортных данных будет недостаточно, набор вопросов меняется и предугадать это невозможно, это же касается и изменения телефона. Кроме того, мы в автоматическом режиме сверяем голос клиента и учитываем с какого номера он звонит - от этого зависит количество вопросов.

1. Предложение подойдет далеко не для каждого клиента. Особенно, если клиент любит путешествовать или не запоминать пароли.
2. Тут также, большинство клиентов пользуется только одним устройством для входа в личный кабинет и если возникнет непредвиденная ситуация - это доставит ряд неудобств.
3-4. Да, такие предложения уже были, передадим еще и от вас.

В любом случае, спасибо за фидбэк и неравнодушие. Все отправили коллегам, пожелания рассмотрим!

Ответить
Развернуть ветку
Sergey Klochko

Давно пора позволить иметь разные номера телефона для входа и для сбп.
Давно пора позволить иметь второй фактор в виде аутентификатора, совместимого с гуглом и требовать его ввода при входе с новых устройств.
Опциональность этих шагов не создаст проблем тем, кто не понимает зачем это и защитит тех, кто понимает как это работает.

Ответить
Развернуть ветку
70 комментариев
Skynet

Было бы круто ввести режим «паранойя», со всеми озвученными опциями, в персональных настройках клиента. Если человек хочет спать спокойно и готов мириться с сопутствующими неудобствами – почему бы не дать ему такую возможность, @Tinkoffbank Tinkoffbank??

Ответить
Развернуть ветку
Old Car Raffle
паспортных данных будет недостаточно, набор вопросов меняется и предугадать это невозможно

+ данные по последним операциям (через выписку CMC купленную в дарке) + открыть на панорамах дом жертвы (вы можете спросить типа сколько подъездов и тд) - этот детский сад никогда не закончиться.

Сколько я вас просил ввести смену номера ТОЛЬКО через банкомат, как сделал СБЕР??? А сейчас посмотрел, а вы ошибку в ЛК о которой я рапортовал год !!!! назад не исправили. Вы днищенское дно, ничего не делали и делать не будете...

Ответить
Развернуть ветку
4 комментария
Skynet

Особенно важно вводить ограничения при смене устройства, сбросе паролей и кодовых слов. Ну хотя бы запрет на крупные переводы и взятие кредита онлайн на день-другой. Когда человек сбрасывает кодовое слово и меняет устройство, а потом резко выводит все деньги, берёт кредит и его тоже выводит – это же просто красная тряпка, в офисе службы безопасности в этот момент должна звучать сирена в этот момент! Но, однако, именно так и поступают мошенники и виноватым остаётся клиент, потерявший всё.

Ответить
Развернуть ветку
rss 9020

Ребята делайте уже что нибудь. Иначе мы свалим. Ничего личного но деньги надо хранить в безопасном месте а не в удобном.

Ответить
Развернуть ветку
29 комментариев
Виктор Ефимов

То что вы перечислили - это нечёткая логика. Она может несработать. Это устраивает только вас, но неустраивает клиента.
Устраивает она вас потому что "процент взломов" и жалоб на вас не такой высокий, т.к. логика часто срабатывает.
Неустраивает клиента, потому что если ваша логика не сработает, это будет не ваша пробелма, а клиента.

Иными словами если в 10% случаев ваши защиту обходят, то вам нормально, а клиенту нифига не нормально. Ваши риски диверсифицированы, а риски клиента - нет. И да, вы не несёте никакой ответственности, если ваша логика не сработает.

Так что нафиг нечёткую логику и скоринг, а имнно это:

Помимо кода из СМС, номера карты, пароля, мы можем запросить и ответ на контрольный вопрос, если устройство или IP-адрес будут подозрительными.
Кодовое слово можно изменить по обращению в Центр обслуживания, но и тут паспортных данных будет недостаточно, набор вопросов меняется и предугадать это невозможно
Ответить
Развернуть ветку
1 комментарий
Io Eau

ваши вопросы, фейковая "служба безопасности" в реальном режиме времени перезадает настоящему клиенту который уже "дозрел". это классическая атака Man in the middle

Ответить
Развернуть ветку
Сергей Бондаренко

Вы дайте возможность клиенту самому выбирать насколько сложно восстанавливать доступ. Минимальный уровень - это текущий. Но можно самостоятельно добавить Google Authenticator, второй номер телефона для смс и т.п.

Ответить
Развернуть ветку
Дмитрий Кочетков

"Кроме того, мы в автоматическом режиме сверяем голос клиента"

А ткните в правила обслуживания которые разрешают вам собирать и использовать голос клиента для чего-либо.

Ответить
Развернуть ветку
5 комментариев
Vilent
Автор

По второму пункту все равно должна быть блокировка, хотя бы минимальная, как у сотовых операторов с смсками при смене симки. Сотрудники техподдержки будут меньше заняты заявками от тех кто пострадал от мошенников.

Ответить
Развернуть ветку
Konstantin Mednikov

Сделайте возможность авторизоваться только через Google Authenticator. Отключить возможность авторизации по смс, и подтверждать вход, и операции через него.

Мне, например, так было бы спокойнее. Тебя не взломают, потому что код только в телефоне.

Ответить
Развернуть ветку
3 комментария
Снеговик

Номер карты может быть известен кому угодно. Даже у вас есть опция перевести по номеру карты🤷‍♂️

Ответить
Развернуть ветку
1 комментарий
Забор Ноги

вполне адекватные предложения. если банк так печется что это неудобно - то неплохо было бы их реализовать отключенными по умолчанию. для тех не парится безопасностью ничего не изменится, остальным будет по кайфу огородиться

Ответить
Развернуть ветку
Artem Sovetnikov

Проверка голоса ага, девочка вон операцию подтвердила за папу в другой истории не с таким удачным исходом :)

Ответить
Развернуть ветку
БК Idem

ЧИТАТЬ ВСЕМ СОДЕРЖИТЬСЯ ИНСТРУКЦИЯ КАК НЕ ОСТАТЬСЯ БЕЗ ДЕНЕГ ИЛИ ВЕРНУТЬ ИХ ПО СУДУ КАК УБЫТКИ ЗА БЕЗДЕЙСТВИЕ БАНКА
Да, Вы ничего не передадите, это только отписка и очередное враньё банка. И данные пункт вы никогда не сделаете в приложение, так как вы сами создаёте этих мошенников для выкачивание денег с людей на подключение разных платных функций. Рассказываю подробно всем кто читает данную статью, АО Тинькофф будет по максимуму пытаться своровать деньги клиентов сами ли или через аффилированных лиц перед ближайшим переименованием банка и смены бренда, а прежний бренд будет продан мошенниками для отъема денег.
По закону счёт это имущество банка, а вот деньги на них имущество клиента и право собственности перехода не установлен, вот поэтому банк обязан сделать так, чтобы их не своровали.
НО дальше интереснее, банк делает так чтобы Ваши действие приводили к компроментации информации по Вам необходимую для взлома и последубщего воровства денег. У банка не цель сохранить, а цель заработать путем оборота и слива данных аффелированным лицам, т.е мошенникам которые сидят за стенкой в одном здании с АО Тинькофф, ДА не удивляйтесь.

У меня конкретно банк выпустил совместную карту на двух лиц и кому-то выдали пластик, о чем узнал обратившись в контактный центр АО Тинькофф, который правильно заметил автор не идентифицируются как сотрудники и проверить, что это сотрудник банка невозможно не в одном банке, мы уже протестировать 10 банков из ТОП-10, снимали видео в отделениях ПАО Сбербанк, ПАО ВТБ, записывали аудио с отказами АО Тинькофф, вот только воз и ныне там, банк знает что дальше суд -иск и штрафы, которые банк успешно платить из-за глупости обманутых людей и общей статистики нежелания людей идти в суд с АО Тинькофф либо иным банкам, НАРОД РФ ВЫ ЖЕ САМИ СВОИМИ РУКАМИ ДЕЛАЕТЕ БАНК ОСТАВАТЬСЯ БЕЗНАКАЗАННЫМ И ПОДДЕРЖИВАЕТЕ ОБЩУЮ СТАТИСТИКУ ПО СУДЕБНЫМ ДЕЛАМ, но мы готовим сервис способный изменит положение дел.
Так вот выдал АО Тинькофф пластик кому-то, спрашиваю у Вас есть акт приема передачи карт физически, говорят нет и нам все равно, мы так решили, аудио запись есть разговора, только вот с кем непонятно и в суд думаю АО Тинькофф не предоставит запись, хотя все может быть, но думаю нет, так как это не обязанность банка, а ваше доказать ваш довод в суде, так что вы останетесь один на одни с банками как непечально, ЦБ все равно на данное поведение им надо спасать систему от нехватки денег, чтобы станок не пришлось запускать, так как продавать ничего кроме энергоресурсов нет. В тоже время подключены ПУШи, которые не приходят, были включены смс, которые также не приходят на номер телефона к которому подвязан аккаунт в приложении, так что банк превращается в помойку для воровства ваших денег и если это будет сделан проще, банк в плюсе.
В данном случае всем рекомендуем, кто пользуется АО Тинькофф банк делать следующие:
1. При входе в приложение, включать запись видео на телефоне, предварительно войдя в емей и модель телефона в настройка с которого входе в приложение АО Тинькофф банк, чтобы можно было сопоставить с тем, что отражено на серверах АО Тинькофф, что в случае отказа от предоставления будет расцениваться суд как уклонение и признание вины банка в причинение имущественного вреда в виде потерянных денег;
2. Вести переписку в чате приложения с записью видео, так как чат согласно УКБО АО Тинькофф не является официальным каналом взаимодействия и о них вообще ничего не сказано, что за сотрудники отвечают неизвестно, а вариантов масса, договор с какой-нибудь помойкой, которая все что угодно рассказывает
3 Письменно пишите через электронную почту, которую дополнительно указать при получении у курьера и заставьте его указать почту АО Тинькофф на анкете заявления для переписке;
ЕСЛИ У КОГО ЕСТЬ ДОПОЛНЕНИТЕЛЬНЫЕ СПОСОБЫ И МЕТОДЫ БОРЬБЫ С ЖЕЛТЫМ ДЕЛИТЕСЬ СО ВСЕМИ. ЖДЕМ БАНКРОТСТВО ИЛИ ОТЗЫВА ЛИЦЕНЗИИ У АО Тинькофф, инвесторы на стороже. Курс искусственный не отражает реальную картину внутри банка. Менеджмент не вытянет данную ситуацию, смотрите картотеку арбитражный дел и снижения открытых брокерских счетов реальных клиентов, а не рисованных банком ботов, которыми они торгую на биржах. Статьи есть по этим инцидентам в торговли.

Ответить
Развернуть ветку
Ivan Bormotov

Пользуюсь с 2013 года банковскими и другими услугами Тинкофф и все отлично с безопасностью. Паранойя автора не понятна или проплачена конкурентами.

Ответить
Развернуть ветку
Крановщик шестой бригады

- Доктор, у меня нога болит.
- Не придумывайте! У меня точно такая же нога и она не болит.

Ответить
Развернуть ветку
Михаил Павлов

Это называется ошибка выжившего. Если у вас ничего подобного не происходило, то это не значит, что такого вообще не бывает ))

Ответить
Развернуть ветку
1 комментарий
Vilent
Автор

Поздравляю с Вашим первым комментарием. Если Вы внимательно прочитаете статью, то ее смысл это теория как сделать лучше, а не о том, как все плохо.

Ответить
Развернуть ветку
2 комментария

Комментарий удален модератором

Развернуть ветку
Виктор Ефимов

Сколько раз за это время было такое что вас пытались взломать (и банк успешно вас защитил)?

Ответить
Развернуть ветку
work tasks

Если Вас удерживают в заложниках, просто подмигните нам)

Ответить
Развернуть ветку
Michael Ivonin

Считайте меня параноиком, но Тинькоффу не хватает USB-токенов для ДБО юрлиц. Как вообще можно доверять авторизации, устроенной полностью на SMS-сообщениях? Их могут украсть Android-трояны, SIM-карту могут перевыпустить и т.д.

Ответить
Развернуть ветку
Nix

Как вас защитит токен ? Когда вы засунете его в скомпромиьированный компьютер ваши денежки тютю

Ответить
Развернуть ветку
7 комментариев
Злюк Бессон

Есть предложение — перестать пользоваться ведройдом!

Ответить
Развернуть ветку
10 комментариев
Alexey Remizov

Там связка смс+ пароль

Ответить
Развернуть ветку
eRIK

Могут но можно поставить запрет на перевыпуск по доверенности на только при личном посещении) =😎

Ответить
Развернуть ветку
Komorebi

Ага, именно андроид трояны)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Andrey Fedorov

Все верно, но требует действий от клиента. Мы ещё в 2017 году сделали сервис, который мог бы работать только на стороне банка (клиенту дополнительных действий предпринимать не надо). Вот я писал, что мы могли отлавливать:

«Ниже привожу ситуации, связанные с финансовым мошенничеством и которые можно отлавливать. Если есть такое желание, конечно.

- Перевыпуск SIM.
- SIM переставлена в другой телефон.
- Перехват SMS с помощью трояна на телефоне жертвы.
- Перехват SMS через уязвимости сотовой сети.
- Привязка (подозрительного) номера к счету.
- Перевод на (подозрительный) номер.
- Нетипичное поведение клиента: геолокация, сотовая сеть, время совершения операций и т.д.
- Резкая смена определенных параметров, например, быстрое перемещение клиента в роуминг (и десятки других).
- Получение доступа к SMS-кодам методами социальной инженерии и фишинга.

Все эти случаи мы и научились ловить с помощью сделанного нами сервиса. И не только их — всего анализируемых параметров более 100».

Детальнее в статье https://vc.ru/finance/219587-8-sposobov-zashchitit-svoi-dengi-v-banke

Там и видео-демонстрация есть.

Только вот не смогли мы тогда банки заинтересовать :(

Ответить
Развернуть ветку
eRIK

Нет никакой безопасности сам человек 👨 это и есть безопасность))) =😎

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1gts

как-то раз потерял доступ к интернет-банку Тинькофф (поменял устройство, забыл пароль, а карта у меня только виртуальная, по ней и по смс нельзя залогиниться) и решил, что это отличный повод перестать им пользоваться. впрочем, на старом устройстве я свободно могу входить в кабинет

Ответить
Развернуть ветку
Ivan Off

Как-то раз потерял голову и решил, что это отличный повод перестать ей пользоваться.

Ответить
Развернуть ветку
Виктор Ефимов

Типичный клиент-разгильдяй, для кого банк создает упрощенное восстановление доступа, полное дыр

Ответить
Развернуть ветку
MedievalRain

На самом деле достаточно поддержки TOTP хотя бы от того же Google.
Удивительно что игровые сервисы вроде Steam или крипто-биржи имеют такую функцию, а такие серьезные организации как банки нет.

Ответить
Развернуть ветку
Александр Борцов

А еще лучше отвязать от SMS-ок все. Сделайте токены, ну сколько можно!! и не нужно никаких кодовых слов - дать возможность отменить их с сделать запрет любых дистанционных действий!

Ответить
Развернуть ветку
Mikhail Brain

Много чего можно внедрить, только пользоваться этим будут 0,1% параноиков, а разработка нового функционала стоит денег.

Ответить
Развернуть ветку
Ware Wow

Прикрутить 2Fa стоит денег? Я все понимаю конечно, банки и тп, но сам функционал джуниор за час накатит. Остальное уже просто протестить.

Ответить
Развернуть ветку
40 комментариев
Крановщик шестой бригады

Этот функционал давно уже разработан и внедрен для юрлиц, например.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вячеслав Васильчук

Мой совет.Бегите от Тинькофф

Ответить
Развернуть ветку
Злюк Бессон

Куда?

Ответить
Развернуть ветку
2 комментария
Алексей

У большинства клиентов просто нет денег и какого-то понимания взаимосвязи между простотой и снижением безопасности. Вместо того, чтобы придумать способ безопасного хранения критических данных они предпочитают простоту доступа до своих и чужих денег. А банки даже платной опцией не хотят заморачиваться, выгоднее выдавать кредиты побыстрее.
Так что главное аккуратнее с телефоном и поменьше светиться. И есть банки где не так просто сменить номер телефона все же и лимиты

Ответить
Развернуть ветку
vasya1945

Банки не заморачиваются потому, что они не возвращают украденные деньги. Тут писали, что возвращают что-то типа 8%. Если бы им пришлось возвращать украденное, то 2fa появилась бы через неделю. Такое уже было с телекомами. Они показывали остаток траффика или баланс с задержкой в несколько дней. В поездках народ уходил в минус на сотни тысяч рублей. Операторы в судах стояли на оссутствии технической возможности показывать актуальный балланс. Потом одна пара ушла в минус на миллион рублей и выйграла суд. Техническая возможность появилась через неделю.

Ответить
Развернуть ветку
1 комментарий
Roman Chernega

Из разряда мечты: ввести matrix карты. Вход как есть оставить, а операции и кредиты подтверждать 2-3 кодами с matrix карты. Так же блокировать ее и так же доставлять только в руки.

Ответить
Развернуть ветку
Аккаунт заморожен

Это что за зверь такой?

Ответить
Развернуть ветку
Дмитрий Т.

Мечта параноика?

Ответить
Развернуть ветку
Ware Wow

Они даже 2Fa не могут сделать, о чем тут вообще можно говорить.

Ответить
Развернуть ветку
Konstantin Mednikov
3. Кодовое слово для сотрудников.

Предлагаю в приложении в чате отправлять сообщение "Сотрудник Тинькофф такой-то связывается с вами.

Ответить
Развернуть ветку
Простой Иван

Кодовые таблицы спасут эту сраную систему.
Законодательно - обязательные, отказ - отдельным бумажным заявлением клиента с принятием рисков на себя, 18м или более шрифтом.
Принявшие риск лишаются права предъявления банку претензий, связанных с несовершенством IT-поделок, и получают памятный брелок.

Ответить
Развернуть ветку
vasya1945

Я познаю мир.jpg. А если серьезно, то так почти у всех. Не то что 2fa, даже пароли отменили. Ну то есть пароль есть, но его можно сбросить по смс коду - то есть как бы нет. Особенно выделяется Хоумкредит. У них нужно и карту ввести, и смс, и дату рождение и еще не пойми что. И все это открытые данные. Если остальные банки жертвуют безопасностью хотябы ради удобства, то тут вообще не пойми что.

Ответить
Развернуть ветку
Ware Wow
Кодовое слово для сотрудников

Кодовое слово не защищает.
Его меняют по телефону без проблем с нового устройства и перевыпущенной симки. Да, удивительно.
Личный опыт.

Ответить
Развернуть ветку
Сергей Бондаренко

Тут речь идет, о том, что тебе звонит сотрудник Тинькофф, а ты ему говоришь: "Кодовое слово назовите". Мошенник не будет знать кодового слова и идет лесом.

Ответить
Развернуть ветку
Александр

Нехеро работать с тем банком у которого нет офиса.Всегда будете дураком и общаться с ботами.Ни дай бог с тинькоф связыватся.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
eRIK

Это почему же есть же у них парочка а вообще тинькофф 🏦 стал как IT организация онлайн 🏦 одним словом.

Ответить
Развернуть ветку
eRIK

Есть у них парочка отделений Tinkoff ну а так в целом это онлайн организация и считается IT корпорацией.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alexey Remizov

Регистрация 12.02.22, 1 коммент.

Ответить
Развернуть ветку
Простой Иван

Деньги спиздят-приходите, обсудим

Ответить
Развернуть ветку
Злюк Бессон

Обсолютно, с*ка🙈🤣

Ответить
Развернуть ветку
Sergey Klochko

obsolete - устаревший
absolute - абсолютный

Ответить
Развернуть ветку
okman

Все уже давно придумано и лет 20 используется в интернете. Сложный пароль который нельзя обойти никакими ключевыми словами, которые знают все операторы. Плюс 2fa, защита от того что ваш телефон взломают (2fa стоит на другом устройстве).

Ответить
Развернуть ветку
DmitryK

Это не безопасно. Троян на телефоне перехватывает пароль и смс и все, прощай денежки

Ответить
Развернуть ветку
3 комментария
Виктор Ефимов
После этого почитал пару статей про восстановление доступа и ужаснулся

В этом огромная проблема. То как всё работает - недокументировано.
Мой совет тинькоффу - документировать всё про безопасность, такие вещи как

оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте.
Номер телефона можно поменять зная кодовое слово и паспортные данные

должны быть описаны на сайте в документации по безопасности, чтобы клиент понимал свои риски.

Ответить
Развернуть ветку
vmp

Знатоки межбанковских протоколов есть?
Можно ли при проведении транзакции по карте тянуть с ответом или там жёсткий тайм-аут?
Ситуация: хочу, чтобы при проведении карточной транзакции, выполненной без участия чипа (т.е. только по реквизитам или магнитной полосе) банк вместо безусловного подтверждения выводил в приложении детали транзакции и спрашивал - подтвердить или нет.
Такой вариант позволит отсечь кучу проблем с подписками, кардерами и левыми списаниями всяких каршерингов.

Ответить
Развернуть ветку
Мигель Эрнандес

По правилам МПС там жёсткий тайм-аут.

Ответить
Развернуть ветку
1 комментарий
Nix

Вы владелец этого банка ?
Как принудите банк что-то реализовать ?

Ответить
Развернуть ветку
4 комментария
Вячеслав Васильчук

Не будьте наивными ,Банку нужны Ваши бабки и он их возьмёт . Для этого он создан. Тинькофф он такой один………

Ответить
Развернуть ветку
Александр Анатольевич

Мои советы вам, как трахать вам вашу жену)))))

Ответить
Развернуть ветку
Elias Moze

Нужно просто внедрить видео идентификацию. Так сейчас работают многие казахстанские банки.

Ответить
Развернуть ветку
Nix

Надеюсь это шутка такая ?
Придипфейк слышали ? Родная мама опознает как дитятко...

Ответить
Развернуть ветку
14 комментариев

Комментарий удален модератором

Развернуть ветку
Denis Kolesnikov

Очень дельные (нет) советы

Ответить
Развернуть ветку
Дмитрий Кропотов

Сбер сделал подтверждение переводов родственников. При переводе отправляется запрос родственнику на авторизацию. От мошенничества с картой не спасет, но хоть что-то.

Ответить
Развернуть ветку
Забор Ноги

вполне адекватные предложения. если банк так печется что это неудобно - то неплохо было бы их реализовать отключенными по умолчанию. для тех не парится безопасностью ничего не изменится, остальным будет по кайфу огородиться

Ответить
Развернуть ветку
Alexey QuQu
Запретить восстановление доступа к приложению и интернет-банку дистанционно.

https://vm.tiktok.com/ZSenkmbP7/

Ответить
Развернуть ветку
Andrey Z

"4. Вывести список авторизованных устройств и историю событий в приложение."

Я бы переформулировал - для каждого нового адреса или устройства запрашивать подтверждение с помощью всех критериев доступа - пароль, секретное слово, часть номера паспорта

Ответить
Развернуть ветку
Ruslan Sabitov

Считаю , что как минимум была возможность в ЛК Тинькофф включить :
1) подтверждение вывода средств со счета через
А) код на почту
B) код в GA или YA
C) код в телеграмм
Как это давным давно реализовано в Binance

2) Запрос кредита, только через подтверждение, выше указанных маршрутов

3) Оплата услуг ( типа пополнения киви кошелька), тоже через подтверждение вторым фактором

4)Просмотр авторизованных устройств , и была возможность задавать лимит времени жизни токенов ( повторюсь, как уже реализовано в binance )

Это можно сделать как опцию , то не принудительно включать всем

И все спали бы лучше , чем сейчас

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Gutal1n

По пункту 3. Банк подтвердил, что сотрудники могут позвонить с левых номеров? Или это предположение обманутых пользователей до сих пор думающих что разговаривали с сотрудником банка?:D
@Тинькофф могут?

Ответить
Развернуть ветку
Alexey Smirnoff

Автор всё дельно описал, подписываюсь под каждым пунктом

Ответить
Развернуть ветку
Isuzu Dzanarnoghno
Кодовое слово для сотрудников.

Вот это - ОЧЕНЬ хорошая идея. Разумеется, кодовое слово отличное от базового.

Ответить
Развернуть ветку
Водяной

Если на vc появиться статья о кидалове, то угадайте о каком банке?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Dmitr

У меня ещё предложение для защиты "анти-мудак": пора прекратить вообще включать любую защиту, как это сделали в Швеции с ковидом. Потому что к автору поста стали приходить смски. Поэтому либо внутренняя проверка банка среди сотрудников на предмет слива, либо посыл автора на три советских буквы. Потому что без него этот взлом был невозможен НИКАК!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Vilent
Автор

Ну как они делают безопасность хорошо видно по количеству постов в приемной.

Ответить
Развернуть ветку
Дмитрий Нехорошев

А зачем тиньку заморачивался вашими предложениями. Это все расходы, и нехилые. А у них, похоже, оптимизация))

Ответить
Развернуть ветку
Vilent
Автор

Ну как минимум снижение нагрузки на техподдержку. Взлом клиента (пусть даже по его вине) это сложная проблема, на решение которой требуется много времени.

Ответить
Развернуть ветку
1 комментарий
Leha Shum

Смену кодовых слов, изменение номера телефона, согласие на крупный кредит и т.д. Нужно проводить только с верификацией на базе пунктов госуслуг - человек на 15 минут заходит в видео кабину, под видео и аудио запись подтверждает свою личность, оператор выясняет что он не переводит деньги на «безопасный счёт».
Такие видео кабинки могут обслуживать все банки и операторов мобильной связи.
Нужен такой закон!!
Запретить удаленную выдачу кредитов, уже каждый 100ый кредит более милиона получают мошенники

Ответить
Развернуть ветку
Aleksandr Ivanov

@Tinkoff Bank #Тинькофф Уважаемый Банк, мне очень обидно, что являюсь вашим клиентом 10 лет, всегда возвращал все кредиты вовремя и даже раньше, имею хороший доход, пользуюсь многими продуктами. Однако, когда мне сейчас потребовались средства на оплату обучения, господи, первый раз в моей жизни, вы отказываете мне в кредите. Я даже не знаю как мне теперь быть. Надеюсь, что вы мне позвоните или напишете.

Ответить
Развернуть ветку
Тинькофф

Приветствуем! Причин для отказа в кредите может быть множество, их мы в любом случае сообщить вам не сможем. Если решение изменим, обязательно свяжемся с вами.

Ответить
Развернуть ветку
285 комментариев
Раскрывать всегда