Кто знал, что мошенники теперь знают, когда к вам должен приехать представитель Тинькофф для подписания документов - и пользуются этой информацией?
Вот и я не знал. Всегда думал, что такая инфа известна только клиенту и банку. Но... Теперь мошенники пользуются этим, чтобы втереться в доверие.
Предисловие
Я всегда считал, что я скептик и мошенникам сложно меня обмануть... Особенно, если это касается денег лежащих в банке, чья безопасность на высоте. Но как я ошибался. И от этого ещё тяжелее.
Даже палка стреляет раз в год.
Надеюсь то что я напишу поможет кому-то не попасться и увидеть, как ещё может выглядеть схема кражи денег из банка Тинькофф. И что в таком случае - тиньк вам не помощник.
Как всё было. По шагам
Схема развода построена сугубо на чётком понимании когда нужно позвонить человеку, его доверии и невнимательности в моменте. Касается и обычного приложения тинька (физ лица) и тинькофф бизнес.
Для тех кто хочет нырнуть сразу в самое "интересное" - оно начинается с пункта 4.
1. 11 апреля 2024. По работе мне нужно было перейти на другой налоговый режим. А для этого надо закрыть свой старый счёт, сняться с ИП, затем снова стать на учёт ИП и открыть новый счёт.
Я подаю заявку на открытие нового счёта ИП в Тинькофф (при этом являюсь клиентом банка и как физ лицо). Менеджер Екатерина говорит, чтобы я заполнил анкету для нового счёта. Счёт откроется автоматически. После чего она переведёт меня на коллег для закрытия старого счёта.
Также предупреждает, что со мной свяжутся и ко мне приедет представитель банка для подписания документов.
Сразу забегая наперёд - я не могу отвязаться от мысли, что именно этот этап и "ошибка" менеджера на нём, связана с будущим звонком от мошенника.
2. Не в течение 1 дня... Но 15 апреля 2024 со мной действительно связываются (первый контакт). Но как я потом понял, это звонил ЯКОБЫ менеджер тинька (мошенник). Номер телефона 8-347-246-66-30.
(у меня стоит гетконтакт, но он не определил номер).
Сообщает также об обновлении договора по моему действующему счёту физ. лица и спрашивает согласен ли я на его обновление по некоторым пунктам? Спрашивает нужна ли мне карта Тинькофф Платинум, и нужно ли перевыпустить карту Black. Я отказываюсь.
А также, готов ли я подписать обновлённый договор, который мне передадут вместе с представителем, который должен приехать.
- "Я готов".
После чего разговор заканчивается и снова тишина на неделю.
3. Через неделю (22 апреля 2024) я сам пишу в банк и спрашиваю - как дела со счётом и когда он откроется?
Оказывается, что менеджер Екатерина ошиблась. И из-за этой ошибки анкета (заявка) была отклонена. Я не должен был заполнять анкету так быстро, а она не должна была её отправлять. По этой же причине мне не назначили представителя.
Обо всём этом я узнал от другого менеджера банка (Никиты). Никита предлагает мне снова заполнить, но уже новую анкету (заявку).
Я снова заполняю анкету. Одобрение по ней на этот раз приходит моментально, мне предлагают назначить встречу с представителем банка. Выбираю - завтра (23 апреля 2024) с 12 до 14.
4. Наступает завтра (23 апреля 2024).
В 11:23, за несколько часов до приезда представителя - звонит ЯКОБЫ менеджер тинька (номер 8-913-756-17-44) и спрашивает, готов ли я подписать документы? (второй контакт). Которые они могут передать сегодня вместе с представителем, который приедет.
Или же перенести это на завтра?
- "Я готов подписать сегодня".
5. Чёткое понимание мошенника, когда позвонить, сыграла свою роль - я верю, что это действительно менеджер банка.
Во-первых потому что он знает про представителя, который приедет сегодня. Откуда ещё кто-то может знать об этом?
Во-вторых даже настоящие сотрудники тинька звонят с абсолютно разных номеров (скорее всего покупные, телефония).
Это не как у сбера есть единый номер 900 (другими банками не пользовался, не знаю как у них).
Поддержка подтвердила это. Например за последние пару дней из тинька мне звонили абсолютно разные люди, из разных отделов и с разных номеров
8-967-439-33-04
8-986-220-61-29
8-915-450-36-96
и это далеко не все номера
6. ЯКОБЫ менеджер начинает снова спрашивать нужна ли мне карта Тинькофф Платинум и Black. Отказываюсь. Также спрашивает про овердрафт (описывает что это). Я отвечаю, что не буду пользоваться им. И тут я совершаю ошибку...
Все мы имеем право на ошибку
Мошенник говорит, что для отказа от овердрафта мне в приложение придёт пуш с кодом, который мне нужно назвать. Оно приходит и я его называю...
Не щёлкнуло ли у меня, что он спрашивает у меня код?
В тот момент я задумался над этим ровно на секунду. Но затем назвал.
Правда причина почему я в принципе пишу этот текст + с чего охренел больше всего - описана ещё ниже (под схемой мошенника).
Я назвал код потому что:
- Я был полностью уверен что никто кроме меня и банка НЕ знает, что 23 апреля ко мне собирается представитель. И что в принципе у меня с банком идёт подписание документов по счёту.
- Когда приезжает тот же представитель, он точно также просит назвать коды, которые приходят в приложении.
- Я был уверен, что код из пуша это НЕ единственное средство защиты от входа мошенника.
Безопасность из говна и палок ИЛИ как всего всего ОДИН пуш разделяет мошенника от доступа к личному кабинету Тинькофф.
Как это работает на стороне мошенника? Это мне уже рассказали по телефону горячей линии, когда мои 50 000 уже были украдены.
Шаг 1. Мошенник заходит на официальный сайт и нажимает на "личный кабинет".
Шаг 2. Открывается окно - куда он вводит мой, твой, любой номер телефона действующего клиента Тинькофф. Напомню, всё это он делает одновременно пока говорит по телефону.
Шаг 3. Вписывает код из пуша.
Шаг 4. Появляется "защита" в виде номера карты... И всё. Эту "защиту" он смог прекрасно обойти самостоятельно.
ВАЖНЫЙ МОМЕНТ.
За всё время общения я НЕ называл ему свой номер карты. Я НЕ называл свой cvv, cvc или прочую инфу. Я НЕ созванивался с ним по видеосвязи и он не мог сделать запись моего лица.
Только код из пуша.
Этого было достаточно, что он смог попасть в мой личный кабинет - и делать там, что хочет.
Пока я пишу этот текст и вспоминаю всю цепочку событий - делаю вывод...
— У него на руках УЖЕ был номер моей карты, который он просто вписал в строку
— Номер карты, который был слит вместе с моим номером телефона, по которому он позвонил мне
— ФИО, потому что при звонках он ко мне обращался полностью
— Инфа, что я собираюсь подписываю документы с тинькофф и жду представителя
Ему нужен был только код из пуша.
Тинькофф. Пожалуй самый НЕбезопасный банк в мире
И я если честно в @xue вот с чего.
Мне НЕ пришло сообщение от тинька о том, что в мой личный кабинет вошли с нового устройства (или что был запущен новый сеанс). Как это обычно работает у VK, телеграм, гугл, да даже у Авито!
У соц. сетей это есть, а у банка Тинькофф - загадка чёрной дыры.
У меня стоит пин-код. Но и он не появился при входе у мошенника, как ещё одна линия защиты.
У меня есть секретное слово... (помните как создавали такое, когда становились клиентом в банке?) Но не появилось больше ничего, чтобы не дать левому человеку попасть в кабинет.
Я так кстати ни разу и не воспользовался секретным словом за всё время, что был клиентом тинька.
А мошенник просто "грел" меня.
Грел, когда позвонил неделю назад, когда позвонил прямо перед приездом. Чётко понимая когда должен позвонить (опираясь на инфу о представителе и подписании документов).
Что было дальше?
Звонок прерывается.
С моего счёта происходит кража. Списывается 50 000 через оплату по QR-коду и улетает в какую-то контору ТВЦ Астон (услуги связи).
Это выглядит так, будто я сам оплатил покупку в магазине по QR-коду, а не кто-то это сделал за меня без моего ведома.
Как я потом узнал - я не могу получить подробности что это за получатель. Эта инфа выдаётся только по запросу полиции. Также банк не может отменить операцию по горячим следам.
Затем происходит ещё одна попытка кражи. Перевод Александру К. на 19 687 руб., которую только теперь останавливает робот.
Моя карта блокируется системой, а мне приходит звонок о том, что через 15 минут со мной свяжется служба безопасности.
Дальше я сначала общался со спецом службы безопасности описывая ситуацию со списыванием денег. После меня переводят на горячую линию, где менеджеру я уже час подробно описываю все действия произошедшие за неделю.
После чего менеджер говорит, что они проведут внутреннее расследование и опросят всех менеджеров с кем я общался. А по моему запросу "мы сейчас составим обращение на возврат средств".
Банк, которому всё равно
Через 15 минут, как было составлено обращение - мне приходит "решили" об отказе на возврат средств.
Классное расследование и решение за 15 минут) Пойти решать свои проблемы за счёт моих 50к.
Меня не устраивает такое развитие ситуации и я прямо пишу об этом, оспаривая решение. Получаю ответ о возобновлении обращения.
Но проходит ещё минут 20 и мне приходит ответ в формате "наши полномочия всё". Потому что оплата была проведена через QR-код, а значит я был согласен с операцией. Брешь в законе или в безопасности?
А также, что мошенник не их сотрудник - спасибо КЭП.
Из их предложений и решений - написать мне заявление в полицию. Брешь в законе или в безопасности?
В качестве выводов
— Удар под дых.
Да я считаю, что для таких мошенников должен существовать свой котёл в аду... Но всё же больше вопросов у меня остаётся к банку.
Как кто-то знает про приезд представителя? Почему для входа в кабинет достаточно пуша? Банк продолжает сливать номера карт, телефонов и остальное...
К себе всего один вопрос - почему в моменте я не остановил звонок?
— От любви до ненависти один пуш.
Чуть меньше чем за 2 недели (с 11 апреля по 23 апреля) я из лояльного клиента - превратился в человека, который считает Тинькофф конторой пidoracoв.
— Какой банк выбрать?
Да фиг знает. Я не могу утверждать, что аналогичная ситуация НЕ произойдёт у другого банка. Но по крайней мере поспрашивал у людей и:
1. Говорят в сбере при входе тебя просят ввести ещё логин и пароль. Неудобно? Возможно. Но это лучше чем украденные деньги. Также тебе приходит уведомление, что произведён новый вход (не знаю как у других банков).
2. Многие ещё год назад (в 2023) ушли из тинька в сбер. Говоря, что там просто лояльнее относятся к клиентам. ИПшники говорят, что в сбере тебе НЕ будут блокировать счёт по 6 раз подряд по 115-ФЗ - как это делают в тинькофф.
Я посмотрел какие условия обслуживания для физиков и ИП у Альфы, Сбера и Райффайзен... И т.к. мне нужен расчётный счёт ИП - для меня выгоднее тарифы у сбера + раз коллеги советуют.
Но для физиков в принципе и райф, и альфа - такие же нормальные условия по дебетовым картам.
— Ирония судьбы.
Я когда-то уходил из Сбера в тиньк потому что думал, что в тиньке лучше... А теперь собираюсь возвращаться обратно в сбер...
За год с 2023 по 2024 внутри компании (тинька) явно произошли изменения. И не в лучшую сторону. Возможно после ухода Олега и какой-то части ТОП-менеджмента.
В принципе за эти 2 недели активного взаимодействия с менеджерами банка я понаходил ещё много разных косяков (кроме крышки гроба в виде кражи денег за один пуш).
Эти косяки сильно помотали мои нервы, время и заставили сомневаться, что в тиньке новые сотрудники проходят хорошее обучение.
- Начиная с того, что менеджер отправляет анкету (заявку), когда не нужно и её отклоняют. Не знает, когда и как надо отправлять.
- Не сообщают об этом, пока сам не напишешь.
- Не знают кто и зачем звонил мне из менеджеров.
- Могут долго переключать между разными специалистами разных отделов и никто не знает банального (как потом оказывается) ответа.
- Утверждают, что определённые менеджеры со мной не общались в чате и их не существует (хотя переписка в чате подтверждает обратное).
Вроде компания большая. Опыта и денег много, но это ещё ничего не значит.
Ну и в заключении.
1. Отправлена жалоба в Роскомнадзор по поводу утечки личных данных.
2. Составлено заявление в МВД по поводу кражи личных средств путём утечки данных из банка.
А чтобы о том, как бывает - узнало бОльше людей... Поставьте пожалуйста лайк и поделитесь этой статьёй с теми кто сейчас пользуется тиньком или планировал переход.
Пусть будут в курсе.
Здравствуйте.
По регистрации нового ИП мы действительно создали заявку и не убедились, что прежнее ИП еще не закрыли. Также не приняли у вас распоряжение на закрытие старого счета, поэтому новая заявка ушла в отказ, простите. Приняли меры и провели работу над ошибками, чтобы в будущем такого не повторять.
Не получится вернуть деньги за операцию, потому что ее сделали в личном кабинете или приложении. Доступ к ним должен быть только у вас, поэтому такие операции считаем совершенными с вашего согласия.
Такими вопросами занимается полиция. Поможем сотрудникам правоохранительных органов в расследовании, при обращении.
Проведем расследование при необходимости на нашей стороны, поделиться деталями не сможем. Система мониторинга сработала без ошибок.
Для входа нужно знать код из уведомления, но этого не всегда достаточно. В тексте сообщения предупреждаем, что информацию нельзя никому сообщать. Также указываем, что выполняется вход в Тинькофф. В личном кабинете вы можете настроить параметры входа. Например, чтобы каждый раз запрашивали постоянный пароль, можно задать контрольные вопросы.
Полные реквизиты карты знаете только вы. Следим за защитой данных наших клиентов, третьим лицам не передаем. Утечка исключена.
Иногда для консультаций нам может потребоваться дополнительно подтвердить вашу личность. Идентифицировать можем различными способами, в том числе уточнить кодовое слово. Однако его не запрашиваем для входа в приложение или личный кабинет.
Стремимся к высокому уровню обслуживания. Учитываем каждую ситуацию и стараемся стать лучше. Можем переключать на более опытного сотрудника, чтобы быстрее решить вопрос.
Ошибок в работе страницы для написания отзыва не нашли, рекомендуем почистить кэш/куки или попробовать с другого устройства.
Тиньков всегда был днищем. Если начать мониторить в сети их свинство то утонешь в результатах поиска. Сам имядатель сволочь, а от осинки не родятся апельсинки. Им плевать на клиентов и безопасность. Хранить деньги за окном на отливе первого этажа куда надежнее чем там. А менеджеры этого заведения отдельная песня. Про глаза и божью росу это о них. Про сбер могу сказать что хотя чуств к нему и не питаю теплых, но реально пару раз помогли. Раз вернуть украденные деньги, другой с холявным кредитом без страховок и прочей ерунды. Причем сами прислали предложение после обращения.
Прям помогли? А историю в студию? На моей памяти они отписки кидают и просто отказывают ссылаясь на закон. На площадках где пишут именно отзывы о банках все про это пишут. В тиньке хотя бы есть обратные истории, то есть лояльность. Легко поносить банк, но по факту из лояльных банков в РФ, кто может что-то компенсировать и активно отвечать в сети и в поддержке - плюс-минус несколько банков, в том числе тинькофф среди них
Ну вот выше история о том как титькоф компенсировал... сочуствием))) Не напомнить как титькоф отбирал деньги у клиентов которые зарабатывали на скачках курса и лопушистости сотрудников банка? Не нарушая закон при этом. Титькову можно, а людям нет. Отрицательных отзывов в сети можно нарыть на любой банк. Но я как человек которому пофиг на оба, скажу что титькоф попадается на глаза чаще других со своими мерзкими проделками.
Хотите историю, да легко. У жены в одной недосоцсети тиснули деньги с карты сбера. Которая к стати давно была отвязана. Тиснули на оплату какой то нелепой услуги в какой то нелепой игре. В которую разумеется никто не играл и не знал о её существовании. Всё указывало на то что никто кроме ушлых сотрудников той сети это сделать не мог. Да собственно никому кроме них это выгоды не приносило. Никаких оповещений о списании не было. Деньги тихо уплыли в пользу жулья. Общение с жульем результатов не принесло. Обратились в службу безопасности сбера. Через неделю деньги вернули. А жену в той недосоцсети сразу заблокировали после возврата денег.
Другой пример. После онлайн обращения за кредитом и отказа от предложенных вариантов, погодя пришло предложение. 11 годовых без каких либо доп условий. Хотели потребкредит налом. Пошли оформлять в ближайшее отделение и вот там уже пытались втюхать страховочку. Были посланы куда подальше. Пришлось разобраться как оформить это всё онлайн через терминал. Разобрались, забрали деньги на глазах у крыс которые хотели развести на страховку за помощь в оформлении. Как то так.
Мне кажется, тинькофф САМЫЙ нелояльный банк из всех. Мой личный опыт только подтверждает это предположение
Код в пуше это не дырка. Это верификация на сервере.
Предполагается что человек заходит в ЛК, имея в руках собственный смартфон с установленным приложением.
В этом смысле банку предъявлять нечего. Это равносильно тому что вы кому то отдали карту и сообщили пин-код к ней.
Сервер не знает кто стоит с этой картой у банкомата
Ему нужен лишь пин код или пуш в вашем случае.
Ну а если по делу, то читайте закон о национальной платежной системе. Там указано что должен и что не должен делать банк .
А вот по поводу того что ваши данные кто то из банка слил надо писать в полицию. Другого способа у мошенника нет
Я думаю банк должен быть первый заинтересован в том, чтобы найти и наказать тех сотрудников, кто сливает данные мошенникам. Нафига им вообще служба безопасности, если по любому поводу надо идти в полицию? То есть по факту нельзя доверять даже сотрудникам в банке, и банк за это не отвечает никак. А чтобы через суд возвращать - это надо много времени и желания и/или ресурсов.
зачем банку быть заинтересованным если его за это не наказывают?
Ну там например репутация перед клиентами, уголовная ответственность и штрафы за слив персональных данных клиентов. Хотя о чем это я)))
Удачи тем, кто остается в желтом банке) Прям вот правда удачи
в красном тоже
да причем тут удача. если вчитываться история вполне обычная для любого банка. Например после реги ип звонки сыпятся вообще отовсюду даже с учетом того что рега была не через банк а напрямую... А там уже если мошенник подключится плюс хакер...
Только про тинькофф почему то такие истории всплывают преимещественно. Про другие банки бывает, но редко
да вообще то нет,причем вход по коду и номеру карты это еще в сбере было, тогда они просто 4значный код заменили шестизначным - что для мошенников без разницы, таких историй про все банки много просто на профильных площадках.
Спэшл для тех, кто считает, что с ними НЕ произойдёт такого и вообще... Автор без мозгов. Такую стену текста написал)
Написал бы мало - посчитали, что вру и не имею доказательств.
🤝Моё дело было предупредить людей - потому что аналогичный развод может произойти с любой мамой, бабушкой, отцом...
Кем угодно.
Не надо только пытаться оправдать банк.
У них для этого есть свои отделы. Пусть сами отвечают за то - почему левые типЫ имеют инфу про приезд представителя к клиенту банка. Почему у левых людей есть номера карт и не только.
И ПОЧЕМУ НОМЕР КАРТЫ - это норм защита при входе🤷♂️
P.S. Если кто-то работает в тиньке и вообще банк ему как семья и даже больше... Потому он пытается защитить. Тогда ладно)
Здравствуйте.
В целях безопасности не рекомендуем сообщать никому код из смс. Не все операции можем оспорить.
Изучим детали и вернемся с комментариями.
Я вам могу еще более интересный кейс рассказать про поддержку Тинькова) Я написал прям из приложения к ним в саппорт, надо было что то с ОСАГО сделать, не помню что уже. Так вот женщина в поддержке без тени сомнения говорит, что ей чтобы запрос подписать, надо код из смс продиктовать, и действительно присылает мне код, даже два. Один из тинькова, а второй через 0,5 сек на запрос потреб кредита под мои данные в ВТБ))) Хорошо заметил подвох)
причём Тинькофф действительно присылает код в СМС, где написано никому не говорить код, только высылает его оператор колл-центра и тебе надо ему же продиктовать. Тинькофф потом ответили "да, это были мы, не проработали процессы, сорян". Пруфы у меня в профиле, пост в Приёмной. Так что в этом банке может быть что угодно.
А ещё от ФССП постановления на взыскание принимают только бумажно Почтой России и фактически должники только Тинькофф и пользуются, так как он остаётся без ареста. Ну то есть опять возвращаемся к тому, что нечистоплотный банк для финансово нечистоплотных людей. Хотя лично для меня плюс ))