Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
Приветствуем! Можем подробнее разобрать, как произошла ситуация, которую описываете в отзыве, если подскажите ФИО и дату рождения в ЛС.
Что касается входа в приложение с нового устройства, то сделать это совсем просто. Помимо кода из СМС, номера карты, пароля, мы можем запросить и ответ на контрольный вопрос, если устройство или IP-адрес будут подозрительными. Вся эта информация доступна только самому клиенту.
Кодовое слово можно изменить по обращению в Центр обслуживания, но и тут паспортных данных будет недостаточно, набор вопросов меняется и предугадать это невозможно, это же касается и изменения телефона. Кроме того, мы в автоматическом режиме сверяем голос клиента и учитываем с какого номера он звонит - от этого зависит количество вопросов.
1. Предложение подойдет далеко не для каждого клиента. Особенно, если клиент любит путешествовать или не запоминать пароли.
2. Тут также, большинство клиентов пользуется только одним устройством для входа в личный кабинет и если возникнет непредвиденная ситуация - это доставит ряд неудобств.
3-4. Да, такие предложения уже были, передадим еще и от вас.
В любом случае, спасибо за фидбэк и неравнодушие. Все отправили коллегам, пожелания рассмотрим!
Давно пора позволить иметь разные номера телефона для входа и для сбп.
Давно пора позволить иметь второй фактор в виде аутентификатора, совместимого с гуглом и требовать его ввода при входе с новых устройств.
Опциональность этих шагов не создаст проблем тем, кто не понимает зачем это и защитит тех, кто понимает как это работает.
Банки вообще не любят сторонние аутентификаторы типа Google Authenticator)
конечно, ведь тогда невозможно будет войти с левого устройства и снять деньги с кредитки. какая-то чаcть клиентов гасят такие кредиты, а не связывается с правоохранительными органами. зачем терять доход?
Образец криминального мышления.
Это мышление им прибыль приносит. Вполне логично, что оно им выгодно.
PS я понимаю, что вы в этом обвинили меня, не их. Хорошо быть умным.
Не верю, что банки настолько плохо думают) Тут все намного проще, чем сложнее восстанавливать доступ в интернет-банк, тем в масштабах страны пользователи потратят денег.
так это все можно делать опционально. с предупреждением, что вы должны понимать что делаете, и о том, что восстановить доступ к такому аккаунту будет существенно сложнее. А мы же этого добиваемся нашими просьбами?
Это совершенно наивная и глупая теория.
Предположим(и немного все упростим, для простоты счета) что есть 10 человек на которых оформили мошеннические кредиты, на каждого кредит сроком 1 год, под 20%. Если хотя бы 2 из этих 10 человек, пойдут в суд и докажут что кредит мошеннический, то это уже не выгодно банку. И это мы посчитали только чисто сумму кредита, а если добавить сюда репутационных издержки + судебные, то банки абсолютно точно теряют на этом деньги.
Так что ваша теория - полнейший абсурд, стоит в одном ряду с плоской землей )
а чем это невыгодно банку? банк при этом не вернет деньги пострадавшим. возвращать будут правоохранительные органы, если найдут похитителей. а издержки. ну давайте попробуем оценить. у вас очень хорошо получается.
Банк выдал человеку кредит, потратив свои деньги, человек пошёл в суд и доказал что кредит он не брал, суд обязал банк отстать от человека. Банк потерял деньги. Очень выгодно, вы правы 🤷
тогда у меня к вам вопрос - почему сейчас банку выгодно терять деньги и они не чешутся, чтобы ситуацию поправить?
ps научите добавлять идиотские картинки в текст
Комментарий удален модератором
Непонятно, почему вы их обвиняете в этом мышлении. Причем, всех сразу.
Все просто. Вдруг они в ответ начнут предпринимать шаги не позволяющие мне их в этом обвинять.
Вы конечно в курсе, что мировую банковскую систему контролируют инопланетяне?
до сих пор думал, что вменяемые люди, которые могут читать и воспринимать аргументы. тем более, что они тут есть. приму к сведению вашу информацию, хоть она и кажется мне недостоверной.
ps. мне приятно, что я вызвал в вас острое желание подоминировать.
Никакой доминанты. Просто информация для размышления. Кстати, многие комментаторы здесь - сотрудники спецслужб, создающие впечатление адекватности, для маскировки от банковских ботов инопланетян. Я к таким не отношусь.
Это вы на полном серьёзе?
Конечно. Тэги <sarcasm> имеют размерность шрифта ноль и поэтому их не видно.
сарказм это как раз один из способов подоминировать представив собеседника в невыгодном свете. вы ранее сказали, что никакого доминирования. вот люди и решили, что вы на полном серьезе.
Всё верно и Земля дискообразная. Всё проклятые инопланетяне инфляцией балуются.
сомневаюсь. Я где-то читал, очень давно, что на самом деле, она имеет форму чемодана.
Интересно, а где это вы такое читали?
Комментарий недоступен
Вот видите, вы в курсе. Значит, не все еще потеряно.
Достаточно почитать сводки новостей, в которых рассказывается о мошенничествах на фондовых рынках, уклонении от уплаты налогов, скрытии доходов, подозрительных операциях, отмывании и легализации преступных доходов и других финансовых преступлениях, да и просто – оглянуться на всю финансовую историю мира, чтобы понять, что каждый банк точно есть в чём обвинить(ять).
Прям каждый? Да вы, батенька, вообще неразборчивы. Без обид, какой у вас цвет волос? Блондин?
Рыжий. А какое отношение цвет волос имеет к банкам и незаконным вещам, которыми они занимаются?
Комментарий удален модератором
🤣🤣🤣🤣
А завтра Google Authenticator заблокируют в России и банку всё переделывать.
можно яндекс аутентификатором воспользоваться. или любым другим с открытым кодом.
Пусть продают свой аппаратный, в чем проблема ?
Ну это же сторонний софт, который банк не контролирует, видимо для банка - использование стороннего софта видится риском.
нет проблем написать свой аутентификатор по открытым алгоритмам. главное не быть как яндекс и не добавлять в эти алгоритмы отсебятины, чтобы люди могли использовать привычные для них решения.
Google Authenticator Топ) =😎
мне больше нравится 1password
Чем он лучше Google Authenticator или какая между ними разница (отличие)¿?¿
на иос заполнение паролей и одноразовых кодов по фейстайм в большинстве сайтов/приложений. на андроиде по-моему все не так весело.
но на mac/iphone/ipad прекрасная штука.
МММ но и Apple тоже не святые доверия нету потому предпочитаю зелёного робота 🤖 с открытым 🔓исходным кодом и подстройкой под себя, владельцы Apple уже идёт отток в пользу 👤 зелёного так как он предпочтительнее дешевле и приятнее) =😎 У IPhone плата больше всего идёт за сам бренд это надкусанное🍏🐍.
я не навязываю. это удобно и это, к несчастью, недоступно на андроиде.
Эт Почему же к счастью¿!¿😃😄😆
Какой + от этой фичи сейчас нету ничего на 100%%%безопасного потому таки не чувствую себя в уверенности.
какое же это счастье, если именно это не дает использовать андроид мне? на мой вкус гораздо приятнее, когда телефон просто убеждается что ты это ты и подставляет коды в приложение.
Ммм ну каму какое счастье камооон 😂) =😎.
ну кому-то надо настраивать телефон под себя, а кому-то из настроек под себя достаточно мелодии звонка и расположения нужных иконок на первом экране.
зато кому-то не ломы открывать аутентификатор и копипастить код, а кому-то нравится что код подставляется по нажатию кнопочки по FaceID.
счастье у всех разное.
Я слышал что теперь и владельцы андроидов могут прочитать код из смс на компьютере под управлением windows. А подставляться он может сам на сайт, кстати, подскажите? мне проверить не на чем.
🤝
Комментарий недоступен
друг показывал ластпасс на андроиде, это похоже, конечно на историю 1password + iphone, но пока сильно отстает.
в целом андроид очень неплох, но все-таки такой легкости работы с паролями, которую может предложить Apple из коробки, а тем более с 1password он пока не может. Но думаю, что за пару лет ситуация сильно улучшится, и я смогу на своем навигаторе нормально автоподставлять пароли :) а пока мучаюсь и пересылаю себе их через телеграм с айфона, потому что это проще чем "автоподстановка" в приложения на андроид.
Недавно проходил собеседование в Тинькофф, они не любят когда их называют банком)))
А как их называть?
Группа компаний))) на крайняк финтех
Один фиг это банк
А нужно любить это отличная личная защита!¡!)
Я хотел разные телефоны в Сбере. Теперь у меня два телефона и подтвердить можно.... Любым. Любым пилять.... Можно выбрать телефон для получения кода подтверждения.
А так красиво все начиналось. Эту карту к этому телефону, эту к другому.
Ну и да, зайти можно просто по номеру карты и смс....
И всем похрен.
Я поддерживаю насчет аутентификатора. Правда есть подозрение, что это примерно НИКАК не сократит количество обворованных. Но это уже мое личное мнение. Аутентификатор надо добавить!
Тут больше забота о собственном счете, а не человеколюбие. Меня во всех этих историях волнует то, что с моими деньгами может случиться то же самое.
А что не так с СБП? Зачем отдельный номер?
Он ещё и четко показывает в каких банках у вас есть счета...
он сливает ваше имя и отчество, с которым к вам обращаются мошенники. если будет отдельный номер, то шансов, что вам позвонят на него и назовут вас по имени сильно снижаются.
Понятно. Но кажется если человек достиг уроаня что требует от банка два разных номера, то с мошенниками он не будет общаться и так.
тут было несколько историй, когда в сложных жизненных ситуациях попадали в ловушку крайне адекватные и здравомыслящие люди.
еще одна степень защиты совсем не повредит просто потому, что вы всегда будете знать - банк вам на общедоступный номер не позвонит.
Комментарий недоступен
вам виднее. я думаю рано или поздно вы тоже столкнетесь с подобным. не обязательно с банковским приложением. причин для такого расклада очень и очень много, но обычно достаточно просто удачного стечения обстоятельств для мошенников. конечно, вашу позицию вы к тому времени забудете, но уж сто процентов не будете считать себя получившим по заслугам. может быть станете чуть более мягкими в формулировках.
в любом случае мне непонятна позиция людей, которых предлагаемые нововведения особо не затрагивают, но их заявления основаны на "пусть все будет так, потому что я никогда в жизни не ошибаюсь".
ошибаются все. вы не исключение.
Комментарий недоступен
Вы написали свой комментарий под обсуждением мысли о разных номерах для сбп и входа в банк. Поэтому и возникает непонимание. Меры которые обсуждают в комментариях не включают в себя блокировки операций с новых устройств. Только усиление мер защиты посредством кодового слова для сотрудников банка и введение нормального второго фактора для доступа к банку с новых устройств и, возможно, для операций.
Комментарий недоступен
Комментарий недоступен
Он может маме сделать отдельные номера.
В банке Авангард есть пластиковая карта со встроенным генератором OTP.
Это же не второй фактор, а замена sms.
Комментарий недоступен