Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
Приветствуем! Можем подробнее разобрать, как произошла ситуация, которую описываете в отзыве, если подскажите ФИО и дату рождения в ЛС.
Что касается входа в приложение с нового устройства, то сделать это совсем просто. Помимо кода из СМС, номера карты, пароля, мы можем запросить и ответ на контрольный вопрос, если устройство или IP-адрес будут подозрительными. Вся эта информация доступна только самому клиенту.
Кодовое слово можно изменить по обращению в Центр обслуживания, но и тут паспортных данных будет недостаточно, набор вопросов меняется и предугадать это невозможно, это же касается и изменения телефона. Кроме того, мы в автоматическом режиме сверяем голос клиента и учитываем с какого номера он звонит - от этого зависит количество вопросов.
1. Предложение подойдет далеко не для каждого клиента. Особенно, если клиент любит путешествовать или не запоминать пароли.
2. Тут также, большинство клиентов пользуется только одним устройством для входа в личный кабинет и если возникнет непредвиденная ситуация - это доставит ряд неудобств.
3-4. Да, такие предложения уже были, передадим еще и от вас.
В любом случае, спасибо за фидбэк и неравнодушие. Все отправили коллегам, пожелания рассмотрим!
Ребята делайте уже что нибудь. Иначе мы свалим. Ничего личного но деньги надо хранить в безопасном месте а не в удобном.
Просто удивительно как много людей готовы рискнуть честно заработанным ради сомнительного "удобства".
Потому что везде трубят только про удобство, а про безопасность (точнее, ее отсутствие) узнаем из новостей и приемной на vc
Думаете, дело только в информированности?
Не только, но это основной фактор. Все до сих пор считают, что хранить деньги в банке это надежно.
А также и общая расслабленность мозга.
Никогда не забуду, как тётенька в помещении Альфа банка, окруженная фирменными листовками, стендами и прямо напротив огромного логотипа говорила собеседнице по телефону: "Маша, извини, нет времени, я в Сбербанке...".
Комментарий недоступен
Просто регулятор и суды не работают.
Комментарий недоступен
И деньги и нервы и потраченное время никто не вернет. Зато финтех, инновации, все дела) кстати, что там с инициативой о запрете выдачи онлайн кредитов? депутаты уже больше года обсуждают, а "воз и ныне там", ведь так?
https://www.banki.ru/news/lenta/?id=10946082
Мы всегда работаем над улучшением безопасности наших клиентов.
Нет
какие изменения для увеличения безопасности вы сделали за последние 5 лет?
Раньше, Вы работаете на мошенников, сливая информацию о клиентах
Нет. Вы даже все еще шлете смс и никакой альтернативы не предлагаете.
Хочу:
1. чтобы любые изменения данных в ЛК, авторизацию с новых устройств или запрос на изменение каких-либо данных по телефону нужно было подтверждать через емейл, в емейл должно быть указано какие будут сделаны изменения при переходе по линку.
2. чтобы все коды приходили не по смс, а в телеграм, логин которого нужно будет указать через ЛК.
В идеале еще дать возможность логина в ЛК/использования приложения только с айпишника, который резолвится по указанному в ЛК домену :)
Можно же не делать это обязательным для всех, но дайте возможность в настройках включить это тем, кто захочет
Главное Не на словах а На деле показывать заботу о клиенте-ах) =😎
Тинькофф Банк 🏦 ©Безопасность не слышали.
Безопасность дело серьёзное к ней нужно отнестись с максимальной ответственностью Tinkoff Он такой Один)=😎
Вы показывайте на деле заботу о безопасности своих клиентов а не бросайтесь такими словами на ветер 💨) =😎.
Комментарий недоступен
капля камень точит. со временем задумаются. а если статей не будет, то и повода задуматься не будет.
Комментарий недоступен
важно, что статью прочитает тинькофф банк. и ответит. когда ответов нужно больше будет проще решить проблему чем содержать отвечателей.
Комментарий недоступен
спасибо, я в курсе как это работает. этот же робот сортирует и считает сколько раз и в связи с чем упоминался банк. а это уже читают люди.
ну и опять же, если им приходится оправдываться здесь, то это имиджевые потери, что тоже не добавляет банку расслабленности. главное, автору не давать им уходить полностью в личную переписку.
Комментарий недоступен
Да, но только когда им действительно случается решить проблему. Например вернуть деньги или решить проблему, чтобы автор написал "ребята, они все разрулили". В остальных случаях "напишите нам в личку" ни вы, ни я же не считаем же хорошей работой?
Комментарий недоступен
я отслеживаютакие ветки примерно неделю. в том числе с помощью комментариев, где всегда находится кто-то кто считает что и так сойдет.
Тинькоф иногда делает то, о чем пишут в комментариях. Не так часто и не так быстро, как хотелось бы, но делает. И чем чаще о чем-то пишуть, тем больше вероятность это получить.
Где-то там плачет биоробот который это читает)
Куда свалите? Есть хоть один банк, у которого вход по паролю? Авангард?
Согласен 🤝) =😎