Мои советы банку «Тинькофф»
Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
У большинства клиентов просто нет денег и какого-то понимания взаимосвязи между простотой и снижением безопасности. Вместо того, чтобы придумать способ безопасного хранения критических данных они предпочитают простоту доступа до своих и чужих денег. А банки даже платной опцией не хотят заморачиваться, выгоднее выдавать кредиты побыстрее.
Так что главное аккуратнее с телефоном и поменьше светиться. И есть банки где не так просто сменить номер телефона все же и лимиты
Банки не заморачиваются потому, что они не возвращают украденные деньги. Тут писали, что возвращают что-то типа 8%. Если бы им пришлось возвращать украденное, то 2fa появилась бы через неделю. Такое уже было с телекомами. Они показывали остаток траффика или баланс с задержкой в несколько дней. В поездках народ уходил в минус на сотни тысяч рублей. Операторы в судах стояли на оссутствии технической возможности показывать актуальный балланс. Потом одна пара ушла в минус на миллион рублей и выйграла суд. Техническая возможность появилась через неделю.
Да, конечно проблема именно в этом. И увы, тут только законодательно ее решить можно. Как только любые подобные случаи можно будет легко оспорить через ЦБ, а уж потом банк будет вынужден идти в суд итд итп сразу все станет иначе.
И уверен, всякие звонки прекратятся в три дня. Окажется, что найти телефонных мошенников и посадить вообще никакая не проблема. Те кто за рубежом куда-то почему-то исчезнут. Те, кто внутри страны сядут.
Собственно в разных других странах звонят конечно иногда, но очень редко. Раз в год или даже реже. И обычно всё-таки не коды подтверждения хотят, а чтобы ты сам денег перевел.