Дыра в системе безопасности банкоматов Тинькофф
Небольшая история о том, как некто-пользователь банкомата Тинькофф снял все деньги с моей карты, благодаря ошибке в системе безопасности Тинькофф, о которой пишут их клиенты уже несколько лет. И пара любезных слов про работу 76 отделения полиции города Санкт-Петербурга.
Последовательность событий
В данный момент я нахожусь за границей. Перед тем как у ехать, я сделал к своей основной дебетовой карте Тинькофф (MasterCard) дубликат Мир, чтобы была возможность класть деньги в России, а снимать в другой стране. Основную карту отдал родственнику, а Мир забрал с собой.
09.06.22 родственник положил мне на счет наличные двумя операциями в 08:07 и 08:10. По привычке карту не вставляли, а прикладывали к банкомату с помощью NFC. Так как у родственника нет доступа к моему онлайн банку, после пополнения он еще раз приложил карту и ввел пин, чтобы проверить баланс, после чего ушел от банкомата (официального банкомата Тинькофф по адресу 9-я Советская улица 5а).
Ровно через 2 минуты после второго пополнения, в 08:12 с карты были сняты все деньги.
О том, что деньги украли я узнал через несколько часов, когда зашел в онлайн банк и обнаружил пустую карту. После этого звонок родственнику, который в ужасе побежалписать заявление в полицию, и звонок в банк с заявление о мошенничестве и краже денег.
Главное, что карта находилась у родственника, он ее не терял. В банке тоже зафиксировали обращение и уверяли, что впервые слышат о краже наличных со счета без использования физической карты. На ум приходили разные варианты, от фишинга, до какого-нибудь экзотического скимминга. Однако, все оказалось прозаичнее.
Что произошло
Гугл быстро помог найти друзей по несчастью. Оказывается, после проверки баланса или отмены операций по пополнению или снятию денег с банкомата Тинькофф (при прикладывании карты), второй раз не нужно вводить пин-код, банкомат любезно дает 45 секунд доступа к вашему счету любому желающему без повторного входа, если вы не знаете о необходимости нажать серую кнопку "Выйти" в левом нижнем углу.
Следующий пользователь банкомата может и не заметить подвоха: вроде приложил карту, привычного вида окно "Снять-Пополнить-Перевести-Оплатить", вот только пользуешься не своим счетом, а счетом предыдущего клиента банка Тинькофф. Случается, люди кладут так свои деньги на чужие счета. А бывает и откровенные мошенники ждут, пока очередной зевака отойдет от банкомата и не завершит сессию.
На просьбу о предоставлении списка операций по моей карте в данном банкомате, а так же отправить видео с камер наблюдения, они просят подождать 3 часа каждый раз, когда я им звоню. Каждый новый сотрудник колл-центра не имеет понятия о предыдущих запросах, но охотно готов отправить операции и видео через 3 часа.
Итог
От банка Тинькофф жду полного возврата денег, так как я не могу нести ответственности за грехи их системы безопасности и дизайна системы банкоматов. На выяснение обстоятельств и попытку возврата средств Тинькофф отводит себе времени до 26.06.22, те 17 дней со дня кражи. Почему нужно ждать 2,5 недели, чтобы признать вопиющие проблемы своих банкоматов и вернуть деньги - не сообщается.
Bonus:
В Отделение Полиции №76 родственника пустили только после допроса в ходе звонка в домофон "Зачем звоните?", "Какое заявление?", "Почему вы приходите, а не пострадавший?" и так далее. После длительной, но успешной просьбы войти в участок дверь таки открыли. Женщина в окне местной "регистратуры" сказала сидеть и ждать. На вопрос кого нужно ждать, тк никого больше в комнате не было, женщина просто отвернулась в стену и не отвечала. Через некоторое время пришел господин полицейский, трезвость которого вызывает вопросы, заявил, что деньги со счета украл я, и что пусть тогда я и прихожу писать заявление. Действия сотрудника полиция считаю незаконными, к сожалению не могу указать имя этого человека. Заявление в полицию может написать любой желающий. В итоге пришлось оставлять в электронном виде на сайте МВД.
PS Удивительно, но зачастую на претензии о подобных случаях, представители "Тинькофф" умудряются отвечать лаконичным "необходимо завершить сессию самостоятельно, либо дождаться этого. Ошибок в работе банкомата нет". Позорище.
Здравствуйте.
Когда вы к нам обратились, мы поступили верно. Заблокировали карту, личный кабинет и мобильное приложение. Затем передали ваш вопрос профильным специалистам. В дальнейшем у вас уточняли, почему вы обращаетесь. Ошибок с нашей стороны нет.
Нам нужно было время для проведения расследования. Ускорить разрешение ситуации не могли.
Также приняли меры и рассмотрим возможность, чтобы при незавершенной сессии в банкомате предупреждали о том, что нужно выйти из аккаунта. Как можно быстрее постараемся рассмотреть этот вопрос и сделать такую функцию. Деньги вам вернули.
ну вот казалось бы места на экране после запроса баланса много. огромными желтыми буквами пишем завершите сессию и делаем кнопки посередине "завершить" и "продолжить". ну неужели трудно, а @Тинькофф
это костыль в любом случае. Тиньковский банкомат _авторизует_ операции снятия, но не пользователем а где-то закешенным пином. Это в любом случае обход правил авторизации "со стороны банкомата". А так как держатель карты данную операцию не авторизовывал - следовательно ответственность за нее несет уже банк.
А Вы вот так прямо в заявлении и написали, что отдали карту третьему лицу?
Что отдал родственнику.
п. 3.3.10 Условий комплексного банковского обслуживания физ. лиц читали ?
Замечание справедливое. Однако, у банка этот момент претензий не вызывал. Да и было бы странно, если бы из-за этого они бы отказались работать со случаем мошенничества.
Вы были бы готовы иметь отношения с банком, который перестал бы с вами работать из-за того, что вы передали карту супругу или родителю?
Он не вызвал претензий не у банка, а у маринки, ничего не решающей.
Вы своим признанием банку задницу прикрыли.
@Тинькофф
Здравствуйте.
Напишите, пожалуйста, ваши ФИО и дату рождения нам в личные сообщения. Разберемся в ситуации и проверим, что можно сделать.
Добрый вечер. Отправить в сообщения вашей страницы?
Да, верно.
Да кнопочка Выйти в дизайне банкомата совершенно не выделяется. Но я всё же её не забываю нажимать 🙄
Комментарий недоступен
Не прислали. Каждый раз обещают прислать в течение 3 часов, а потом просят перезвонить. Когда перезваниваю, слышат просьбу в первый раз и опять говорят про 3 часа. Так и написал в посте.
Родственник самый близкий, абсолютно доверяю.
Ну решатся проблема банально: на каждое снятие наличных запрашивать пин-код повторно.
Это вина родственника, по сути у тинькова подобные случаи расписаны и призвать к ответственности не получится никак, как и вернуть деньги. Ты же подписывал договор обслуживания. А ты его читал? То то и оно! Заявление писать в полицию нет никакого смысла, так как арестуют родственника. Мало ли, что он там, может с кем то договорился. По сути не важно, статья может быть не отменяемая и просто забрать заявление уже не получится, родственника посадят с конфискацией. Что бы ты ни делал, как бы не дёргался, денег не вернуть.