Как мошенники научились подтверждать личность в банке ̶ч̶е̶р̶е̶з̶ ̶в̶и̶д̶е̶о̶с̶в̶я̶з̶ь̶ . Всё оказалось проще
Наступил 2024 год. Год технологий и новых мошеннических схем!
25 января
Все началось в четверг, когда мне не удалось войти в личный кабинет Тинькофф Банка. Заподозрив неладное, я тут же обратился в службу поддержки. Сотрудник проверил информацию и сообщил, что возникла проблема с мобильным приложением. Затем пообещал, что со мной свяжутся на следующий день. Однако звонка так и не поступило. На тот момент я редко пользовался услугами банка, поэтому благополучно забыл об инциденте.
29 января
В понедельник вспомнил о проблеме и вновь попытался войти в приложение — безуспешно… Тут же узнал о веб-версии Тинькофф, через которую мне наконец удалось попасть в личный кабинет. Однако там, где раньше отображались карты, пустовала надпись: «У вас еще нет продуктов»… Я впал в ступор. Подумал, может веб-версия приложения тоже тормозит? Ведь представитель банка ещё при первом обращении на вопрос: «Меня случайно не взломали?» утвердительно ответил «Нет».
Неприятное подозрение закралось снова, и тогда я написал в поддержку через веб-приложение. Там мне сообщили, что информация по счету могла не успеть обновиться. Тут я уже не выдержал и позвонил на горячую линию. Выяснилось, что в базе существуют 2 записи обо мне, и чтобы карты отобразились, их нужно объединить.
Тогда меня попросили пройти подтверждение личности по видеосвязи. И пока я проходил, узнал много интересного. Оказалось, что к личному кабинету был привязан неизвестный номер.
Неизвестными были так же почта, адрес и кодовое слово. База отображала 2 учетных записи, в одной из которых была допущена ошибка в паспортных данных. В этот же день я узнал, что одна из карт была заблокирована при попытке перевода на сумму 50 тысяч рублей. В течение дня я выяснял с поддержкой, что произошло… Дело шло к ночи. Вместе с сотрудницей банка обновил все данные и принял меры предосторожности. В конце мне пообещали, что скоро доступ восстановят, поэтому окончательно успокоившись, я отключился.
Однако кошмар только начинался…
30 января
Так и не получив доступа в мобильное приложение, я снова позвонил в банк. Очередной оператор сообщил, что операций было пять, в том числе с кредитной карты ― на сумму 68 тысяч рублей. И случилось это еще 22 января, после чего мошенник перебрал с аппетитом и операции начали блокировать.
Далее активность вредителей перешла на новый уровень. Мне позвонил представитель Тинькофф Бизнес, который собирался встретиться для подписания бумаг на открытие счета. Естественно, ничего я открывать не планировал, о чем сразу же сообщил.
В этот же день сотрудники Тинькофф предложили заблокировать и перевыпустить все карты. По итогу их чуть не отправили в Челябинск… в комплекте с двумя сим-картами, которые я даже не оформлял. Притом, что прошлой ночью сотрудница банка получила подтверждение моего московского адреса.
В итоге я составил заявление, с которым обратился в полицию. Изучив поступавшие на телефон СМС, мы выяснили причину взлома. Оказывается, еще 18 января Тинькофф Банк назначил видеозвонок, который похоже прошел «успешно». А уже 21 января мошенник изменил номер телефона, после чего получил полный доступ к личному кабинету.
И я мог обнаружить это сразу, если бы не отключил iMessage. Рекламщики уже давно превратили телефон в спам-помойку и критически важная информация рассеялась в море сообщений. В какой-то момент я устал с этим бороться и отключил уведомления.
Тут хотел бы обратиться к нашему Правительству с просьбой призвать к ответственности спамеров и запретить им засорять канал СМС-оповещений. Либо сделать так, чтобы важная информация приходила через другие каналы или чаты, где нет ничего лишнего.
Позже я обнаружил, что мошенник вёл длительную переписку в моем личном кабинете и добивался разблокировки карт.
31 января
В течение дня я сопоставил информацию и выстроил вероятную цепочку событий:
- Мошенник позвонил с неизвестного номера, сообщив, что старый ему не принадлежит и телефон срочно нужно заменить.
- Тинькофф Банк потребовал подтвердить личность через видеосвязь, после чего ссылка на конференцию пришла на мой номер и номер злоумышленника.
- Мошенник подтвердил личность через видеосвязь в другом городе, используя технологии deepfake. (Позже выяснилось, что взлом произошёл не через видео-звонок. Подробности в конце статьи...)
- Получив доступ к личному кабинету, он изменил все данные: номер телефона, пароли, почту, адреса и паспортные данные.
- Затем заказал сим-карты в другой город, попытался открыть бизнес-счет и кредит. И вывел со счета 68 тысяч рублей.
- Далее мошенник заставил Тинькофф Банк усомниться в моей идентичности, что дало ему немного форы. Пришлось экстренно возвращать себе номер телефона и другие данные его же методами ― через видеоконференцию.
Вроде бы разобрались. Однако градус безумия не планировал сбавлять обороты.
Получив восстановленные карты, я проверил доступ в мобильное приложение и увидел, что банк закрыл заявку. Тут же написал в техподдержку с закономерным вопросом: «С какой стати?». Получил размытый ответ о том, что операция по переводу средств и стала поводом для закрытия обращения. Я оторопел. Какой перевод?! Как выяснилось, перевод тех злополучных 68 тысяч рублей, которые ранее украли мошенники. Вы что-нибудь поняли? Я вот тоже не очень.
В недоумении снова написал в поддержку и описал ситуацию, как есть, приложив скриншоты из СМС. Банк снова открыл заявку.
1 февраля
Утром пришло сообщение о том, что номер изменён. Очередная попытка войти в личный кабинет не увенчалась успехом. Повторно позвонил в Тинькофф Банк за пояснениями. Меня попросили пройти верификацию по видеоконференции и восстановили доступ. Второй раз за три дня.
Зашел в приложение… и увидел, что с новой кредитной карты списали ещё 140 тысяч рублей. То есть, суммарно мою кредитку опустошили уже на 200 тысяч!
Шок сменился неверием – мошенник тем же методом обманул службу безопасности Тинькофф банка дважды. Через один личный кабинет. Не хочу шутить про грабли, но в тот момент напрашивалось…
Внезапно переписка с поддержкой исчезла и заменилась на чат с мошенником, который пытался разводить службу безопасности с февраля прошлого года!
Подводя итоги:
В этой ситуации меня интересует пять вопросов:
- Как злоумышленнику удалось дважды обмануть сотрудников Тинькофф банка одним способом?
- Почему они не усомнились в его действиях, когда он несколько раз изменял паспортные данные?
- Почему у меня появилась переписка из неавторизованного чата, которая не отображалась ранее?
- Неужели дипфейк оказался настолько удачным, что у них даже не закралось подозрений? (После расследования выяснилось, что видео-звонка не было и подобным случаем банк не обманывали. Подробности ниже...)
- Разве в век технологий не стоит быть внимательнее и совершенствовать подобные проверки?
P.S. (После внутреннего расследования Тинькофф банка)
Банк провёл расследование и связался со мной. По словам представителя мошенник ввёл сотрудников в заблуждение. Была заведена новая учётная запись, затем он добился её слияния с моей и получил доступ.
Возможно ли обмануть банк через дипфейк?
Сегодня в открытом доступе есть программы, которые имитируют лицо и мимику по фото и видео из соцсетей. Даже могут заставить вашу цифровую копию отвечать на вопросы.
Программа, которая может качественно имитировать любое лицо в режиме прямой трансляции
Так же доступен софт, который синтезирует ваш голос, используя за основу аудио из запрещенных в России Instagram, Whats App и Telegram.
P.S. (После внутреннего расследования Тинькофф банка)
Официально не зарегистрировано случаев мошенничества через deepfake. Но это не означает, что подобное невозможно в будущем. Желаю службе безопасности Тинькофф оставаться на шаг впереди.
Я Александр Кубор (по паспорту Швецов), 3D-художник из киноиндустрии. Активно веду соцсети и интересуюсь развитием нейросетей, к которым и относится технология deepfake (дипфейк). Понимая принцип работы, дам пару советов, как разобраться, где человек, а где цифровой двойник:
- Попросите собеседника сильно помотать головой;
- Предложите помахать руками перед лицом.
Пока технология не совершенна будут возникать помехи. Вы сразу заметите, что картинка искажается или вовсе пропадает. Возможно, на миг вам даже удастся увидеть настоящее лицо злоумышленника.
Моя история подошла к справедливому финалу.
Будьте бдительны и осторожны. К сожалению, мошенники учатся на ошибках так же быстро, как и мы.
Здравствуйте.
Мы детально проверили вашу ситуацию - она не имеет никакого отношения к дипфейкам, они здесь не применялись. В Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, из-за чего произошло объединение клиентских профилей, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства вам будут возмещены в полном объеме, приносим наши глубочайшие извинения.
Тогда как объяснить запрошенный видео-звонок 18 января? Неужели там был другой человек в кадре и это прошло проверку? Или видео-звонок не состоялся вовсе и всё решилось через обычный звонок или чат?
Видеозвонок не потребовался.
Получается мошеннику удалось обмануть сотрудника случайной ошибкой?! Однако я 2 раза возвращал себе доступ при помощи видео-звонка, из чего и сделал логичный вывод о методах мошенника. Что ж, с ваших слов обошлось без проверки по видео... Надеюсь, что это так!
Оправдание у них хуже признания вины, выходит, что банковский счет любого клиента может быть уведен мошенником без должной аутентификации вообще :D
Доброе утро, прочитал вчера на ночь вашу историю. Очень интересно. Сразу написал в тинькофф, спасибо кстати за совет, на будущее буду знать. Ну и тинькофф моментально мне ответили, что информация в статье (в этой) не соответствует действительности. Ну впрочем, я этому удивлен не был. Это классический ответ отрицание реальности.
У меня с ними в сентябре была другая история. Мне в 4 утра аннулировали полис ОСАГО без моего участия. Еду в 9 утра на работу, приходит смс что ваша ОСАГО не действительна. Захожу на сайт страховщиков пробиваю осагу по ИД и действительно, аннулирована. Пишу в тинькофф, мол ребята, а это как обьяснить? А они пишут - "так вы сами ее аннулировали". И дальше был диалог в котором мата было больше, чем приличных слов. Итого. Выяснили. Что в 4 утра какой то скамер, подделал в фотошопе дкп на мое авто, зашел в чат тинькофф без авторизации (моей) скинул дкп им и написал что он это я, что он продал машину, и требует аннулировать осаго, а деньги, ВНИМАНИЕ, были переведены не на карту, с которой я покупал, а НА КАРТУ МОШЕННИКА. Вот это самый лютый прикол от СБ тинькофф (передаю вам привет кстати). Он также сменил номер телефона осаги. Отображался телефон мошенника в базе ОСАГО еще спустя 2 недели после инцидента.
Вопрос к тинькофф банку был как какой то левый чел с фотошопом ДКП сделал смену номера телефона, без уведомления меня и смски на мой настоящий номер телефона
Как он вообще продал машину по ДКП если она в залоге банка тинькофф по кредиту.
Как он вернул деньги на чужую карту, с которой не покупалась страховка.
Очень долго банк насиловал мне нервы и мозги, ответ был оформите новую страховку заново оплатите и разберемся. И слово разберемся длилось ну неделю. После я вышел из себя и говорю если сегодня не будет компенсации страховки, морального вреда, я беру все скрины, кидаю их в меш, фонтанку и тд и потом мы посмотрим, какие репутационные риски вы понесете и какой ущерб будет из-за данного инцидента. В тот же вечер, страховка была покрыта, моральный ущерб возмещен. А сб отзвонилась и оправдывалась тем, что я не один, кого так заскамили, будто это информация меня как то должна была успокоить. Но вопрос, кто бы платил если бы я с утра попал в ДТП - остался риторическим. Прикреплю один скрин своей истории, чтобы не быть "голословным".
Так вам в пддержке не наврали по этой статье, дипфейка как выяснилось не было никакого. Пока технология не продвинулась так чтобы обойти обычное видео ид. По вашей истории уже надо изучать кейс. Вплне возможно что это общая дыра у разных СК. Помню когда-то давно продавцы могли возвращать деньги с покупок клиентов себе наличными с кассы если чек покупатель оставил на кассе. Тут надо изучать кейс и как получилось это у мошенника, как он на вас вышел. В большинстве случаев сейчас проделки скамеров - это социнжерения, от которой не всегда есть противоядие у банков, поэтому и так важна сохранность личных данных.
Тогда не пойму мотивацию автора. В любом случае, он принес пользу. Смену номера телефона - запретить навсегда. Ибо это открытая дыра. Ну и смена паспортных. Это вообще только лично. Сейчас подделать можно все. А по поводу дипфейка. Если тинькофф имеет информацию, чтобы указать автору на его неправоту, почему они не скажут, в чем истинная причина того, что происходит? Автор Тайлер Дёрден? У него много личностей, которые общались с ТП?) Не совсем понимаю почему не поставить точку, ведь эта статья поднимет кол-во заявок в тинькофф на запрет видеосвязи и тд и тп.
id9138
ахахаха привет, какой звонок из прошлого. Не ожидал
Привет Боне, Юре, Арману. ))
Банки всегда уходят в отрицалово, даже если оно полностью абсурдно и их уже поймали на лжи. Это как Альфа Банк мне утверждает, что никакой утечки не было, а в это время по интернету гуляет файлик на миллионы строк, где есть карты и данные даже директоров банка.
дайте мне возможность выйти с этого корабля вселенской цифровизации и всеобщего удобства - подобные сообщения заставляют тебя думать что следующим будешь ты!
мне кажется что такую же схему скамер мог бы провернуть и условно в альфе, где тоже стараются выйти на цифровизацию и по минимуму звать в офисе человека. Но в вашем случае история должна быть с хэппи ендом, потому что вряд ли это дроп, если уже судя по контексту второй месяц все это делает, через полицию высокие шансы на него выйти и изъять похищенное. Удачи вам!
Как обычно, снова Тинькофф.
Вечно у них проблема с безопасностью, даже начинаю задумываться, какие-такие они вечно мероприятия и курсы по разработке преподают, раз любой чепух может обойти их защиту приложения, как у ребенка конфетку отобрать
Недавно вспоминается, что через карты junior который на ребенка, также мошенники спокойно получали доступ к аккаунту)
ну и клоуны боже
Видел недавно тут статью где у девушки банкомат скушал 700к, а закинул 350к и Тинькофф ей говорит что лишних денег не было, а записи с камер недоступны, простите нас но вы без 350к теперь
А читали статью? Логи и инкассация опровергли лишние купюры. У человека якобы исчезла ровно половина, тогда как в отзывах у людей в сбере, тинькофф, альфе обычно банкомат недосчитать может 10-50к от крупных сумм. Там странность на странности, я бы не сразу доверял авторам таких постов.
У моей знакомой была такая же ситуация, правда с сильно меньшей суммой (10-15 тыс пропало, не помню точно). Тинькофф ей абсолютно ту же дичь втирал. Она шум подняла и нашла ещё несколько таких же случаев, но денег так и не увидела.
Такие ситуации можно найти на старом добром банки.ру, там помню про сбер много жаловались. Суть в том что "потерянные" купюры просто так не теряются, всегда есть отчет банкомата (лог машины) и инкассации (руками). Если бы было так легко на каком-то этапе воровать так деньги, у нас полстраны работало бы в инкассации.
Ну а я вам привел пример, где Тинькофф со ссылкой на логи, сказал что у них всё хорошо и инкассация лишних денег не нашла. Испарились. Как вы можете проверить слова банка?
Ну наверняка же можно попытаться запросить какие-то дополнительные доказательства от банка, чтобы убедиться в их правдивости. Что-то типо подробного отчета о транзакциях или дополнительные объяснения от службы поддержки клиентов. На крайний случай, обратиться в независимые органы, которые могут помочь разобраться именно в таких запутанных случаях как вы описали.
Это чистая правда. Такое ощущение, что их курсы их же разрабам не помешает пройти. Но вообще не понимаю людей, кто еще держит деньги в этом отстойнике
Всем привет, была попытка захвата ИБ около 4 лет назад, началось все с того, что жене пришла смс о выпуске карты и назначении встречи с курьером. Зашли в МБ увидели карту, подумали, что ошибка заблокировали, потом всеже написали в ТП. Там выяснилось, что заказали доставку карты к Набережные челны, мы попросили отменить доставку и передать данный случай в службу безопасности, и зарегистрировать обращение с разъяснением ситуации - как такое могло произойти. С нами обещали связаться.
На следующий день приходит смс, что был изменён контактный номер телефона, вот тут мы уже офигели. И следующие 3 часа повели в телефонных переговорах со службой поддержки, потом переведи на безопасников и потребовали видео звонок с паспортом - только так удалось отбить свой ЛК. Мошенники отказались от видео звонка. На обращение с требованием объяснения ситуация, как такое могло произойти и какие меры будут приняты для не повторения так никто и не ответил.
они до сих пор не могут ответить как защищают клиентов от такого. Потому что сами не знают. Они же онлайн банк.
Приветствуем.
Приносим извинения за ситуацию. Мы детально проверим наши консультации и работу систем, чтобы выяснить, по каким причинам могло произойти подобное. Сделаем все возможное для возврата денег.
По итогам вернемся с результатом.
Номер снова поменяли. 3-й раз я не буду ничего уже делать. Разберитесь пожалуйста сами. Мой настоящий номер вы знаете!
Здравствуйте.
Мы продолжаем работать над вашим вопросом. С окончательным комментарием вернемся сразу, как будем готовы.
Благодарю за внимание!
Только что узнал, что изменить номер телефона можно через видеозвонок. Эта функция включена по умолчанию у всех и отключить её можно только через звонок в техподдержку!
Лишний раз убеждаюсь, что старый добрый оффлайн безопаснее. Спасибо, что поделились историей, жаль неоправданно мало комментариев.
Если быть точнее, подтвердил от оператора Тинькофф.
Складывается впечатление, что тинькофф - одна большая уязвимость) у вас там есть хоть какая то защита вообще?
Я так понимаю это сугубо ваше мнение? Оно очень уж негативное.. но мошенники были всегда и будут развиваться дальше. И уж поверьте, многие банки делают все, что бы предостеречь своих клиентов, и тинькоф в этом всем не исключение.. Они используют современные технологии защиты данных и фин. операций, включая двухфакторную аутентификацию, и причем многие люди на столько информационно необразованы бесятся когда банк защищает их же данные. Так что, тут явно проблема не в банках
Полностью согласен, некоторые люди просто сами зная что это мошенники выполняют их просьбы а потом бегут в слезах в банк и ноют что их обманули, взрослые люди а ведутся как дети.
Тинькофф как был безопасным банком так и остался и более того система безопасности растет с каждым дней, раньше видеозвонка вообще не было и приходилось сидеть и ждать СБ 3 дня когда напишут, а сейчас в моменте можно подтвердить все.
Комментарий удален автором поста
Комментарий недоступен
Обычно в банках смена номера при личном присутствии.
Беги, Форест, беги!
Онлайн банки, дают более гибкую систему регистрации данных из любой точки мира!
Денег нет, сим карты нет. И главное всё правильно. (с)