Как не попрощаться со своими сбережениями в банке «Тинькофф»

Однажды вы открываете приложение банка, а на счету 0. И на брокерском счете тоже пусто. Куда делись миллионы? Вы звоните в банк, а вам сообщают, что все средства были выведены вами пару часов назад. На самом деле это сделали мошенники, получившие доступ к вашему аккаунту. Так себе ситуация, да?

Обычно я пишу об инвестициях, т.е. о том, как сохранить и преумножить капитал. Однако всё это теряет значение, если у вашего банка/брокера обнаруживается дыра в безопасности, из-за которой накопления могут перейти в руки мошенников, причем без вашей вины.

Заметить подобную проблему мне помогли публикации на vc.ru, приведу пару примеров:

1. Раз пример.

2. Два пример.

Суть проблемы: мошенникам удается через звонок в банк сменить номер телефона, к которому привязан аккаунт жертвы, после чего они получают полный доступ к банковским и брокерским счетам клиента.

Несмотря на утверждения Тинькофф о том, что существующие меры безопасности достаточны, а пострадавшие от мошенников клиенты, вероятно, сами виноваты, мое мнение противоположно.

Хотелось бы, чтобы для смены номера телефона нужно было нечто большее, чем звонок в банк и ответ на несколько вопросов.

Злоумышленники могут получить сведения, необходимые для ответов на контрольные вопросы, при помощи социальной инженерии, соцсетей или слитых баз данных.

До недавнего времени решения этой проблемы не было. При обращениях к представителям банка следовал стандартный ответ в духе: «ничего не бойтесь, Ваш аккаунт надежно защищен». Однако опыт пользователей намекал на обратное, и страх потери сбережений продолжал действовать на нервы.

К счастью, после настойчивых обращений к банку, мне с моими подписчиками удалось найти решение, которое, возможно, не идеально, но точно выводит безопасность аккаунта на новый уровень.

Всё просто:

1. Пишем менеджеру в чате запрос на усиление мер безопасности при смене номера телефона.

2. Менеджер отвечает, что безопасность шикарная и бояться нечего, но он с командой постарается предложить усиленные меры защиты в индивидуальном порядке.

3. Спустя некоторое время менеджер предложит защитить процесс смены номера телефона дополнительными мерами, основным из которых является необходимость прислать в чат с банком селфи с паспортом для подтверждения операции по смене телефона.

4. Соглашаемся на это и выдыхаем.

Теперь, даже если мошенники будут знать ответы на все вопросы, они не смогут сменить номера телефона, т.к. у них нет вашего селфи.

Такие усиленные меры безопасности удалось подключить одному моему подписчику, а потом и мне. Значит, это могут сделать и другие клиенты Тинькофф. Что я и рекомендую сделать.

- А если сам клиент потеряет доступ к чату с банком, например, потеряет телефон?

В этом случае прислать селфи можно будет по электронной почте с ящика, который вы ранее указали банку как контактный.

- А если операторы банка забудут об этих мерах и поменяют номер телефона без селфи?

Тогда это будет косяк Тинькофф, и в этом случае вероятность взыскания украденных средств с банка значительно увеличивается. Хотя менеджер банка обещает, что селфи попросят обязательно.

Важно:

1. Не храните и никому не отправляйте селфи с паспортом. Лучше вообще никогда не делать подобные снимки (кроме как при смене номера телефона в банке). Если фотография сделана и где-то хранится - она может попасть к мошенникам через взлом телефона или аккаунта в облаке Гугл Фото, iCloud, Dropbox, или что там можно подключить и забыть.

1.1. Если вам позвонили и просят отправить куда-то селфи с паспортом - это мошенники. Не отправляйте. Настоящие операторы не будут звонить и просить прислать свежее селфи. На данный момент единственный случай, при котором может потребоваться селфи - это инициированная вами процедура смены телефона в Тинькофф.

2. Помните, какой адрес электронной почты вы указали банку как контактный, и не теряйте доступ к этому ящику. Защитите email аккаунт сложным паролем и двухфакторной аутентификацией.

Селфи - это последний рубеж обороны, но лучше не доводить до того, чтобы он сработал. Банк должен защищать клиентов, но и сами клиенты не должны пренебрегать цифровой гигиеной.

Некоторые рекомендации, как защитить свою цифровую невинность:

1. Не общайтесь со «специалистами банков» по телефону. Что бы ни сообщал и не предлагал позвонивший вам оператор - игнорируйте его, просто повесьте трубку. Для прояснения ситуации можно написать в чат с банком или самостоятельно позвонить по настоящему номеру телефона банка.

- Совет может показаться банальным, но именно из-за общения по телефону с мошенниками и совершается большинство утечек данных и последующих краж средств.

- Развод со «службой безопасности» и якобы кражей средств всем уже знаком, поэтому злоумышленники придумывают новые сценарии и спрашивают уже не cvv-код, а «безобидные» вопросы вроде «Как давно вы являетесь клиентом нашего банка?». Далее, зная ответы на подобные вопросы, мошенникам удается менять номер телефона, к которому привязан аккаунт жертвы в банке.

- Звонок с официального номера банка - не повод снижать бдительность. Мошенники умеют подменять номер телефона.

- Единственный выход: полный игнор входящих "звонков из банков". Мошенникам нельзя сообщать никакие данные, даже те, что кажутся незначительными.

2. Мошенники могут использовать против вас информацию, которую вы разместили в соцсетях. Поэтому профили желательно почистить от не обязательной информации, постов о каких-то банковских продуктах и конкурсах (из этого мошенники могут сделать выводы о дате открытия счета и используемых продуктах, а об этих сведениях спрашивают настоящие операторы банка при смене номера телефона или кодового слова). Профили в соцсетях желательно сделать закрытыми для посторонних.

3. Паспортные данные и даже скан паспорта сложно назвать конфиденциальными данными. Большинству людей постоянно приходится указывать данные своего документа при заключении договоров или по рабочей необходимости. А еще паспортные данные можно купить в даркнете. НО это не повод беззаботно сливать данные паспорта мошенникам. Если подозреваете, что паспорт был засвечен злоумышленникам - крайне желательно его поменять. Вообще менять паспорт раз в несколько лет идея хоть и параноидальная, но не лишенная здравого смысла. Паспорт - своеобразный токен безопасности, и его обновление может помешать мошенникам достичь успеха.

4. Удостоверьтесь, что помните кодовое слово для банка и мобильного оператора. Кодовое слово не должно быть очевидным вроде вашего имени. При необходимости смените кодовое слово и запишите там, где вы его сможете найти, если забудете.

Эти меры я сделал сам и рекомендую сделать другим.

Выполнить все пункты можно за 15 минут, а безопасность заметно повысится.

1. У большинства из нас включена блокировка телефона по паролю, отпечатку пальца, или faceid, но некоторые ее отключают или ставят пароль в духе "12345". Так телефон становится уязвимым. Не надо так. На телефоне замыкается слишком много сервисов, чтобы можно было пренебречь такими мерами безопасности.

2. Установите пин-код на SIM-карты чтобы нельзя было ими воспользоваться, просто переставив в другой аппарат.

3. Настройте телефон, чтобы он скрывал тексты уведомлений на заблокированном экран. Эти меры не позволят злоумышленникам воспользоваться утерянным/украденным телефоном.

3. Заклейте изолентой последние 4 цифры и CVV-код на банковских картах. Может помочь в защите от скимминга.

4. По возможности старайтесь использовать виртуальные карты вместо пластиковых (их проще блокировать и перевыпускать при необходимости, их сложнее потерять, они не подвержены скиммингу). При онлайн-покупках я использую только виртуальные карты.

5. Для снятия наличных и для покупок в интернете лучше использовать разные карты. В приложении Тинькофф можно настроить, чтобы карта для обналичивания не допускала списаний в интернет-магазинах, а карта для онлайн-покупок не позволяла снимать деньги. В случае компрометации данных карты это может помочь уберечь средства.

6. Установите надежные пароли и двухфакторную аутентификацию для портала госуслуг, аккаунтов apple, google, сервисов email и соцсетей. Это желательно сделать для всех сервисов, на которых вы зарегистрированы и которые это позволяют.

7. Установите лимиты по банковским картам. Так вы ограничите размер убытков от злоумышленников.

Существует риск перевыпуска или создания дубликата симкарты, к которой привязан аккаунт банка. К сожалению, самостоятельно полностью защититься от этого риска невозможно и остается уповать на грамотную работу банка и операторов связи.

Если пользуетесь мобильным оператором с физическими офисами, то симкарту могут перевыпустить где-нибудь в отдаленных уголках нашей родины, где вы никогда не были, а сотрудник, сделавший это, может легко «затеряться». Стандартная рекомендация: написать заявление на запрет перевыпуска симки по доверенности. Это поможет только если сотрудник оператора не соучастник.

Если пользуетесь виртуальным оператором вроде Тинькофф Мобайл, то мошенники могут привязать свой номер телефона к аккаунту, а потом перевыпустить esim. Решение проблемы из этого текста вроде как должно защитить от подобной проблемы, но всегда что-то может пойти не так.

Поэтому телефон, к которому привязан аккаунт в банке, желательно всегда держать при себе, чтобы быстро заметить противоправные действия. По этой причине заводить отдельный телефон специально для банковских операций - не лучшая идея.

Безопасности много не бывает. Вышеописанные меры - не панацея, а всего лишь необходимый минимум мер, которые усложнят злоумышленникам жизнь, а вам позволят ограничить убытки и быстро отразить атаку.

К сожалению, вам самим эти меры тоже могут несколько усложнить жизнь, но, на мой взгляд, оно того стоит.

После того, как сбережения защищены от мошенников, стоит подумать, как защитить их от не менее опасного противника - инфляции. Об этом я рассказываю в своем ТГ-канале об инвестициях, без рекламы и платных подписок. Упор делаю на качество публикаций, а не на количество.

Также у меня довольно популярный аккаунт в Пульсе (20к подписчиков), там можно посмотреть мой портфель и сделки.

Буду рад видеть вас в комментариях.