Alexei Karusin

Да, подтверждение не требуется

Называется как ответить на вопрос, не отвечая на вопрос )

1. Вы не считаете, что информирование клиента о выпуске QR - кода повысит безопасность? Хочется ответ не в стиле прямой линии с президентом: считаем/не считаем.

2. Т.е. вы подтвердили, что пятая операция Банку показалась нехарактерной? А с какого перепуга тогда предыдущие четыре такими не показались?

3. Я вас не о расследовании спрашивал, а о том, как Банк расценивает в принципе: кто осуществляет "снятие" средств при использовании данного функционала. Я понимаю, что "хорошего" ответа для Банка в данной ситуации нет, но хватит трусить, уж ответьте: клиент или третьи лица осуществляют снятие наличных в банкомате посредством QR-кода? А или Б, без лирики в стиле известно кого)

Ну что, юристы банка за три рабочих дня не выяснили, как трактовать само снятие? Снятие (а не выпуск кода) осуществляет клиент Банка или третье лицо?

1. Каспер и дрвеб троянов не обнаружили
2. Если мы допускаем, что я по телефону дал данные для доступа к ЛК третьим лицам, то Банк тогда врёт, что не было сторонних авторизаций, так получается?

POCO, приложения из Маркета гугловского

Пока только продублировали ответ из комментариев к посту и взяли очередную паузу для ответа, до 16го числа.

Добрый день! Когда ориентировочно ожидать ответы на данные вопросы?

Тогда сделайте как минимум СМС уведомление о выпуске и, например, фриз на 3-5 минут на снятие с момента выпуска QR кода, чтобы клиент мог отменить выпуск кода, если он не был санкционирован. И клиентов обезопасите и с себя ответственность снимете.

Я о выпуске QR кодов узнал только по факту снятия, так что переслать ну никак не мог)

Я от банка и хочу услышать, что произошло на их взгляд. Пока ответ банка подразумевает только что я сам выпустил эти коды и переслал их мошенникам)

Вижу вариант с трояном, но телефон проверял, антивирь ничего не находил. Софт стоит самый стандартный, никаких нишевых прог с парой скачиваний.

" Уже много времени прошло, но вы не стали подробнее смотреть, что у вас установлено на телефоне (что могло содержать троян, например), что ставилось из сторонних *.apk. Вся техническая часть для вас не важна."

А на основе каких данных такие выводы? ) я-то как раз пытаюсь понять каков был механизм взлома и минимизировать риски на будущее, это банк сосредоточился на ответах в стиле "ну вы там сами че-то намутили, мы просто мимо проходили"

А как давно такая реакция банка была, не подскажете?

Здесь 159УК нет ни в каком виде.

нет, как и самих этих входов по версии Банка

Стороннего ПО не устанавливал, естественно разговор не был непрерывно 80 минут, значительную часть времени я просто висел на линии. После первого снятия не прервал разговор, потому что "сотрудник" уверял, что операцию тормознули, в личном кабинете она действительно в тот момент не отображалась, появилась со значительно задержкой позже.
Никакой секретной информации в процессе разговора не запрашивалось, если рассматривать вариант, что параллельно кто-то якобы "восстанавливал" доступ к моему ЛК через ответы на вопросы, то Банк наверняка бы об этом упомянул, нет?
Исходя из ответов Банка на данный момент никаких входов со сторонних устройств и ip адресов не было, т.е. рабочая версия банка - клиент сам выпустил qr коды и отправил их злоумышленникам ) ну Вы как себе это представляете? Ладно можно выведать информацию для вопросов для получения пароля в саппорте Тинькофф банка, но заставить клиента отправить qr коды? ) Вы уж совсем за идиота меня не держите.

И тут мы подобрались к цели поста:
@Тинькофф где моя премия за рекламу данного функционала?

Функции уже года 3. Забавно, что о ней, оказывается, многие не знают.

Банки анализируют "типичность" совершаемых операций в реальном времени. Для меня снятие наличных с карты в принципе не типичная операция, тем более посредством QR кода

Есть операция по выпуску QR кода, совершаемая условно клиентом в личном кабинете, а есть операция по физическому получению наличных денежных средств, совершаемая с помощью банкомата, вот эту физическую часть кто совершает с точки зрения банка?

1. "По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает." - то есть вы не считаете, что уведомление клиента о совершаемой операции по потенциальному снятию наличных снизит риск мошеннических операций?

2. "Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.

В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству." - блокировка карты, насколько мне известно произошла еще до моего звонка, после четвертого снятия, т.е. банк все-таки счел операцию подозрительной?

3. "Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия." По версии банка, кто совершает операцию по снятию наличных с помощью QR-кода, клиент или третьи лица? Правильно ли я понимаю, что если окажется, что в Пятигорске эти средства, сняли, например, представители какой-нибудь запрещенной в РФ организации, то меня еще и по статье "финансирование терроризма" можно подтянуть ))) ? Я же операцию по Вашей версии сам произвел )

Должен. А водители, например, должны ездить только на зеленый свет, т.е. можно по сторонам вообще не смотреть переходя дорогу на разрешающий сигнал светофора? Беспокоиться ведь не о чем, водители же должны соблюдать правила ПДД ) Логичненько.

у меня вопрос назрел: банк трактует само снятие наличных по QR-коду как операцию совершаемую кем? Клиентом или третьим лицом?

Как минимум надеюсь на то что банк начнет уведомлять клиентов о существенных операциях совершаемых в личном кабинете и запрашивать их подтверждение посредством смс хотя бы. Вы против?

Я в своем посте задал 4 вопроса, вполне, на мой взгляд, логичных в данной ситуации. Где вы видите обвинение банка? Моя безусловная ошибка-не перезвонить в банк самостоятельно, но это не отменяет того факта, что банк откровенно экономит на безопасности (отсутствие смс сообщений для подтверждения выпуска qr кодов и уведомлений о самом факте выпуска кода).

Есть много других дел, помимо переписок на vc.ru ) и есть много других форм досуга помимо алкоголя)
Карту, кстати, банк заблокировал ДО моего звонка, после четвертого снятия, т.е. четвертое снятие какие-то вопросы у банка вызвало, три предыдущих нет, соответственно была возможность настроить систему так, чтобы такая нетипичная операция автоматически приводила к блоку карты до уточнения обстоятельств у клиента (есть примеры такой реакции других банков на куда меньшие суммы нехарактерных для клиента операций).

Ну если оно уже привязано к номеру телефона мошенника и при этом клиент не получал сообщение о том что его номер изменён, это уже большой вопрос к Банку по части безопасности, нет? А если не привязан, то каждое сомнительное сообщение увеличивает вероятность, что клиент сам перезвонит в банк и карта будет заблокирована.

Усиливает, причем радикально.

Автор статьи прямым текстом указал, что обратился в органы ) желаю Вам разочек столкнуться с тем как у нас ведется следствие и каков уровень компетенции сотрудников следственных органов в технических вопросах)

как минимум я не выпускал QR-коды, не подтверждал их выпуск и не был уведомлен об их выпуске

Сотрудники органов вряд ли будут сравнивать логи банка и провайдеров, максимум запрос в сам банк.