Тинькофф или ПРОЩАЙТЕ ваши денюжки 💰💰💰

Всем привет.
В начале года писал статью про ВТБ. Банк втихаря отменил двухфакторную идентификацию в приложении на телефоне, оставив один фактор, т.е. вход лишь по коду из смс. Функция «запрета изменения пароля без посещения банка», которая осталась висеть, по наследству, в новом личном кабинете ВТБ не используется когда заходишь не через сайт, а через банковское приложение.
Вот тот пост: smart-lab.ru/blog/676495.php
     Но не суть.
После просмотра десятков постов на банки.ру пришел к выводу, что единственным способом защитить себя — установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салоне большой четверки (МТС, БИЛАЙН, МЕГАФОН, ТЕЛЕ2).
Смысл в том, что, по идее, в банке мошеннику трудней перевыпустить сим карту по доверенности или левому паспорту, чем в ларьке обычного оператора.

Проношу прощения, я сильно заблуждался.
И именно ТинькофМобайл — это наглядно продемонстрировал.

Они отдали номер мошеннику без предоставления вообще каких-либо документов. Вот описание от пострадавшего:
«Тинькофф» передал доступ е-сим «Тинькофф мобайл» 3-м лицам

Если коротко:

Тинькофф перевыпустили e-sim и отдал его мошеннику, причем жуликам (я не про Тинькофф) даже никаких подложных паспортов или доверенностей не понадобилось.
Мошенники просто создали заявку на кредит с левым номером и ФИО жертвы. И стали ждать звонка от оператора. И Тинькофф сам связался с мошенником по левому номеру, и отдали ему номеру. Как бы комично это не звучит.
Такое вот наглядное преимущество дистанционного банка/оператора, теперь мошеннику было достаточно ответить на звонок, и никаких «где карту получали, туда и идите». Удобно же, скажите, разве не так? Это ну просто МЕЕГООБСЕР!
Кроме того, Тинькофф АААУУУ, очнись
Паспортные данные давно не являются секретной информацией.
ФИО и адреса есть в договорах, которые вы подписываете с подрядными организациями, с провайдерами, в резюме рассылаемых работодателям и на сайты. Т.е. знание этих данных никах не может являться подтверждением, что звонит владелец номера.
Только паспорт-когда его можно пощупать, сверить фото и подтвердить подлинность, но никак не циферки с паспорта, которого вы не видете.
Ну или раз вы выбрали удаленый тип работы, то прописывайте кодовое слово для идентификации клинта или высылайте на его почту ссылку для повторного получения e-sim с тем же номером!
Забавно еще и то, что Тинькоф не только отдал чужой номер мошеннику, но после того как хозяин с трудом вернул его, они ОТДАЛИ ЕГО ПОВТОРНО в руки мошеннику)))

Затем не могли заблокировать номер, ссылаясь на технические сложности:

В итоге их клиенту набрали микрокредитов, а также попытались вывести деньги с его ИИС.
Из-за сроков закрытия ИИС сделать им это конечно не удалось, но в комментарии на VC несчастный хозяин отписался, что они подали заявление на закрытие и отозвать его нельзя. Т.к. срок ИИС меньше 3-х лет, то он еще и вычет теряет(

Такой он Тинькофф. Самый технологичный банк /сот. оператор/брокер

Я только не понимаю, как они могли дать qr на e-sim не связавшись с клиентом по номеру, который они решили перевыпустить (у клиента он был) и как они потом 2-й раз отдали этот же номер мошеннику, после того как хозяин смог его вернуть?!

Писал на банки. ру их представителю по поводу защиты и планов в дальнейшем усилить проверку идентификации. Вариантов ведь много:

— ввести функцию запрета перевыпуска sim без представителя оператора (часто-ли вы перевыпускаете свою SIM карту?)
Если для Тинька это накладно, то есть и другие простые способы
— добавить возможность создать кодовое слово в приложение ТМобайл
— добавить блокировку смс при смене симки на 24 часа и отправку оповещения на номер, как это происходит при замене симок у Мегафон или МТС
— добавить двойную авторизацию, например, по посредством электронной почты (ведь почту можно будет защитить через Google authenticator или Яндекс.ключ без привязки номеру телефону)

Но в Тинькофф плевать на безопасность.

Знаю у IB отдельное приложение выполняющее роль криптоключа. Никакие СМС не нужны.
У Открытие Брокер вроде есть защита вторым фактором, по e-mail (у Брокера, но не банка), если не ошибаюсь.

P.S.
Статья написана не для того, чтобы обвалять Тинькофф в дерьме,они сами прекрасно с этим  справились.
Статья написана, для того, чтобы представители банка обратили на нее внимание и реализовали в будущем нормальную защиту своим клиентам.

Как думаете, как еще можно защитить себя от перевыпуска сим?


«Тинькофф» передал доступ е-сим «Тинькофф мобайл» 3-м лицам