Тинькофф или ПРОЩАЙТЕ ваши денюжки 💰💰💰
Всем привет.
В начале года писал статью про ВТБ. Банк втихаря отменил двухфакторную идентификацию в приложении на телефоне, оставив один фактор, т.е. вход лишь по коду из смс. Функция «запрета изменения пароля без посещения банка», которая осталась висеть, по наследству, в новом личном кабинете ВТБ не используется когда заходишь не через сайт, а через банковское приложение.
Вот тот пост: smart-lab.ru/blog/676495.php
Но не суть.
После просмотра десятков постов на банки.ру пришел к выводу, что единственным способом защитить себя — установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салоне большой четверки (МТС, БИЛАЙН, МЕГАФОН, ТЕЛЕ2).
Смысл в том, что, по идее, в банке мошеннику трудней перевыпустить сим карту по доверенности или левому паспорту, чем в ларьке обычного оператора.
Проношу прощения, я сильно заблуждался.
И именно ТинькофМобайл — это наглядно продемонстрировал.
Они отдали номер мошеннику без предоставления вообще каких-либо документов. Вот описание от пострадавшего:
«Тинькофф» передал доступ е-сим «Тинькофф мобайл» 3-м лицам
Если коротко:
Тинькофф перевыпустили e-sim и отдал его мошеннику, причем жуликам (я не про Тинькофф) даже никаких подложных паспортов или доверенностей не понадобилось.
Мошенники просто создали заявку на кредит с левым номером и ФИО жертвы. И стали ждать звонка от оператора. И Тинькофф сам связался с мошенником по левому номеру, и отдали ему номеру. Как бы комично это не звучит.
Такое вот наглядное преимущество дистанционного банка/оператора, теперь мошеннику было достаточно ответить на звонок, и никаких «где карту получали, туда и идите». Удобно же, скажите, разве не так? Это ну просто МЕЕГООБСЕР!
Кроме того, Тинькофф АААУУУ, очнись
Паспортные данные давно не являются секретной информацией.
ФИО и адреса есть в договорах, которые вы подписываете с подрядными организациями, с провайдерами, в резюме рассылаемых работодателям и на сайты. Т.е. знание этих данных никах не может являться подтверждением, что звонит владелец номера.
Только паспорт-когда его можно пощупать, сверить фото и подтвердить подлинность, но никак не циферки с паспорта, которого вы не видете.
Ну или раз вы выбрали удаленый тип работы, то прописывайте кодовое слово для идентификации клинта или высылайте на его почту ссылку для повторного получения e-sim с тем же номером!
Забавно еще и то, что Тинькоф не только отдал чужой номер мошеннику, но после того как хозяин с трудом вернул его, они ОТДАЛИ ЕГО ПОВТОРНО в руки мошеннику)))
Затем не могли заблокировать номер, ссылаясь на технические сложности:
В итоге их клиенту набрали микрокредитов, а также попытались вывести деньги с его ИИС.
Из-за сроков закрытия ИИС сделать им это конечно не удалось, но в комментарии на VC несчастный хозяин отписался, что они подали заявление на закрытие и отозвать его нельзя. Т.к. срок ИИС меньше 3-х лет, то он еще и вычет теряет(
Такой он Тинькофф. Самый технологичный банк /сот. оператор/брокер
Я только не понимаю, как они могли дать qr на e-sim не связавшись с клиентом по номеру, который они решили перевыпустить (у клиента он был) и как они потом 2-й раз отдали этот же номер мошеннику, после того как хозяин смог его вернуть?!
Писал на банки. ру их представителю по поводу защиты и планов в дальнейшем усилить проверку идентификации. Вариантов ведь много:
— ввести функцию запрета перевыпуска sim без представителя оператора (часто-ли вы перевыпускаете свою SIM карту?)
Если для Тинька это накладно, то есть и другие простые способы
— добавить возможность создать кодовое слово в приложение ТМобайл
— добавить блокировку смс при смене симки на 24 часа и отправку оповещения на номер, как это происходит при замене симок у Мегафон или МТС
— добавить двойную авторизацию, например, по посредством электронной почты (ведь почту можно будет защитить через Google authenticator или Яндекс.ключ без привязки номеру телефону)
Но в Тинькофф плевать на безопасность.
Знаю у IB отдельное приложение выполняющее роль криптоключа. Никакие СМС не нужны.
У Открытие Брокер вроде есть защита вторым фактором, по e-mail (у Брокера, но не банка), если не ошибаюсь.
P.S.
Статья написана не для того, чтобы обвалять Тинькофф в дерьме,они сами прекрасно с этим справились.
Статья написана, для того, чтобы представители банка обратили на нее внимание и реализовали в будущем нормальную защиту своим клиентам.
Как думаете, как еще можно защитить себя от перевыпуска сим?
«Тинькофф» передал доступ е-сим «Тинькофф мобайл» 3-м лицам
Вот это да.
Не думал даже, что такие дыры в безопасности «Тинькофф».
предположу, что нас всех к биометрии готовить начали…
Sergeyka,
я не про подделку, лично у меня пока негативное к биометрии отношение, основанное на том, как сейчас с персональными данными справляются.
Я про то, что могут толпу подготавливать каким-либо образом :)
А скажут сами виноват...
Да уж.
в ib просто таблица кодов, как банковских телеграфных ключах, я помню времена я их сам составлял для банков. Вроде простой алгоритм.
Отключать полностью ДО не вариант. Да и не везде это можно сделать.
ВТБ, БКС везьде привязка к номеру. Подтвердил кодом из смс=поставил личную подпись. А тут Тинькоф просто отдал номер другому человеку и не блокировал сутки.
По факту на безопасность ден средств клиентов, банкам по фиг, т.к в любом случае можно свалить всю вину на клиента.
dekab1, вариант, хотя слишком радикальный. Я раньше считал, что симка у банковского виртуала достаточная защита. Теперь понимаю, что нет
Гарантирует защиту от жуликов только карточка с паролями. Например такая есть в банке авангард.
dekab1, а Вы в направление УКЭП не копали еще?
dekab1, а ДБО точно заблокировано? Вы проверяли? А то мож они там гривами помахали в офисе, бумажку на подпись подсунули, а на деле — шиш чего кто блокировал.
Через VM не пробовал, надо бы как-нибудь…
И да это я именно о тинькофф банке.
аффинированного — это про золото)
Мы видим, что номер из заявок отличается от номера, который у вас был указан раньше (далее – номер Б). Связываемся по номеру из заявки, чтобы выяснить, какой номер правильный
(хватается за голову) Вы что там, с ума посходили?
У вас есть старый подтвержденный номер. От клиента не поступало никаких заявлений на смену номера. Какого хрена вы звоните на новый номер в заявке? Либо заявки должны быть отклонены из-за неверно указанных данных, либо звонить надо СТАРЫЙ номер и спрашивать, почему в заявках указан не тот номер.
С этого момента номер, который находится у другого человека, привязан к вашему профилю в системе.
С этого момента карту Тинькофф придется закрыть.
Допустим даже, что клиент проявил беспечность и кто-то получил доступ к информации, на основании которой можно пройти идентификацию. Но клиент не является специалистом по безопасности и ему простительно. Но вам, Тинькофф, это непростительно. Вы не посчитали нужным ни отклонить заявку, ни позвонить на старый номер, ни хотя бы кинуть смс на старый номер о его смене. Вы не считаете нужным наладить информационный обмен с сотовыми операторами, чтобы получать от них ответ на запрос банка «принадлежат ли телефон А и телефон Б одному и тому же физическому лицу».
Это преступная небрежность для банка, который априори должен разбираться в вопросах безопасности.
29 июля звонит мошенник и назначает встречу с представителем в Москве, чтобы перевыпустить заблокированные карты и получить их. Мы это выясняем и отменили встречу, мошенник не получил карты.
Мошенник шел в руки, но вы отменили встречу. Еще одно доказательство, что вам глубоко пох%й на клиентов. Я думаю, что начальник службы безопасности тут едет на встречу как курьер с патрулем ППС и мошенника берут за жопу. Только мне еще интересно, как мошенник собирался получить карты, не имея паспорта? У вас есть еще одна дыра в безопасности или что?
Вообще любая вещь совершаемая дистанционно потенциально имеет кучу дыр в безопасности. Но весь мир так устроен сейчас.
Gravizapa, на то и надежда. Чем больше внимания к выявленной проблеме, чем больше шансов, что что-то поменяют в плане усиления безопасности.
По сервису банк действительно хорош, но такие вещи перекрывают все плюсы дистанционного обслуживания. А вот их оператор ТиньМобайл оказался ненадежным. Про их Инвестиции промолчу, отдельная тема.
Могли бы добавить в алгоритм при смене или передачи qr кода для e-sim, отправлять для активации ссылку на почту (ее хоть можно привязать к устройству без использования номера), либо задать кодовое слово, много вариантов решений. Было бы только у них желание.
Тут подмена e-sim произошла, они просто передали виртуальную сим карту другому человеку.
Кстати физическую симку с номером можно заменить на виртуальную. Но тут я думаю, у мошенника не прокатило-бы.
По идеи именно e-sim должна быть наиболее безопасна, но оказалось -это не так.
По поводу «никогда у меня не было проблем с банком» у пострадавшего до этого случая думаю тоже.
Клиент может воздействовать либо говоря о проблеме и привлекая внимание, чтобы тот кто выпускает продукт исправлял недостатки и ошибки, либо голосуя ножками. И все.
сколько прошло… почти полгода
Брокеры я перепробовал многие, про каждый могу написать и плюсы и минусы. У Тинькоффа есть детские болячки, про них каждую неделю пишут на банки ру в профильной теме. Так же кучу постов на VC в приемной.
Тинькофф, наверное, плюс в карму, что он сделал много для того, чтобы многие стали интересоваться темой инвестиций. Хотя приложение его лучше было бы переименовать в ТинькоффТрейдер.
закрыть все карточки в банках, где основные бабки.
открыть карту в другом банке где будет расходный счет, куда бабки перечислять на ежедневные расходы.
таким образом у мошенников пропадет опция войти используя номер карты, а логин они наврядли знают
идея в том, чтобы лишить мошенника возможности ЛОГИНА в банк где основные бабки лежат. то есть загасить все карточки банка где основные бабки. и завести карточку в другом банке куда переводить для мелких расходов.
А то что бы сказали — это голимая банальщина
А «звонок в банк» нужен, если в ЛК-онлайн на фиче «дистанционное восстановление доступа» стоит «отключено»? Я эти приложухи никогда не ставил и не собираюсь. То есть если я приложением ВТБ никогда не пользовался, то какая информация нужна преступникам кроме номера моего мобильника и номера карты, чтобы «восстановить пароль» моего ЛК через приложение?
Да, собственно, они все такие. Ваш пост про Тиню как раз об этом. Я тут сам уже долго мусолю данную тему и единственное к чему я пришел — это настроить вход в банк по УКЭП. Но для физлиц такое не прокатывает, поэтому ищу варианты и с интересом послушаю мнение других.
ЗЫ Ща зашел в ЛК — выскакивает «предодобренный кредит без посещения офиса на нес млн. рублей». Как отключить «пред-одобренные кредиты» без личного посещения офиса!?
rosreestr.gov.ru/site/press/news/zashchita-nedvizhimosti-ot-moshennikov-kak-rabotaet-novoe-zakonodatelstvo-na-stavropole/
iz.ru/889002/anastasiia-chepovskaia/elektronnaia-podlost-kak-lishitsia-zhilia-v-odin-klik
ЗЫ А, да, Ваши статьи как раз про это.
П***ец! Других слов нет :-(
ЗЫ Да, Вы если решитесь на эксперимент , то отпишитесь, пожалуйста, по результатам. Я уверен — многим будет интересно.
нужен явный, понятный запрет
www.interactivebrokers.com/en/software/am/am/manageaccount/digitalsecuritycard+.htm
Правда её делают только клиентам со счетами от $500k.
у мобильного приложения тот же функционал, так что у тех кто имеет менее 500к защищённость аналогичная.
Можно еще вспомнить болезнь Олега и сказать что всё пропало, шеф, тому кто покупал банк по 900р
От чего полиция занимается информированием больше чем расследованием киберпреступлений.
Если банк Олега не айс то какая есть альтернатива?
Мошенники со сбера звонят куда чаще кстати говоря
Мне кажется Тиньков -давно стало нарицательным
Мошенники делают дубликаты сим-карт… Мошенники научились переоформлять номера… Мошенники получают почти все данные, которые хранятся в банках, они довольно часто знают номера счетов, суммы, которые хранятся на счетах, номера карт, ваши персональные данные.
Все это сливают им или сотрудники банков или сотрудники мобильных операторов. Так же и сам клиент может лохануться и предоставить доступ мошенникам к личным счетам.
Я периодически читаю отзывы на склянках про различные банки, так вот, постоянно появляются посты, что мошенники то одного обчистили, то другого. И это не в одном каком-то банке, а практически во всех ветках форума. Банки разводят руками, мол сами дураки, клиенты с пеной у рта пытаются доказать, что это не так.
Проблема-то приобретает весьма большие масштабы, а вот банки не торопятся с этим как-то бороться.
Меня например абсолютно не устраивает безопасность у ВТБ брокера, зная логин и пароль я спокойно вхожу в систему. Где оповещение об входах? Где подтверждение через смс? Сколько лет уже прошло, а ситуация никак не меняется.
Зато мошенники выдумывают все новые и новые схемы и порой они крайне эффективны. Службы безопасности банков и мобильных операторов такое ощущение, что вообще не работают.
Максимум, что делают банки, это вводят фуфлыжные страховки, за которые платишь деньги, но в итоге когда наступает страховой случай все равно тебе по губам чупа-чупосом проводят...
Нет уверенности в том, что ты не обнаружишь завтра или после завтра, что твой счет пуст или даже в минусе на пару сотен тысяч рублей.
Хреново это как-то.
И от тех и от других нужны действия направленные на пресечение данных инцидентов, а по факту мы видим только ввод водительских прав на электросамокаты и узаконенное воровство автомобилей на штрафстоянки… Ну и много еще чего зашкварного.
Вот владельцы этих штрафстоянок и заинтересованы в них, что бы набивать свои карманы.
www.rbc.ru/investigation/business/17/10/2014/54402ce4cbb20f38ba2f60d4
В нормальных странах автомобиль эвакуируется только в некоторых случаях, а у нас эвакуируют 146% автомобилей. Даже в спорных случаях происходит эвакуация, а потом владелец целый день бегает и пытается вернуть свой автомобиль.
Не так давно в кармане, по дороге на работу, висел знак «стоянка запрещена», несколько месяцев назад знак убрали и теперь там платная парковка. Еще там нарисовали пешеходный переход и переодически эвакуируют автомобили, которые хоть чуть чуть парканулись вблизи этого пешеходного перехода.
В общем все это набивание карманов, а не законы. Больше на рэкет и вымогательство похоже.
Это практика распространена во многих весьма себе развитых странах.
Вы увидели проблему в повышении размера штрафа? В России? Вы серьезно? Для России это совсем не проблема.
Проблема в том, что тогда большинство кормушек в виде штрафстоянок придется закрыть. Вот это для кого-то проблема.
Andrey Z., может нарушителям еще премию выписать? Вы же сами написали перед переходом. Вот там как раз автомобиль создает опасность для переходящих. Под знаком стоянка запрещена без значка эвакуатора — не забирают — эвакуация не предусмотрена — только штрафуют. Все логично. Автомобиль по умолчанию средство повышенной опасности.
Далее, необходимо упросить штрафы, чтобы не нужно было бегать за водителем. Нет водителя на месте нарушения — штраф владельцу в двойном размере. Все.
И вообще...
К сожалению я не вижу смысла что-то обсуждать с вами, потому что вы деревянный…
С такими людьми вообще лучше ничего не обсуждать, так как априори правы только они. И как правило такие люди видят только то, что им хочется видеть… Объясняешь им, что это все кормушки, что уже много репортажей было снято, много статей написано, кто кормиться с этого и в каких масштабах. В чьи карманы деньги от эвакуации авто перетекают.
Но эффекта нет… Нарушил? Эвакуация и полное обдиралово автовладельца… И не важно на сколько серьезно это нарушение.
Нарушил? — Повесить. И не важно что всего-то перешёл дорогу в неположенном месте. Ты ж нарушил… Судя по всему вот такие законотворцы и сидят в госдумах и других думах.
Andrey Z., не надо ничего доказывать — это специальное засирание темы, чтобы увести нить разговора в ненужную сторону
Это рассуждение на тему как защитить себя.