Блог им. AleksandrYakovlev_466

Тинькофф и мошенники. Часть 7 - Как мошенники вскрывают личные кабинеты в банке Тинькофф.

Тинькофф и мошенники. Часть 7 -  Как мошенники вскрывают личные кабинеты в банке Тинькофф.


Показательное дело:

 

"Моисеев Д.С. обратился в суд с иском к АО «Тинькофф банк» и нотариусу Московской городской нотариальной палаты Нотариального округа г. Москвы Луговскому К.А. о признании незаключенным договора потребительского кредита от 13 февраля 2021 года №, а также признании недействительной и отмене исполнительной надписи, совершенной нотариусом Московской городской нотариальной палаты Нотариального округа г. Москвы Луговским К.А., реестровый №, о взыскании с Моисеева Д.С. задолженности по указанному кредитному договору в сумме 1 994 432, 47 рублей, процентов — 60 708, 72 рублей и расходов, понесенных взыскателем в связи с совершением исполнительной надписи, — 13 275, 71 рублей.

 

Требования мотивированы тем, что со 2 января 2013 года истец является клиентом АО «Тинькофф банк», в котором на его имя выпущены кредитные и дебетовые карты.

В ночь на 13 февраля 2021 года в г. Санкт-Петербург у Моисеева Д.С. были похищены паспорт, телефон с установленным на нем приложением «Тинькофф банк», а также кредитная и дебетовые карты этого банка.

13 февраля 2021 года на электронную почту истца пришло сообщение АО «Тинькофф банк» о том, что ему одобрен кредит на 2 000 000 рублей, который, как стало известно в дальнейшем, был переведен на дебетовую карту и снят мошенниками через банкомат, о чем истец сразу сообщил по горячей линии в банк, указав, что этого договора не заключал.

С карты также были похищены и собственные средства Моисеева Д.С. на общую сумму 1 293 097 рублей."

 

Итак, мы видим, что у Моисеева похитили телефон, кредитную и дебетовую карту, как же мошенники получили доступ к личному кабинету? Ведь, от защищен паролем? А все дело в системе смены/восстановления пароля от личного кабинета, она изумительна.

 

фото

 Тинькофф и мошенники. Часть 7 -  Как мошенники вскрывают личные кабинеты в банке Тинькофф.

 

Хочу обратить Ваше внимание на алгоритм восстановления пароля от личного кабинета, в онлайн банке Тинькофф.

Согласно, разработанного банком, алгоритма для восстановления пароля необходим номер телефона на который приходят СМС и номер карты. Номер карты не является секретной информацией, картой расплачиваются в магазинах, ее реквизиты указывают в онлайн магазинах.

Это значит двухфакторная аутентификация, по паролю (который известен только клиенту) и номеру телефона, заменяется на однофакторную, фактически только по номеру телефона. Это приводит к снижению защищенности личного кабинета и открывает окно (точнее дыру) для мошеннических действий со счетом клиента.

Моисеев полагал, что его счет в банке Тинькофф защищен паролем, номером телефона, кодовым словом, то есть тремя факторами защиты, оказывается это не так, пароль легко можно сменить получив доступ к номеру телефона, например украв телефон и пластиковую карту.

А можно и не красть телефон, иногда мошенникам удается подключить переадресацию ваших СМС на свой телефон.

Справедливости ради следует отметить. что такая система «восстановления» пароля действует и в Сбербанке и в банке ВТБ. Следовательно, Тинькофф — «такой не один», к сожалению!

Считаю данную систему снятия/восстановления пароля недопустимой, этим пользуются мошенники, восстановление забытого пароля должно проходить через систему повторной идентификации клиента.

По этому поводу написал письмо в ЦБ, с ответом Вас ознакомлю.

 

 

Мой канал в дзене: https://dzen.ru/a/ZVIYXzs_Ry41D006?referrer_clid=1400&

 

Ситуацией продолжу заниматься. Продолжение будет...

★7
70 комментариев
1. В своем смартфоне нужно отключить вывод СМС на заблокированный экран.
2. Использовать eSIM или установить PIN код на сим-карту, чтобы мошенники не могли извлечь симку из украденного смартфона и вставить в свой аппарат для получения Ваших банковских кодов доступа.

Эти две простые меры уже значительно усилят защиту Ваших сбережений.
avatar
Alexide, да согласен, основную часть рисков снимает простой PIN на сим карте, который мало у кого стоит
avatar
Alexide, это наверное правильно, но так могут поступить 2% населения, у меня например, нет такого. )) 
avatar
Александр, все смартфоны (и даже телефоны кнопочные) поддерживают ПИН код (4 цифры) на симкарту. Хоть какая-то доп. защита банковских приложений.
avatar
Александр, я поставил. Неудобств не вызывает — один раз вводится этот пин-карты, при перезагрузке телефона.
avatar
Alexide, кстати, в самом начале, когда сотовая связь ещё оплачивалась в у.е., пин-код на все новые сим карты был установлен по умолчанию.
avatar
Alexide, можно сделать отдельный банковский номер чтобы не выносить его из дома, добавить запрет действий по доверенности и может быть у операторов найдутся другие блокировки. Но так как сама смс схема — говно, то шанс будет всегда
avatar
Alexide, спасибо, установил!
avatar
Григорий, отлично. Только постарайтесь не забыть ПИН код симки. После каждой перезагрузки телефона или после установки обновления Android/iOS нужно будет заново вводить ПИН код. Дается 3 попытки, потом симка блокируется. 
avatar
Alexide, не забуду!
avatar
Нельзя ставить на телефоны мобильные приложения банков. 
avatar
SergeyJu, )))
avatar
SergeyJu, у мобильного приложения то же есть четырех значный код. мошенники не знают кодов/паролей, они сбрасываю Ваши пароли и устанавливают свои!
avatar
Александр, используйте «второе простанство». Злоумышленники даже не узнают о наличии на вашем смарте данных приложений. 
avatar
Александр, если на мобиле нет банковского приложения, нечего и сбрасывать.

avatar
SergeyJu, сбросить могут пароль от онлайн банка, и заменить его своим.
avatar
Этому Моисееву надо не в суд, а в больничку. Голову полечить. Он профукал все и сразу ночью. Наверняка бухал где-то и сложил все в барсетку. С таким набором идентефикаторов обмануть можно любой банк. А первое что нужно делать при такой ситуации это блокировать телефоны, счета, личные кабинеты. Об этом всегда говорят и пишут при выдаче карт.
Светлая мысль о том что кто-то еще должен позаботиться о твоих счетах в банке только поможет быстрее поставить диагноз — «клинический дебил» и даже дополнительные анализы не потребуются.
avatar
Лео Гейтс, здоровья Вам и счастья в личной жизни. )
avatar
Александр, спасибо и вам того же.
avatar
Лео Гейтс, а если заболел? Сердечный приступ. Инсульт. Прямо на улице. От пьяного не отличишь. Пока добрая душа найдется — подойдет. Пока скорая, пока откачают. Барсетки и след простыл. 
 Правильно автор ставит вопрос. Обмануть банк — лехко. Должна быть защита от взлома в банке.
avatar
11 11, Должна быть защита от взлома в банке. 
Паспорт+карты+работающий телефон+незаблокированные счета и кабинет — ни одна защита не устоит.
avatar
Лео Гейтс, если сразу шевельнуться- всё нормально. Не знаю сколько в штуках, но явно много, народ теряет и паспорта и телефоны и карты, но не сказать что бы все попадали на бабки. А почему? А потому что вовремя блокируют всё. Но вот в таком примере — когда чел попал под раздачу у банков нет методов. И это плохо. Пока удаётся разрулить, хотя бы штучно с телефонными вымогателями, грабителями пенсионерок, просто устроив устный опрос. Кто, с кем, почему. Почему бы и тут капчу не придумать.
avatar
11 11, А потому что вовремя блокируют всё. 
Правильно, и я о том же. Нельзя все перекладывать на одну сторону. Если это делать то и будешь попадать, как этот чел. Можно конечно поставить еще 10 кругов защиты, но 99,99% начнут истерить что это много неудобно и т.д. Зачем это банкам. Когда есть обоюдная ответственность банка и клиента — то все обычно в порядке.
avatar
Лео Гейтс, стоп — вот сейчас нет этой взаимной ответственности, на уровне технологии. Есть некий заход на уровне отделений и бдительности отдельных сотрудников. Но не банков. Вот нужна защита в банках. Если это будет общетехнологическим правилом, для всех банков ( что бы не получать сиюминутных конкурентных преимуществ) — нытики умоются. И никуда не денутся.
avatar

11 11, конечно должна быть защита. Можно установит 10-20 степеней защиты, можно придумать еще 148 критериев квалифицированного инвестора. Но пока все люди не начнут понимать что спасение утопающих — это дело рук самих утопающих, толку не будет. Заботиться р себе и своем имуществе каждый, в первую очередь должен сам.

Я бы, в качестве меры воспитания ввел бы самостоятельную уплату НДФЛ по итогам года. Очень дисциплинирует.

avatar
Лео Гейтс, призыв самостоятельно платить ндфл — это экстремозм.
А призыв сделать налоговым агентом гражданина — это призыв к свержению госудсрсьвенного строя. 
avatar
11 11, сука но пароль на телефон то поставить можно же, или это другое?
avatar
kuzbass_oleg, толку то от вашего пароля на телефоне…
avatar
kuzbass_oleg, вытаскивается симка и ставится в баллалайку. Далее запрос на верификацию нового БК и profit. 
avatar
Dan Priwalow, Симка то тоже под паролем.
avatar
Тинькофф и есть мошенники.
avatar
Согласен. Простота, к которой стремится Тинькофф, это обратная сторона защищенности. Но в этом косвенно виноваты наши законодатели, которые считают ввод смс простой подписью. Изначально мобильные телефоны не являлись средством защиты и подписи чего либо.
Двухфакторность это несколько другое, чем логин+пароль. Так как Логин+пароль=пароль
Sim = ключ от кабинета. И в этом случае смысл в пароле отпадает если его можно восстановить с помощью SIM — логика у банков такая.
А вот почему нет двухфакторности я не знаю причины
Восстановление через номер карты для удобства сделан, можно же просто указав номер телефона получить пароль
Нет смысла писать в ЦБ, это дело кстати ФСБ больше курирует
avatar
А вообще так я думал над этим очень серьезно,… ваш паспорт который можно напечатать есть однофакторность. Поэтому я успокоился куда то что то писать
avatar
10-Q, ну к паспорту-то ещё морда ваша нужна. А это будет уже связано с бдительностью маринок. Примут они случайного прохожего с гримом и вашим паспортом за вас, или нет. Могут правда прийти не в банк, а к сотовому оператору. И у мошенников в этом случае шансов на успех будет больше. Ведь номер карты они могут узнать по слитым базам.
avatar
у МТС-банка вообще шедевр входа в ИБ… достаточно профукать только телефон...
на сайте банка вводится номер телефона, на него же и приходит смс. все, доступ в ИБ получен…
avatar
Александр, не поленюсь скопипастить сюда ответ Представителя банка МТС из форума вкладчиков :
вход в интернет-банк осуществляется по вашему номеру телефона, который указан в банке основным, и коду из смс. Код поступает при каждом входе на ваш номер.

ешки-матрешки…
avatar
в банкинге нынче нет предложений авторизации по ключам. а все это что есть дырявое, так и есть. в 2000 попробуй ломани банк-клиент без ключа, все это было и вдруг обнулилось. 
avatar
Константин Р, всё благодаря кретинам, которые не помнят паролей и ключевых слов, и плачут, что им нужно восстановить срочно доступ к интернет-банку, когда они не дома, ничего не помнят, но мобилка-то у любого дурака под рукой всегда, они с ними не расстаются.
avatar
John Wayne, при наличии сим карты не нужно ничего помнить, сперли твой телефон или подделали сим — считай попал. 
avatar
А куда перевели? Карта на кого то зарегистрирована. Сняли в банкомате, там камеры и их рожи засветились. Щас это быстро находят
avatar
Мой господин, да там дропы всё сняли и ищи-свищи их. Найдёшь может, ну а толку? Там бомжи или алкаши или дворовая шпана голожопая.
avatar
Запрет на выдачу кредитов ещё не вступил в силу?
𝓜𝓮𝓻𝓮𝓵𝓲𝓷, обещают давно, но всё еще не ввели.
avatar
Суть статьи в том, что Тинькофф не должен снимать пароль клиента от ЛК. Моисеев не потерял бы свои деньги,  и карта и телефон без пароля бесполезны.
avatar

Александр, здравствуйте.

Мы уделяем огромное внимание безопасности и защите денег наших клиентов. При этом клиентам также необходимо быть бдительными и в случае утери устройства или карт — необходимо срочно связаться с нами. В этом случае мы сбрасываем доступ и блокируем карты. Восстановить пароль можно только по активной карте.

avatar
Тинькофф Инвестиции, читайте статью, 100 раз, пока до Вас не дойдет смысл статьи. Удачи ))
avatar
Лучший интерфейс

 А надо мной многие смеются, что банк-клиент в интернет эксплорере, в ноутбуке и через алладина. 
avatar
Не знаю что у сбера с восстановлением пароля. Но когда я ходил месяц назад снимать деньги в сбер (надо было переложить на свой же счёт в банке ВТБ в соседнем доме, а комиссию конскую платить не хотелось) мне на какое то время блокировали операции по снятию, звонила взаправдашняя служба безопасности банка, расспрашивала не звонили ли мошенники и т.д.  некий лег по времени, но бдят. Девушка в банке при снятии, кстати те же вопросы задавала. И тут, мне кажется должна была сработать проверка на нетипичность операции. 

Чел ведь не каждый день кредит по 2 млн берёт, можно и проверить.
avatar
Чел ведь не каждый день кредит по 2 млн берёт, можно и проверить.

Gregori, а зачем? Деньги сняты, проценты капают, комиссия начислена. По договору — ты сам виноват, что кто-то получило доступ к твоему кабинету, вся ответственность на тебе. Отбрехаться от кредита, взятого мошенниками на твоё имя — никак.  PROFIT!
avatar
Алексей, нет, сейчас если реально украли и тп банк оставят крайним или солидарно. Тк банк ниубедилсо. Так то 2млн кредита с моментальным выводом подозрительная операция.
avatar
Мошенникофф и мошенники
avatar
Вы лучше скажите КАК моментально получить кредит 2 миллиона, перевести на карту и главное СНЯТЬ В БАНКОМАТЕ???
Тут 200 000 снять то не каждый банкомат даст. 
А чтобы кредит получить надо кучу всего заполнить ещё и одобрения дождаться. И это я тоже не бомж вообще то! 
avatar
Екатерина Кр, очень легко, просто надо быть состоятельным чуваком. и всё. и кредит тебе на раз и плюшки разные.
avatar
kuzbass_oleg, вот хоть кто ты но 2 млн никто снять не даст через банкомат. А даже если ты состоятельный-у тебя персональный менеддер и он тебе позвонит насчет этого. Там лимит 500 тыс при любом уровне потому что банкомат внезапно для этого не педусмотрен-для таких сумм.
avatar
Екатерина Кр, Тут то просто, гонят дальше, на след карту.
avatar
kuzbass_oleg, в данном случае типа сняли сразу как я прочитала.
avatar
Екатерина Кр, Ну к этому нужно относиться как к рассказу. А так да сложно снять 2 ляма за 1 день. Даже ВИПу. Но может он ВИП?
avatar
Екатерина Кр, Легко. Гораздо сложнее сделать так, чтобы случайно не нажать кнопку «взять в кредит 100 тыщ. мильёнов». Тем более банки на изготовке со всякими «предварительно одобренными кредитами».
avatar
 Вообще круче только втб видимо который вообще вход в инет банк лавал только по логину и паролю без всяких смс. Ну типа система решила что ваш вход безопасен и его можно не подтверждать! 
А логин и пароль из системы банка может легко скрысить сотрудник айти этого банка как мне кажется, не всякий, но тем не менее.
avatar
Екатерина Кр, ну поробуй войти с левего телефона и поймешь.
avatar
Екатерина Кр, как сейчас входят в онлайн банк ВТБ?
avatar
Александр, в норме логин пароль и смс.
А в втб.периодами только логин и пароль. Если учесть что логин у них не только цифровой, но и просто телефон или номер карты, которые как известно вообще достать не проблема, то как бы пароль можно и подобрать. А сис просто не придет, ну система ж лучше знает. 
По этой схеме ко мне в инет банк однажда и залезли в втб. Правда сделать ничего не успели потому что в этот же момент я соучайно зашла тоже. А служба безопасности банка в ответ на мои детализации телефона7 без смс банка ответила типа вы сами сообщили смс мошенникам😆 то есть им как бы начхать вообще. Поддердка тоже мне регулярно сообщает, что система знает лучше как что.
avatar
Екатерина Кр, нужно проверить нет ли переадресации СМС на другой телефон. 
avatar
Александр, все проверено. Не было))
avatar
Кому интересно чем закончилось дело Моисеев — Тинькофф 
dzen.ru/a/ZVMpBc2bbkOeFxL1?referrer_clid=1400&
avatar
Александр, ну я писала что банк сам виноват, так и вышло))
avatar
Необходимо запретить на уровне ЦБ дистанционную выдачу кредитов на сумму скажем больше 100 тыс. Слишком много злоупотреблений.
avatar

теги блога Александр

....все тэги



UPDONW
Новый дизайн