Если коротко: Тинькофф перевыпустили e-sim и отдал его мошеннику. Мошенники создали заявку на кредит с левым номером и паспортными данными жертвы. И стали ждать звонка от оператора. И Тинькофф сам связался с мошенником по левому номеру, и отдали ему номеру. Забавно и то, что Тинькоф не только отдал чужой номер мошеннику, но после того как хозяин с трудом вернул его, они ОТДАЛИ ЕГО ПОВТОРНО в руки того же мошенника))) Еще они не могли заблокировать номер, ссылаясь на технические сложности:
В итоге их клиенту набрали микрокредитов, а также попытались вывести деньги с его ИИС. Я вообще не понимаю, как они могли дать qr на e-sim не связавшись с клиентом по номеру, который они решили перевыпустить и как они потом 2-й раз отдали этот же номер мошеннику, после того как хозяин его вернул?!
Писал в ветке Мобайла их представителю по поводу защиты и планов в дальнейшем усилить проверку идентификации. Ответили отпиской. А ведь вариантов усиления идентификации владельца много:
— добавить возможность создать кодовое слово в приложение ТМобайл — добавить блокировку смс при смене симки на 24 часа и отправку оповещения на номер, как это происходит при замене симок у Мегафон или МТС — добавить двойную авторизацию, например, по посредством электронной почты — либо можно ввести функцию запрета перевыпуска sim без представителя оператора (часто-ли вы перевыпускаете свою SIM карту?)
Кстати паспортные данные давно не являются секретной информацией. Но Тинькофф все-равно их использует для идентификации пользователя. Хотя они есть у многих, у провайдеров, у операторов связи, любой человек, который когда-нибудь заключал договор с подрядной организацией знает, что даже в таких случаях дается согласие на обработку персанальных данных и прописываются данные паспорта. Этого недостаточно, чтобы подтвердить личность. Паспорт, да, когда можно сверить фото и проверить подлинность, но не просто циферки.
Да я это и имею ввиду. Вообщеи я подофигел когда прочел на vc статью, т.к. сам являюсь клиентом ТМобайла. Причем я долго выбирал между СберМобйлом, ТиньМобайлом и ВТБМобайлом. Т.к. считал, что банковский виртуал надежней ларьков классических сотовых операторов. Только поэтому и выбрал его (ну и цена, используется как доп карта, минуты мне не нужны были, для звонков у меня Мегафон) Лучше начал бить в колокол после первого такого случая, хотя может просто публично всплыл первый такой случай, да и пользователей у Тмобайл на порядок меньше, чем у тройки операторов. Но надеюсь они поправят алгоритмы и усилят защиту, введут кодовое слово и подтверждение по e-mail. Т.к. сам банк мне нравиться.
Виртуальный банк? Как он может нравится. Вы ничего о нем не знаете. Нравится дистанционное обслуживание в Тиньке. Ну до поры до времени сами понимаете.... до первого хорошего косяка, когда все плюсы обернутся жирными минусами
28 июля около 19:00 к нам поступает заявка на дебетовую карту, в заявке указаны ваши ФИО, дата рождения и номер телефона (далее – номер А). Параллельно поступает вторая заявка на кредитную карту, в ней помимо этих данных указаны еще и все ваши паспортные данные. Мы видим, что номер из заявок отличается от номера, который у вас был указан раньше (далее – номер Б). Связываемся по номеру из заявки, чтобы выяснить, какой номер правильный. Оставивший заявку человек говорит, что номер А. Мы не можем изменить номер просто на основании такого утверждения, поэтому для подтверждения личности задаем ряд вопросов, ответы на которые – это ваши персональные данные и конфиденциальная информация по продуктам Тинькофф. Этот человек отвечает верно на вопросы, подтверждает заявки и мы устанавливаем номер телефона А как контактный в системе. Из соображений безопасности мы не называем какие именно вопросы задавали. Этот список может меняться, а вопросы - это не только паспортные данные, но и сведения по обслуживанию в Тинькофф. Такие, которые может и должен знать только клиент.
С этого момента номер, который находится у другого человека, привязан к вашему профилю в системе. У нас не было причин подозревать, что заявки поступили не от вас – другой человек знал информацию, которая должна быть только у ее владельца, то есть клиента.
У меня нет причин подозревать что ответ поступил не от ПБ тинькоф))
Цитата
Rock233пишет: Кстати паспортные данные давно не являются секретной информацией.
Там наверное не только про них были вопросы. И наверное поэтому последнее время тинькоф в чате стал всякие подобные вопросы задавать..
Может ли банкомат порвать купюры при внесении? Проверяйте сумму до прикладывания карты!
камо, Пройдите по ссылке, там все написано, доступ в ЛК получили после привязки нового номера:
Цитата
После этого около 20:00 28 июля этот человек обращается в чате, чтобы восстановить доступ в приложение. Он успешно проходит идентификацию, снова отвечая на проверочные вопросы, и получает данные для входа в приложение и личный кабинет.
Забавно, все комментарии там только ругань в адрес тинькоф, и ни одного вопроса как мошеннику стали известны данные кроме (!!) паспорта..
Ну хотя не удивляет, в моём понимании vc.ru давно помойка..
Может ли банкомат порвать купюры при внесении? Проверяйте сумму до прикладывания карты!
Забавно, все комментарии там только ругань в адрес тинькоф, и ни одного вопроса как мошеннику стали известны данные кроме (!!) паспорта..
Тинькофф не ответил на вопрос какие ответы знал мошенник, их спрашивали об этом, но пользователи уже писали, что вопросы у них стандартные, вроде "когда вы подключили тинькофф мобайл" . И ответив неправильно типа "около года назад подключил" , можно потом сказать, что забыл и что уточните сейчас и перезвоните им и попав на другого оператора и повторить попытку еше раз. Единственной нормальной проверкой может стать кодовое слово, которого в Мобайл нельзя задать. И qr надо высылать после подтверждения, по электронной поче. Но "забавно" тут не то, что вы написали, а то что Тинькофф звонил не на номер пользователя, чтобы убедиться, что тот не имеет доступа к номеру и именно хозяин номера решил его восстановить, а то что они позвонили на подложный номер мошенника, это по - настоящему, как вы выражаетесь, "забавно". Еще "забавно" , что после того как хозяин номера вернул e-sim обратно, поддержка опять передала его мошеннику. Но Тинькофф белый и пушистый, так ведь?
https://vc.ru/claim/285857-iis-v-tinko...svoi-dengi Пользователь написал про продолжение эпопеи с Тинькофф. Еще после того как он узнал, что карта передана мошеннику, он сообщил в Тинькофф, чтобы они заблокировали симку, но они не могли сделать это из-за технической невозможности на протяжении 30 часов. Все это время мошенники наберали кредитов. Как вообще такое возможно? Симка должна быть заблокирована сразу после ее компроментации! Тинькофф ответит на это? Что значит не было технической возможности, вы сума сошли?
Rock233пишет: Но "забавно" тут не то, что вы написали, а то что Тинькофф звонил не на номер пользователя, чтобы убедиться, что тот не имеет доступа к номеру и именно хозяин номера решил его восстановить, а то что они позвонили на подложный номер мошенника, это по - настоящему, как вы выражаетесь, "забавно".
да, мне это изначально тоже не понравилось, но там есть и ответ по этому варианту:
Цитата
У вас есть старый подтвержденный номер. От клиента не поступало никаких заявлений на смену номера. Какого хрена вы звоните на новый номер в заявке? Либо заявки должны быть отклонены из-за неверно указанных данных, либо звонить надо СТАРЫЙ номер и спрашивать, почему в заявках указан не тот номер. Не защищаю службу поддержки Т, но здесь возможны варианты:
1. Телефон со старой симкой был украден (у девушки так было).
2. Владелец счёта сменил номер и доступа к старому уже не имеет (у меня лично так было).
3. Владелец счёта звонит с нового номера, который хочет подключить.
4. Номер, указанный в заявке, устарел и был передан сотовым оператором другому клиенту (опять же, у меня был ровно этот случай, с одной картой и симкой, заведённой в другом городе, в командировке).
Во всех четырёх случаях нужно проводить очень подробную проверку личности владельца счёта (включая видеозвонок и скан/фото, либо демонстрацию паспорта, либо другого документа во время звонка). Но если доступа к старому номеру нет (по словам заявители), звонить туда есть смысл исключительно с целью проверки правдивости сведений.
Но если у пользователя — случай №4, потенциально (в очень малом % случаев) также могут быть проблемы. Потому что случаи, когда клиент утратил контроль над старым номером телефона и завёл новый — возможны.
Но, да, вы абсолютно правы, что во всех случаях нужно убедиться, что доступ к старому номеру нужно проверить, позвонив на него, а после изменения личных данных, либо внесения нового номера в список привязанных номеров, уведомить клиента по всем каналам, что к его счёту привязан новый номер/email (как это делают даже некоторые цифровые площади по продаже игр, например).
опять же - вся история там только со слов автора, и единственный комментарий тинькоф, и 356 домыслов непонятно кого..
Почему-то автор удалил второй пост продолжение, там было про приключения при закрытие иис, и про то что ему пришлось ехать 600 км в Москву.
В любом случае, я очень надеюсь, что Тинькофф усилит безопасность своей сим карты, что бы при перквыпуски спрашивали кодовое слово, высылали ссылку на e-mail, ну хоть что-то. Надеюсь они прислушаются.
Struzhkinпишет: Забавно, все комментарии там только ругань в адрес тинькоф, и ни одного вопроса как мошеннику стали известны данные кроме (!!) паспорта..
А вы знаете, какие данные? Это со слов Тинькова мы знаем только, что они могут быть "известны только клиенту".
Большая часть таких данных зачастую рассказывается самим человеком в соцсетях на протяжение всей жизни, еще часть легко можно вытянуть через социальную инженерию, общаясь с каким нибудь "форекс агентом" по телефону.
Ни сумма на сберегательном счёте, ни дата открытия вклада, ни кличка моего пса в детстве не являются персональной информацией, которую необходимо по закону оберегать. И это НЕ ДОЛЖНО быть ключом доступа к банковским счетам или ЛК банка.
Просто тиньков настолько "цифровой" банк, что не может по другому. И если у ВТБ или Альфы я могу пойти пешком в офис и лично подтвердить смену номера, то тинек со своими тремя офисами на весь РФ - никак.
Поэтому не надо оправдывать банк, что во благо своей цифровизации он понаделал ненадежных костылей.
Все он может. Но если пользователь назовет кому-то ключевое слово состоящее из цифр и рандомных букв, то он сам себе буратино. Тогда к банку вопросов не будет. А ответ на "назовите адрес прописки" и т. п. , точно не должен быть идентификацией звонившего как хозяина номера. Кстати Тинькофф хвалился идентификацие по голосу, что ввели одними из первых, как оказалось, что это просто маркетинг, похоже она не работает у них, как надо.
skoserпишет: А я думал, закон обязывает операторов выдавать/заменять (e)sim карты только по предъявлении паспорта. Это уже не так?
Я тоже думал, что перевыпустить карту можно только при представителе банка, собственно поэтому и выбирал банковского виртуала, считал, что так надежней, чем в ларьках сотовых операторов карту получать. Данный случай показал, что это не так. По поводу закона не знаю, чему он обязывает, но Тинькофф явно облажался с идентификацией владельца.
colorlessпишет: Поэтому не надо оправдывать банк, что во благо своей цифровизации он понаделал ненадежных костылей.
где вы увидели что я оправдываю банк? я лишь заметил, что на vc.ru только слова клиента без всякой конкретики. и ругань неизвестных людей. и уж подавно не поднимался вопрос как могли данные утечь..
забыли как тут предатора67 мурыжили когда у него через киви еды в деливери накупили? ))
Может ли банкомат порвать купюры при внесении? Проверяйте сумму до прикладывания карты!
Struzhkinпишет: Из соображений безопасности мы не называем какие именно вопросы задавали. Этот список может меняться, а вопросы - это не только паспортные данные, но и сведения по обслуживанию в Тинькофф. Такие, которые может и должен знать только клиент.
С этого момента номер, который находится у другого человека, привязан к вашему профилю в системе. У нас не было причин подозревать, что заявки поступили не от вас – другой человек знал информацию, которая должна быть только у ее владельца, то есть клиента.
Забавно отмазался тинек. Какие вопросы задавали не скажем, но мы вас узнали. Ну его такой банк, который так легко сливает бабки клиента мошенникам.
А знаете, что самое ужасное, помню, что когда я выбирал себе оператора из банковских виртуалов я интересовался смогут ли они защитить от перевыпуска карты. Выбирал тогда между ВТБмобайт и ТинькоффМобайл.
Мой вопрос был: Цитата Rock233 Тинькофф Мобайл, Добрый день. В свете тем про перевыпуск карт https://www.banki.ru/forum/?PAGE_NAME=...ssage-list меня беспокоит данная тема. Решил сменить своего оператора и рассматриваю в большей степени Тинькофф, т.к. при перевыпуске sim привозит курьер, которого назначает Тинькофф Мобайл и проверяет документ и личность, т.е. сговор сотрудников тут менее вероятен. А злоумышленнику проще использовать карты других операторов, чем связываться с Тинькофф. - Однако, если все же произойдет замена SIM - смс будут блокированы сутки от банков? Мне придет оповещение,? (так это реализованно Ммегафона) - Могу -ли я отключить перевыпуск по доверенности и т.п? Может есть такая опция или я смогу написать заявление на запрет перевыпуска по доверенности? - Возможно заддать кодовые слова? (как в вашем банке) Насколько я могу быть уверен, что вы защищаете своих клиентов от таких противоправных действий ? И ответ от Тинькофф: Приветствуем. Замену сим-карты по доверенности не производим. Только по паспорту лично в руки владельцу на встрече с нашим представителем. Со своей стороны смс не блокируем, так как в этом нет необходимости. Касательно оповещения, в момент, когда оформляется заявка на замену мы отправляем смс на номер, который заменяется и на ваш контактный номер. Кодовое слово не устанавливаем. Считаем имеющиеся методы идентификации достаточными для обеспечения безопасности клиентов.
Т. е. в Тинькофф соврали. "Считаем имеющиеся методы идентификации достаточными для обеспечения безопасности клиентов", ну ну... Хочется материться ...