Почти поужинали в Макдаке за мой счёт - Яндекс.еда и ваша безопасность⁠⁠

Всем привет! Длиннопост о том, как кто-то решил не хило так поужинать за мой счёт в Макдаке, и как в этом оказались замешаны (или нет) Яндекс.еда,  Гугл пей, Тинькоф, Сбер, АЗС Газпром и даже парень, с которым я познакомилась в интернете. Кто виноват конеретно - до сих пор неизвестно, разбираюсь. Надеюсь на Ваши рекомендации, хочу разобраться где дыра, поэтому пост долгий.

Вчера был явно не мой день. Только забрала тачку из ремонта, холодно, голодно, денег на мели. Время примерно семь вечера. Мастер из автосервиса порекомендовал сменить заправку с Роснефть на Газпром. Скачала приложение АЗС Газпром (официальное через Плеймаркет). Почему пишу о нём - потому что по времени всё произошло один в один в то время, как я скачала его и пыталась оплатить бенз на запраке. Не знаю связано это или нет.

В приложуху никаких данных банковских карт не вводила, но краем глаза увидела, что способ оплаты установлен - Гугл пей. В дальнейшем не смогла снова найти, где и как убрать этот способ оплаты.

В Гугл пей у меня привязано две карты - Тинькофф и Сбер.

Итак, скачала приложение, минут через 10 оказалась на заправке. Иду оплачивать. Удивило то, что кассир отказалась начислять баллы на карту в приложении, объяснив, что у них такого нет, никаких приложений как я поняла тоже нет (тогда что это висит в Плеймаркете под видом официального приложения АЗС Газпром?) Ну ок, нет так нет.

Прикладываю смартфон к терминалу для оплаты. Гугл Пей у меня привязан к NFC, соответственно так и оплачиваю в основном, карты с собой не ношу. И в момент оплаты краем глаза замечаю смс о том, что списана сумма 876 р Яндекс.Еда.

Проверяю смс-ки, понимаю что:

1 - Произошло списание по карте Тинькофф, затем отмена операции. Но на Тинькофф был 0, поэтому возможно операция и отменилась.

2 - Следом происходит списание с дебетовой карты Сбер. Там были деньги. Почему-то тоже сразу "отмена операции" и деньги возвращаются.

Перевожу маме остаток денег на сбере, примерно 3000. И пишу в техподдержки обеих банков.

Обе карты сразу блокируют (что будет очень неудобно перед новогодними, ну да Бог с ним)

Одновременно блокирую ещё одну карту Альфа на всякий случай. С неё вроде ничего не списывалось.

Сотрудница Тинькофф перезвонила мне и задала вопрос, общалась ли я в данный момент с кем-то в мессенджерах.

Как раз в этот момент я общалась по вотсапу с парнем, с которым познакомилась сегодня.

Очень не хотелось его блокировать. Думаю, что он тут не причем, потому что:

- я сама дала ему свой номер, он не просил.

- это номер именно для вотсапа, то есть не тот телефон, по которому я звоню и к которому привязаны карты. Конечно, можно узнать мои данные ФИО по этому номеру, и посмотреть, какие ещё номера зарегины на меня. Но зачем? Так можно с любым рандомным номером работать.

- я пробила его имя, отчество и первую букву фамилии по сбербанку через перевод. Всё совпадает, не врёт.

Парень в данный момент ищет работу, а пока работает в доставке (не спрашивала какой, не спрашивала чего. Совпадение, хз)

В общем, его решила не блокировать, ну и спрашивать не стала - не он ли только что меня наебал. Думаю, если это он, то вряд ли скажет правду.

Скачиваю приложение Яндекс. Еда. Входу по своему номеру телефона через код по смс. Ранее я не была зарегина. Иду в заказы, и вижу:

Хороший вкус, я бы и сама не отказалась.

Пишу в Поддержку Яндекс.еда.

Так, стоп. Иван? Я Лена.

Иду в "свой" профиль. Вижу абсолютно левый е-мейл, но мой телефон.

На всякий случай меняю почту на свою, и имя тоже. Не знаю, верно или нет.

Прошу Поддержку заблокировать мой номер телефона или аккаунт без возможности списания денежных средств, но они отказываются сделать это немедленно, предлагают писать на эл.почту.

В чате банков я узнаю коды транзакции (в тинькофе отреагировали оперативно, в сбере как обычно тянут кота за яйца, ответили только сегодня утром). Пишу письмо на указанный ящик.

Из приложения Яндекс.еда мне удалось узнать, что заказ был сделан по адресу проспект Ленина, 48. город Ростов-на-Дону (я естессно не там). Квартира предусмотрительно не была указана, хотя судя по фото дома в гугл мапс - он многоквартирный.

Вы сейчас спросите - чего ты паришься, деньги же вернулись.

Да, но

Что смущает:

- Списание с ДВУХ (!) карт.

- Эти карты были подвязаны в Гугл Пей.

- Так же эти карты были подвязаны в Личном кабинете Тинькофф-банка. Тинькофф как моя основная карта, а сбер - как дополнительная, с которой я пополняла Тинькофф. Но Тинькофф утверджает, что они тут не причём, и по их данным попытка оплаты происходила именно в приложении Яндекс.еда

- Как какой-то (хрен) смог тупо зайти в Яндекс. еду по моему номеру телефона без верификации.

- Деньги вернулись, а в следующий раз не вернутся. И сумма будет больше. Сегодня Иван решил поужинать весьма скромно, а завтра позовёт компанию.

Очень смущает такая "безопасность" от Яндекс.еды. Это вообще норма?

Есть ли соображения у знающих, как именно всё-таки действовали мошенники, виновата ли тут приложуха Газпром, и могу ли я снова пользоваться Гугл пей через NFC, когда мои карты перевыпустят? Это было очень удобно.