Украли 4500 рублей через Яндекс.Такси

Дело было вечером 30 декабря. Сижу значит я на работе, уже час остался до конца рабочего дня, я мысленно уже домой собираюсь. Приходит смс, списание 2994 руб с карты, в пользу Яндекс.Такси

Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив

Я честно говоря был в шоке, так как я даже в приложение не заходил, да и вообще я давненько не ездил на Яндекс.Такси. Я сразу захожу посмотреть в личный кабинет Тинькофф и вижу что списания реальное, и ошибки нет. Тут же приходит второе смс о списании 1499 руб.

Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив

Я пишу в тех поддержку банка, чтобы они заблокировали карту и захожу в приложение Яндекс такси чтобы отвязать карты. В историях поездок, нет ничего, как так, я не понимаю. Пишу в Яндекс.Такси, прошу чтобы они разобрались. Тем временем на почту приходит отчёт о поездке. И она совершена в городе Подольск. Сумма поездки 161 рубль, а чаевые 1499р. Сразу становится понятно что это мошенники которые как-то добрались до моей карты и пытаются вывести деньги.

Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив
Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив

Тех поддержка Яндекса попросили скинуть им детализацию счета, где отражены две эти операции. Я пишу в банк, они карту заблокировали. Отправили отчёт о счёте. Там этих операций не оказалось, так как деньги ещё в статусе авторизации. Сказали ждите 2 дня, мы вам пришлём отчёт. Но 2 дня это долго, я не готов был ждать, ведь деньги за два дня уже уйдут в Яндекс, а из Яндекса в автопарк и к водителю. А потом концов не найти. Я написал им в соц сетях, и мне сразу прислали справку. За это спасибо сотрудникам которые ведут группу Тинькофф во вконтакте. Я отправил эту справку в Яндекс, они всё проверили и отменили эти операции. Деньги вернулись на счёт через день.

Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив

Яндекс в итоге никаких коментариев по этому поводу не дал. А я как понял дело было не карте, а в Яндекс аккаунте. Кто-то взломал его, привязал дополнительный номер. В приложении Яндекс.Такси авторизовался, и выбрал мою привязанную карту как способ оплаты. Поэтому я и не видел историю поездок.


Как я это понял? Просто у меня было привязано две карты, и с первой списать деньги не удалось.

Украли 4500 рублей через Яндекс.Такси Яндекс Такси, Тинькофф банк, Мошенничество, Длиннопост, Негатив

И позже я зашёл в Яндекс. Паспорт и там нашёл чужой номер, указанный как дополнительный к моей учётной записи. С этого номера и был заказ.


В общем меня спасло то что мне пришла смс о списании и отчёт на почту. Я быстро среагировал, и всё обошлось, если можно так сказать. Номер я отвязал, сделал защиту дополнительную на аккаунт, карты убрал из приложения. 


Будьте осторожны, береги себя и своё имущество. С Новым годом!

Вы смотрите срез комментариев. Показать все
65
Автор поста оценил этот комментарий

Бля, а я-то думал, какого хуя каждое второе заявление о несогласии с транзакцией (чаще всего по причине мошенничества) мы в банке сейчас регистрируем как раз по причине списания с яндекс-такси. Спасибо, мил человек, за то, что просветил. Видимо, у них там защита учётной записи настолько донная, что любой начинающий хакер может тебя взломать и без палева твоей картой пользоваться через приложение.

раскрыть ветку (28)
41
Автор поста оценил этот комментарий
Справедливости ради, обычно в системе самая уязвимая часть находится перед монитором. Не удивлюсь, если пострадавшие, к примеру, вводили данные на левом сайте "для получения промо-кода".
раскрыть ветку (8)
19
Автор поста оценил этот комментарий

Плюсую, наделают паролей типа 123456, а потом такие "ой, меня взломали - сайт вообще за безопасностью не следит", а когда сайт не дает легко сбручиваемый пароль поставить "блин, зачем такие сложности, мой ОБЫЧНЫЙ пароль не подходит"

раскрыть ветку (3)
9
Автор поста оценил этот комментарий
Если бы яндекс публично передал полиции пару таких крыс и предоставил логи системы, подтверждающие хищение, имидж яндекса тольк выиграл бы. А вместо этого они покрывают своё ворьё. Не понимаю я их.
раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Почему вы считаете, что они не передают? На 100 обращений «меня обокрали/взломали» 1-2 регистрируется в полиции.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Потому что пользователи здесь рассказывают о том, как яндекс их посылает. Другой информации у меня нет ;(
4
DELETED
Автор поста оценил этот комментарий
У меня была история похожая как у ТСа, только номер телефона я если и оставлял, то только в сервисах яндекса при регистрации. Но у меня было веселее, дополнительных входов в мой аккаунт не было и номер телефона не менялся, однако будучи в Москве, я, по мнению я.такси, нарезал круги по Ростову. Удивительно было ещё то, что водитель мне позвонил и сказал, что ждет меня у подъезда, после чего меня вдруг дёрнуло зайти в приложение и посмотреть что за херня там происходит и увидев активный заказ сразу же удалил все карты из приложения и написал в ТП.
1
Автор поста оценил этот комментарий

Даже если так привязка нового номера должна быть только с оповещением на основной номер или хотя бы на почту, а лучше и с двухфакторной защитой, молча привязывать номер это и есть уязвимость.

Автор поста оценил этот комментарий

Или пароль на яндексе типа «12345»

ещё комментарий
8
Автор поста оценил этот комментарий
Есть двухэтапная аутентификация, как и во многих других сервисах.
раскрыть ветку (17)
2
Автор поста оценил этот комментарий
Во многих других сервисах это делается через Google Authenticator. Но яндекс копирует всё у гугла, и тут решил выежнуться, создал как-то свою систему, которая нихрена не работает. В чем конкретно косяк я не помню, но отключил ее почти сразу. То ли пипец как неудобно, то ли интернет на телефоне нужен. Просто сделал пароль 10значным и вернулся к однофактору
раскрыть ветку (10)
5
Автор поста оценил этот комментарий
Нет просто у кого то руки-крюки. У меня всё работает быстро и идеально по qr коду
раскрыть ветку (3)
Автор поста оценил этот комментарий
В каком приложении? Без интернета?
раскрыть ветку (2)
Автор поста оценил этот комментарий
А зачем вам входить в яндекс аккаунт, если у вас нет интернета?
раскрыть ветку (1)
Автор поста оценил этот комментарий
Автор поста оценил этот комментарий

хм, а как вы будете пользоваться яндекс-кошельком без интернета? Или любым другим онлайн кабинетом?

раскрыть ветку (5)
2
Автор поста оценил этот комментарий

Я про интернет в телефоне. То есть захожу с чужого компа на сервисы яндекса и помимо пароля ввожу код из генератора на телефоне. Гугловый работает без интернета, причем на него завязана куча сервисов, включая вконтакте. А яндекс решил выпендриться.

раскрыть ветку (4)
Автор поста оценил этот комментарий
Значит у гуглового дыра, если он использует пароль с последнего подключения, смысл этого приложения в том чтобы пароль менялся каждые 30 секунд. А иначе можно как обычный пароль засниферить да и всё.
раскрыть ветку (3)
1
Автор поста оценил этот комментарий
Пароль с привязкой по времени это и есть фишка гугла, а яндех ее просто скопировал. Во прикол, да?
раскрыть ветку (2)
Автор поста оценил этот комментарий
Копирование не есть плохо, иначе у каждого устройства был бы свой вид USB. А пароль с привязкой по времени расшифровать не составит особого труда.
раскрыть ветку (1)
Автор поста оценил этот комментарий
Вы же только что писали, что именно это спасает от снифа...
Автор поста оценил этот комментарий

Да она не работает там,  где надо. Покупаю на Али что нибудь - нет СМС подтверждения. Покупаю на сайте РЖД билет, где указываю свои паспортные данные, так ещё и подтверждение платежа просят.

2
Автор поста оценил этот комментарий

Я хз, как, но даже это обходится.

раскрыть ветку (4)
раскрыть ветку (3)
Автор поста оценил этот комментарий

Прочитал. Главный ключ — доступ в ЛК вашего номера. Там автор реалии Украины описывает.

В РФ операторы так просто доступ в ЛК не дадут — возможно, из-за того, что у нас _все_ симки по паспорту, в отличие от Украины (а это персональные данные и соответствующий закон).

раскрыть ветку (2)
Автор поста оценил этот комментарий

Пфф, не так давно можно было подойти к ашоту рядом с Петровско-Разумовской и купить себе левых симок столько, сколько душе угодно.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Как связан ашот с левыми симками и доступ в _твой_ ЛК через оператора?


Я тебе про Фому, ты мне про Ерему.

Автор поста оценил этот комментарий
По этой причине наконец то отвезал все свои карты вообще от всех сервисов кроме гугл пэй, через который и плачу
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку