Продолжение поста «Пикабу нужен совет, мошенники прижали»
друзья суть развода была в следующем - позвонили из телеги попросили назвать код смс (она назвала) сказали что у нее взломаны госуслуги, далее ей якобы позвонят из ЦБ чтоб починить госуслуги (да вот такой маразм но она схавала)... ей позвонили представились ЦБ сказали что могут все порешать за полтора ляма, а далее инструкции как и что сделать. Самое удивительное это то что она общительный человек а об этом никому вообще не рассказала , по ее словам все было как в тумане и она не соображала вообще.
Как подготовить машину к долгой поездке
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.
Выводы каждый пусть делает сам - формальная отписка или право имеют
Прошлый топик: Тинькофф. Как у меня украли 50 000 за один пуш
Напомню, что кодовые слова тиньк ни разу у меня так и не запросил. Номер карты по их словам не знает никто кроме меня. Утечки исключены. А кода из уведомления не всегда достаточно для входа в ЛК.
Ну ок.
Практика показала обратное. Да и вы скорее всего прекрасно понимаете, что ваш номер карты где-то у кого-то да лежит вместе с остальной купленной базой клиентов.
В детали расследования меня не посвятят.
ОС банку - введите обязательный ввод пароля для клиентов в ЛК! Многие им даже не пользуются, только прилой.
Тинькофф Мобайл пробил ДНО!
Уже два дня подряд не могу дозвониться с номера Тинькофф Мобайла до своего Банка Сбера по номеру 900.
Тинькофф Мобайл признал, что проблема есть, и проблема массовая.
У меня было срочное дело, нужно было решить проблемы возникшую с банком Сбер, но из-=за возникшей ситуации я, этого сделать не смог.
Тинькофф Мобайл, на мою просьбе компенсировать созданные ими мне не удобства, как на смешка надо мной кинули 50 рублей. На просьбу зачислить на номер телефона хотя бы 500 рублей в качестве компенсации, Тинькофф отказывается, этого делать.
Намерен написать в Роскомнадзор жалобу на Тинькофф за наплевательские отношение к клиентам.
С трудом создали заявку №№333819894 со вчерашнего дня.
Ответ на пост «Тинькофф. Как у меня украли 50 000 за один пуш»
Из написанного автором, явно прослеживается слив данных от сотрудников банка.
Однако есть методы, которые позволяют выявить сотрудников, вступивших в сговор с мошенниками.
Однажды я работал в службе поддержки одного из операторов мобильной связи. В социальных сетях можно было найти открытые группы, которые позиционировали себя как сообщества сотрудников этого оператора. Например, группа могла называться «Подслушано <название оператора>».
После вступления в которые, начинали приходить предложения о сливе персональных данных клиентов или их биллинга, за вознаграждение.
Учитывая, что сотрудники поддержки получают небольшую зарплату, да и многие не от избытка высокого интеллекта идут работать в менеджеры низшего звена, есть те, кто соглашается оказывать такие услуги.
Однако есть один важный момент, который не учитывают некоторые недобросовестные сотрудники: каждая страница, содержащая персональные данные, регистрирует активность посещений. В журнале отображаются такие данные, как персональный номер устройства, логин сотрудника, время посещения и, возможно, произведённые действия. Это своего рода история, которая скрыта от сотрудников, но видна специалистам по безопасности и IT-специалистам, отвечающим за работоспособность системы.
Чтобы определить сотрудников, которые могли слить данные, необходимо проанализировать логи посещений страницы со списком встреч с представителями банка и логи посещения карточки клиента за определённый период времени.
Из этого списка следует исключить логины сотрудников, которые общались с клиентом в чатах. В результате останутся только те, кто заходил на указанные страницы без явной причины. Если таких логинов несколько, определить участие таких логинов в похожих сливах данных.
Затем проверить камеры видеонаблюдения и выяснить, кто из пользователей входил в систему с указанными логинами на персональных компьютерах, информация о которых есть в журналах. Так определится вероятный соучастник.
К слову, не всегда это сотрудник, которому принадлежат эти данные. Записывание своего логина и пароля на бумажку с хранением на рабочем месте, где их могут увидеть другие, никто не отменял.
Результаты внутренних расследований в компании не всегда предаются огласке. В случаях, которые происходят не так уж редко, гласность может нанести ущерб репутации компании, поэтому такие сотрудники без лишнего шума передаются следователям МВД.
Скорее всего, автор оригинального поста так и не узнает, кто именно раскрыл его личные данные. Если он решит обратиться в суд, то ему придётся доказывать вину компании, а не её сотрудника.
Тинькофф. Как у меня украли 50 000 за один пуш
Кто знал, что мошенники теперь знают, когда к вам должен приехать представитель Тинькофф для подписания документов - и пользуются этой информацией?
Вот и я не знал. Всегда думал, что такая инфа известна только клиенту и банку. Но... Теперь мошенники пользуются этим, чтобы втереться в доверие.
Предисловие
Я всегда считал, что я скептик и мошенникам сложно меня обмануть... Особенно, если это касается денег лежащих в банке, чья безопасность на высоте. Но как я ошибался. И от этого ещё тяжелее.
Даже палка стреляет раз в год.
Надеюсь то что я напишу поможет кому-то не попасться и увидеть, как ещё может выглядеть схема кражи денег из банка Тинькофф. И что в таком случае - тиньк вам не помощник.
Как всё было. По шагам
Схема развода построена сугубо на чётком понимании когда нужно позвонить человеку, его доверии и невнимательности в моменте. Касается и обычного приложения тинька (физ лица) и тинькофф бизнес.
Для тех кто хочет нырнуть сразу в самое "интересное" - оно начинается с пункта 4.
1. 11 апреля 2024. По работе мне нужно было перейти на другой налоговый режим. А для этого надо закрыть свой старый счёт, сняться с ИП, затем снова стать на учёт ИП и открыть новый счёт.
Я подаю заявку на открытие нового счёта ИП в Тинькофф (при этом являюсь клиентом банка и как физ лицо). Менеджер Екатерина говорит, чтобы я заполнил анкету для нового счёта. Счёт откроется автоматически. После чего она переведёт меня на коллег для закрытия старого счёта.
Также предупреждает, что со мной свяжутся и ко мне приедет представитель банка для подписания документов.
Сразу забегая наперёд - я не могу отвязаться от мысли, что именно этот этап и "ошибка" менеджера на нём, связана с будущим звонком от мошенника.
2. Не в течение 1 дня... Но 15 апреля 2024 со мной действительно связываются (первый контакт). Но как я потом понял, это звонил ЯКОБЫ менеджер тинька (мошенник). Номер телефона 8-347-246-66-30.
(у меня стоит гетконтакт, но он не определил номер).
Сообщает также об обновлении договора по моему действующему счёту физ. лица и спрашивает согласен ли я на его обновление по некоторым пунктам? Спрашивает нужна ли мне карта Тинькофф Платинум, и нужно ли перевыпустить карту Black. Я отказываюсь.
А также, готов ли я подписать обновлённый договор, который мне передадут вместе с представителем, который должен приехать.
- "Я готов".
После чего разговор заканчивается и снова тишина на неделю.
3. Через неделю (22 апреля 2024) я сам пишу в банк и спрашиваю - как дела со счётом и когда он откроется?
Оказывается, что менеджер Екатерина ошиблась. И из-за этой ошибки анкета (заявка) была отклонена. Я не должен был заполнять анкету так быстро, а она не должна была её отправлять. По этой же причине мне не назначили представителя.
Обо всём этом я узнал от другого менеджера банка (Никиты). Никита предлагает мне снова заполнить, но уже новую анкету (заявку).
Я снова заполняю анкету. Одобрение по ней на этот раз приходит моментально, мне предлагают назначить встречу с представителем банка. Выбираю - завтра (23 апреля 2024) с 12 до 14.
4. Наступает завтра (23 апреля 2024).
В 11:23, за несколько часов до приезда представителя - звонит ЯКОБЫ менеджер тинька (номер 8-913-756-17-44) и спрашивает, готов ли я подписать документы? (второй контакт). Которые они могут передать сегодня вместе с представителем, который приедет. Или же перенести это на завтра?
- "Я готов подписать сегодня".
5. Чёткое понимание мошенника, когда позвонить, сыграла свою роль - я верю, что это действительно менеджер банка.
Во-первых потому что он знает про представителя, который приедет сегодня. Откуда ещё кто-то может знать об этом?
Во-вторых даже настоящие сотрудники тинька звонят с абсолютно разных номеров (скорее всего покупные, телефония).
Это не как у сбера есть единый номер 900 (другими банками не пользовался, не знаю как у них).
Поддержка подтвердила это. Например за последние пару дней из тинька мне звонили абсолютно разные люди, из разных отделов и с разных номеров
8-967-439-33-04
8-986-220-61-29
8-915-450-36-96
и это далеко не все номера
6. ЯКОБЫ менеджер начинает снова спрашивать нужна ли мне карта Тинькофф Платинум и Black. Отказываюсь. Также спрашивает про овердрафт (описывает что это). Я отвечаю, что не буду пользоваться им. И тут я совершаю ошибку...
Все мы имеем право на ошибку
Мошенник говорит, что для отказа от овердрафта мне в приложение придёт пуш с кодом, который мне нужно назвать. Оно приходит и я его называю...
Не щёлкнуло ли у меня, что он спрашивает у меня код?
В тот момент я задумался над этим ровно на секунду. Но затем назвал.
Правда причина почему я в принципе пишу этот текст + с чего охренел больше всего - описана ещё ниже (под схемой мошенника).
Я назвал код потому что:
- Я был полностью уверен что никто кроме меня и банка НЕ знает, что 23 апреля ко мне собирается представитель. И что в принципе у меня с банком идёт подписание документов по счёту.
- Когда приезжает тот же представитель, он точно также просит назвать коды, которые приходят в приложении.
- Я был уверен, что код из пуша это НЕ единственное средство защиты от входа мошенника.
Безопасность из говна и палок ИЛИ как всего всего ОДИН пуш разделяет мошенника от доступа к личному кабинету Тинькофф.
Как это работает на стороне мошенника? Это мне уже рассказали по телефону горячей линии, когда мои 50 000 уже были украдены.
Как оказалось до безобразия просто.
Шаг 1. Мошенник заходит на официальный сайт и нажимает на "личный кабинет".
Шаг 2. Открывается окно - куда он вводит мой, твой, любой номер телефона действующего клиента Тинькофф. Напомню, всё это он делает одновременно пока говорит по телефону.
Шаг 3. Вписывает код из пуша.
Шаг 4. Появляется "защита" в виде номера карты... И всё. Эту "защиту" он смог прекрасно обойти самостоятельно.
ВАЖНЫЙ МОМЕНТ.
За всё время общения я НЕ называл ему свой номер карты. Я НЕ называл свой cvv, cvc или прочую инфу. Я НЕ созванивался с ним по видеосвязи и он не мог сделать запись моего лица. Только код из пуша.
Этого было достаточно, что он смог попасть в мой личный кабинет - и делать там, что хочет.
Пока я пишу этот текст и вспоминаю всю цепочку событий - делаю вывод...
— У него на руках УЖЕ был номер моей карты, который он просто вписал в строку
— Номер карты, который был слит вместе с моим номером телефона, по которому он позвонил мне
— ФИО, потому что при звонках он ко мне обращался полностью
— Инфа, что я собираюсь подписываю документы с тинькофф и жду представителя
Не удивлюсь, что он знает и где я живу.
Ему нужен был только код из пуша.
Тинькофф. Пожалуй самый НЕбезопасный банк в мире
И я если честно в @xue вот с чего.
Мне НЕ пришло сообщение от тинька о том, что в мой личный кабинет вошли с нового устройства (или что был запущен новый сеанс). Как это обычно работает у VK, телеграм, гугл, да даже у Авито!
У соц. сетей это есть, а у банка Тинькофф - загадка чёрной дыры.
У меня стоит пин-код. Но и он не появился при входе у мошенника, как ещё одна линия защиты.
У меня есть секретное слово... (помните как создавали такое, когда становились клиентом в банке?) Но не появилось больше ничего, чтобы не дать левому человеку попасть в кабинет.
Я так кстати ни разу и не воспользовался секретным словом за всё время, что был клиентом тинька.
А мошенник просто "грел" меня.
Грел, когда позвонил неделю назад, когда позвонил прямо перед приездом. Чётко понимая когда должен позвонить (опираясь на инфу о представителе и подписании документов).
Что было дальше?
Звонок прерывается. С моего счёта происходит кража. Списывается 50 000 через оплату по QR-коду и улетает в какую-то контору ТВЦ Астон (услуги связи).
Это выглядит так, будто я сам оплатил покупку в магазине по QR-коду, а не кто-то это сделал за меня без моего ведома.
Как я потом узнал - я не могу получить подробности что это за получатель. Эта инфа выдаётся только по запросу полиции. Также банк не может отменить операцию по горячим следам.
Затем происходит ещё одна попытка кражи. Перевод Александру К. на 19 687 руб., которую только теперь останавливает робот.
Моя карта блокируется системой, а мне приходит звонок о том, что через 15 минут со мной свяжется служба безопасности.
Дальше я сначала общался со спецом службы безопасности описывая ситуацию со списыванием денег. После меня переводят на горячую линию, где менеджеру я уже час подробно описываю все действия произошедшие за неделю.
После чего менеджер говорит, что они проведут внутреннее расследование и опросят всех менеджеров с кем я общался. А по моему запросу "мы сейчас составим обращение на возврат средств".
Банк, которому всё равно
Через 15 минут, как было составлено обращение - мне приходит "решили" об отказе на возврат средств.
Классное расследование и решение за 15 минут) Пойти за кулисами решать свои проблемы с безопасностью за счёт моих 50к.
Меня не устраивает такое развитие ситуации и я прямо пишу об этом, оспаривая решение. Получаю ответ о возобновлении обращения.
Но проходит ещё минут 20 и мне приходит ответ в формате "наши полномочия всё". Потому что оплата была проведена через QR-код, а значит я был согласен с операцией. А также, что мошенник не их сотрудник - спасибо КЭП.
Из их предложений и решений - написать мне заявление в полицию.
Брешь в законе или в безопасности?
В качестве выводов
— Удар под дых.
Да я считаю, что для таких мошенников должен существовать свой котёл в аду... Но всё же больше вопросов у меня остаётся к банку. Как кто-то знает про приезд представителя? Почему для входа в кабинет достаточно пуша? Банк продолжает сливать номера карт, телефонов и остальное...
К себе всего один вопрос - почему в моменте я не остановил звонок?
— От любви до ненависти один пуш.
Чуть меньше чем за 2 недели (с 11 апреля по 23 апреля) я из лояльного клиента - превратился в человека, который считает Тинькофф конторой пidoracoв.
Конечно же я буду рассказывать моим друзьям, коллегам и знакомым об этой истории. Чтобы они задумались - стоит ли держать деньги в тиньке.
P.S. Миграция в другие банки у них уже началась.
— Какой банк выбрать?
Да фиг знает. Я не могу утверждать, что аналогичная ситуация НЕ произойдёт у другого банка. Но по крайней мере поспрашивал у людей и:
1. Говорят в сбере при входе тебя просят ввести ещё логин и пароль. Неудобно? Возможно. Но это лучше чем украденные деньги. Также тебе приходит уведомление, что произведён новый вход (не знаю как у других банков).
2. Многие ещё год назад (в 2023) ушли из тинька в сбер. Говоря, что там просто лояльнее относятся к клиентам. ИПшники говорят, что в сбере тебе НЕ будут блокировать счёт по 6 раз подряд по 115-ФЗ - как это делают в тинькофф.
Я посмотрел какие условия обслуживания для физиков и ИП у Альфы, Сбера и Райффайзен... И т.к. мне нужен расчётный счёт ИП - для меня выгоднее тарифы у сбера + раз коллеги советуют.
Но для физиков в принципе и райф, и альфа - такие же нормальные условия по дебетовым картам.
— Ирония судьбы.
Я когда-то уходил из Сбера в тиньк потому что думал, что в тиньке лучше... А теперь собираюсь возвращаться обратно в сбер...
За год с 2023 по 2024 внутри компании (тинька) явно произошли изменения. И не в лучшую сторону. Возможно после ухода Олега и какой-то части ТОП-менеджмента.
В принципе за эти 2 недели активного взаимодействия с менеджерами банка я понаходил ещё много разных косяков (кроме крышки гроба в виде кражи денег за один пуш).
Эти косяки сильно помотали мои нервы, время и заставили сомневаться, что в тиньке новые сотрудники проходят хорошее обучение.
- Начиная с того, что менеджер отправляет анкету (заявку), когда не нужно и её отклоняют. Не знает, когда и как надо отправлять.
- Не сообщают об этом, пока сам не напишешь.
- Не знают кто и зачем звонил мне из менеджеров.
- Страница с отзывами https://www.tinkoff.ru/otzyyvy/ по крайней мере у меня автообновляется на ПК и смартфоне пока я пишу текст отзыва. Из-за чего я не могу оставить обратную связь.
- Могут долго переключать между разными специалистами разных отделов и никто не знает банального (как потом оказывается) ответа.
- Утверждают, что определённые менеджеры со мной не общались в чате и их не существует (хотя переписка в чате подтверждает обратное).
- Мурыжат в чате и задают одни и те же вопросы.
Вроде компания большая. Опыта и денег много, но это ещё ничего не значит.
Ну и в заключении.
1. Отправлена жалоба в Роскомнадзор по поводу утечки личных данных.
2. Составлено заявление в МВД по поводу кражи личных средств путём утечки данных из банка.
Чтобы о том, как бывает - узнало бОльше людей...
Поставьте пожалуйста лайк и поделитесь этой статьёй с теми кто сейчас пользуется тиньком или планировал переход. Пусть будут в курсе.
Полиция Японии возглавила скам
Японская полиция добавила в магазины поддельные платежные карты (обычные картонки), чтобы защитить пожилых людей от мошенничества.
Такие карты имеют пометки, что они предназначены для удаления вирусов или оплаты просроченных счетов. Фиктивные платежные средства создала полиция города Этидзэн в префектуре Фукуи как механизм оповещения.
То есть мошенники хотят получить платеж по карте от жертвы, жертва идет в магазин, видит эти карты и пытается их купить. А на кассир объясняет, что человека пытаются обмануть и переводить деньги не надо.
За прошлый год Фукуи понесла финансовые потери на $7,5 млн из-за различных форм мошенничества в сети. Только в январе текущего года граждане подали 14 жалоб на подобные преступления с предполагаемым ущербом в $700 тыс. (хорошо у них живут пенсионеры)
Прекрасная идея. Карты уже помогли минимум двум пенсионерам не попасться на скам. Их ПК были заражены и вирус требовал оплату за удаление.