Дыра в безопасности банка Тинькофф? Есть жертвы.
Прежде чем написать пост на данную тему, я крепко подумал - а стоит ли?
Во-первых, я лишний раз сообщаю неопределенному кругу лиц об уязвимости банка, что может помочь потенциальным мошенникам.
Во-вторых, мне как акционеру банка совсем не интересны публичные скандалы, связанные с компанией, в которой я владею долей.
С другой стороны, мошенники, очевидно, уже знают об этой уязвимости (информация опубликована в сети на популярных сайтах). И какой-то действительно мощный инфоповод я вряд ли создам. А даже если и создам - это тот случай, когда лучше раньше, чем позже.
В чем собственно дело?
Мне, и, думаю, многим, очень нравится удобство банка Тинькофф. Нравится, что все вопросы можно решить онлайн, не нужно никуда ездить.
Однако, как оказалось, у такого удобства есть и обратная сторона - недостаточная, на мой взгляд, защита аккаунта пользователя.
Суть уязвимости - возможная смена номера телефона, к которому привязан аккаунт в банке Тинькофф.
После того, как злоумышленнику удастся привязать свой номер телефона к чужому аккаунту, он получает полный контроль над деньгами, инвестиционными счетами и даже номером мобильного телефона жертвы (если оператор связи - Тинькофф Мобайл).
Если угнали еще и номер мобильного телефона, то мошенник, помимо кражи денежных средств, получает доступ, например, на портал Госуслуг, может оформить микрозаймы, а также совершить другие надругательства над жертвой.
Проблема в том, что в Тинькофф сменить номер телефона, к которому привязан аккаунт клиента, достаточно просто, или, возможно, правильнее будет сказать - недостаточно сложно.
Представьте, что Вы оставили на хранение в банке крупную сумму денег наличными, например 1 000 000 рублей. Через некоторое время Вы вернулись в банк и сказали: у меня нет с собой никаких документов, но я помню свои паспортные данные и дату когда открывал счет. Верните мне, пожалуйста, мой миллион.
Можно ли представить, что в таком случае человеку выдадут деньги? Нет, это абсурд!
Однако, когда речь заходит о смене номера телефона, в банке Тинькофф этот абсурд, к сожалению, превращается в реальность.
Что нужно для того, чтобы сменить номер телефона, к которому привязан аккаунт в Тинькофф?
1. Позвонить и попросить об этом. Хотя и это не обязательно. Мошенник может оставить на сайте заявку на новую карту и операторы банка любезно позвонят ему сами. Тот факт, что номер телефона мошенника не совпадает с имеющимся в базе данных банка, подозрений у операторов не вызывает.
2. Возможно, потребуется устно сообщить паспортные данные, если оператор попросит об этом. Никакие фото или видео не нужны.
3. Ответить на некоторые вопросы, которые может и должен знать только сам клиент. Точный перечень таких вопросов банк не раскрывает в целях безопасности.
Какие трудности приходится преодолевать мошеннику?
1. Позвонить в банк/оставить заявку - не проблема.
2. Продиктовать паспортные данные - тоже не проблема, к сожалению. Любому человеку регулярно приходится делиться данными своего паспорта для составления договоров или по рабочей необходимости - т.е. это не тайна. Кроме того, для мошенников не составляет особого труда найти паспортные данные в слитых базах данных в интернете.
3. Получается, вся надежда на то, что проблемы мошеннику доставит третий пункт с «секретными» вопросами. Какими загадками будет пытать мошенника оператор Тинькофф? Это вопросы из серии «Когда Вы стали клиентом банка?», «Когда совершали последние покупки по карте Тинькофф?», «Каков остаток на счетах?», и т.п.
Как мошенник может пройти барьер с подобными вопросами?
Во-первых, он может просто угадать. Не с первого раза, но при должном упорстве дозваниваясь до разных операторов - это возможно. Особенно, если часть сведений уже была собрана из других источников.
Во-вторых, часть подобных сведений можно собрать из открытых источников - соцсетей.
Продолжение в следующем посте, ссылка в первом комменте.