Дыра в безопасности банка Тинькофф? Есть жертвы. Прежде чем написать пост на данную тему, я крепко подумал - а стоит ли? Во-первых, я лишний раз сообщаю неопределенному кругу лиц об уязвимости банка, что может помочь потенциальным мошенникам. Во-вторых, мне как акционеру банка совсем не интересны публичные скандалы, связанные с компанией, в которой я владею долей. С другой стороны, мошенники, очевидно, уже знают об этой уязвимости (информация опубликована в сети на популярных сайтах). И какой-то действительно мощный инфоповод я вряд ли создам. А даже если и создам - это тот случай, когда лучше раньше, чем позже. В чем собственно дело? Мне, и, думаю, многим, очень нравится удобство банка Тинькофф. Нравится, что все вопросы можно решить онлайн, не нужно никуда ездить. Однако, как оказалось, у такого удобства есть и обратная сторона - недостаточная, на мой взгляд, защита аккаунта пользователя. Суть уязвимости - возможная смена номера телефона, к которому привязан аккаунт в банке Тинькофф. После того, как злоумышленнику удастся привязать свой номер телефона к чужому аккаунту, он получает полный контроль над деньгами, инвестиционными счетами и даже номером мобильного телефона жертвы (если оператор связи - Тинькофф Мобайл). Если угнали еще и номер мобильного телефона, то мошенник, помимо кражи денежных средств, получает доступ, например, на портал Госуслуг, может оформить микрозаймы, а также совершить другие надругательства над жертвой. Проблема в том, что в Тинькофф сменить номер телефона, к которому привязан аккаунт клиента, достаточно просто, или, возможно, правильнее будет сказать - недостаточно сложно. Представьте, что Вы оставили на хранение в банке крупную сумму денег наличными, например 1 000 000 рублей. Через некоторое время Вы вернулись в банк и сказали: у меня нет с собой никаких документов, но я помню свои паспортные данные и дату когда открывал счет. Верните мне, пожалуйста, мой миллион. Можно ли представить, что в таком случае человеку выдадут деньги? Нет, это абсурд! Однако, когда речь заходит о смене номера телефона, в банке Тинькофф этот абсурд, к сожалению, превращается в реальность. Что нужно для того, чтобы сменить номер телефона, к которому привязан аккаунт в Тинькофф? 1. Позвонить и попросить об этом. Хотя и это не обязательно. Мошенник может оставить на сайте заявку на новую карту и операторы банка любезно позвонят ему сами. Тот факт, что номер телефона мошенника не совпадает с имеющимся в базе данных банка, подозрений у операторов не вызывает. 2. Возможно, потребуется устно сообщить паспортные данные, если оператор попросит об этом. Никакие фото или видео не нужны. 3. Ответить на некоторые вопросы, которые может и должен знать только сам клиент. Точный перечень таких вопросов банк не раскрывает в целях безопасности. Какие трудности приходится преодолевать мошеннику? 1. Позвонить в банк/оставить заявку - не проблема. 2. Продиктовать паспортные данные - тоже не проблема, к сожалению. Любому человеку регулярно приходится делиться данными своего паспорта для составления договоров или по рабочей необходимости - т.е. это не тайна. Кроме того, для мошенников не составляет особого труда найти паспортные данные в слитых базах данных в интернете. 3. Получается, вся надежда на то, что проблемы мошеннику доставит третий пункт с «секретными» вопросами. Какими загадками будет пытать мошенника оператор Тинькофф? Это вопросы из серии «Когда Вы стали клиентом банка?», «Когда совершали последние покупки по карте Тинькофф?», «Каков остаток на счетах?», и т.п. Как мошенник может пройти барьер с подобными вопросами? Во-первых, он может просто угадать. Не с первого раза, но при должном упорстве дозваниваясь до разных операторов - это возможно. Особенно, если часть сведений уже была собрана из других источников. Во-вторых, часть подобных сведений можно собрать из открытых источников - соцсетей. Продолжение в следующем посте, ссылка в первом комменте.