Тинькофф и мошенники. Часть 7 - Как мошенники вскрывают личные кабинеты в банке Тинькофф.

Показательное дело:

"Моисеев Д.С. обратился в суд с иском к АО «Тинькофф банк» и нотариусу Московской городской нотариальной палаты Нотариального округа г. Москвы Луговскому К.А. о признании незаключенным договора потребительского кредита от 13 февраля 2021 года №, а также признании недействительной и отмене исполнительной надписи, совершенной нотариусом Московской городской нотариальной палаты Нотариального округа г. Москвы Луговским К.А., реестровый №, о взыскании с Моисеева Д.С. задолженности по указанному кредитному договору в сумме 1 994 432, 47 рублей, процентов — 60 708, 72 рублей и расходов, понесенных взыскателем в связи с совершением исполнительной надписи, — 13 275, 71 рублей.

Требования мотивированы тем, что со 2 января 2013 года истец является клиентом АО «Тинькофф банк», в котором на его имя выпущены кредитные и дебетовые карты.

В ночь на 13 февраля 2021 года в г. Санкт-Петербург у Моисеева Д.С. были похищены паспорт, телефон с установленным на нем приложением «Тинькофф банк», а также кредитная и дебетовые карты этого банка.

13 февраля 2021 года на электронную почту истца пришло сообщение АО «Тинькофф банк» о том, что ему одобрен кредит на 2 000 000 рублей, который, как стало известно в дальнейшем, был переведен на дебетовую карту и снят мошенниками через банкомат, о чем истец сразу сообщил по горячей линии в банк, указав, что этого договора не заключал.

С карты также были похищены и собственные средства Моисеева Д.С. на общую сумму 1 293 097 рублей."

Итак, мы видим, что у Моисеева похитили телефон, кредитную и дебетовую карту, как же мошенники получили доступ к личному кабинету? Ведь, от защищен паролем? А все дело в системе смены/восстановления пароля от личного кабинета, она изумительна.

фото

Хочу обратить Ваше внимание на алгоритм восстановления пароля от личного кабинета, в онлайн банке Тинькофф.

Согласно, разработанного банком, алгоритма для восстановления пароля необходим номер телефона на который приходят СМС и номер карты. Номер карты не является секретной информацией, картой расплачиваются в магазинах, ее реквизиты указывают в онлайн магазинах.

Это значит двухфакторная аутентификация, по паролю (который известен только клиенту) и номеру телефона, заменяется на однофакторную, фактически только по номеру телефона. Это приводит к снижению защищенности личного кабинета и открывает окно (точнее дыру) для мошеннических действий со счетом клиента.

Моисеев полагал, что его счет в банке Тинькофф защищен паролем, номером телефона, кодовым словом, то есть тремя факторами защиты, оказывается это не так, пароль легко можно сменить получив доступ к номеру телефона, например украв телефон и пластиковую карту.

А можно и не красть телефон, иногда мошенникам удается подключить переадресацию ваших СМС на свой телефон.

Справедливости ради следует отметить. что такая система «восстановления» пароля действует и в Сбербанке и в банке ВТБ. Следовательно, Тинькофф — «такой не один», к сожалению!

Считаю данную систему снятия/восстановления пароля недопустимой, этим пользуются мошенники, восстановление забытого пароля должно проходить через систему повторной идентификации клиента.

По этому поводу написал письмо в ЦБ, с ответом Вас ознакомлю.

Мой канал в дзене: https://dzen.ru/a/ZVIYXzs_Ry41D006?referrer_clid=1400&

Ситуацией продолжу заниматься. Продолжение будет...