Мошенники чуть не списали с карты «Тинькофф банка» 200 тысяч рублей без подтверждений. Как это произошло? Статьи редакции
От кражи денег не смог защитить ни SMS-код, ни отказ от использования карты в интернете. Что именно случилось, не знают даже в банке.
Предыстория
15 октября владелец медиагруппы i10 и основатель сайтов AppleInsider, AndroidInsider и Hi-News Михаил Королёв сообщил в Фейсбуке, что с банковской карты «Тинькофф банка» его жены списали 200 тысяч рублей. Деньги были перечислены на неизвестный аккаунт PayPal без какого-либо подтверждения — ни кода в SMS, ни уведомлений в приложении банка. Сотрудники банка не смогли оперативно помочь клиенту вернуть деньги, и он попытался сделать это сам.
Выяснилось, что деньги находятся в статусе замороженных и ещё не отправлены банком, однако отменить операцию уже нельзя. Незадолго до списания средств на телефон поступил звонок с номера, который принадлежит «Тинькофф банку». Когда медиаменеджер позвонил в контактный центр банка, то ему сообщили, что не совершали звонков.
Королёв пожаловался на бездействие сотрудников банка, которые, по его словам, «мычат в трубку», пока деньги ещё находятся на счету. Также он заявил, что его жене, позвонившей в поддержку «в слезах», вместо решения менеджеры банка попытались продать зарплатный проект — то есть услугу получения зарплаты на карту.
Реакция банка
В комментариях к посту медиаменеджера на Фейсбуке появилась сотрудница отдела обслуживания клиентов «Тинькофф Банка» Наталья Лутай, которая сообщила, что операцию нельзя отменить просто так, а оспаривание «проходит по правилам платёжной системы». Девушка пообещала проверить информацию о действиях сотрудника контактного центра.
Утром 16 октября с карты попробовали ещё дважды списать деньги: на 193 тысячи рублей и на 178 тысяч рублей. Операции не прошли из-за установленной на карте блокировки, однако о попытках их проведения также не было SMS-сообщений. Также медиаменеджер заметил уведомление о транзакции в 1 доллар для привязки карты к eBay через PayPal. По его словам, в интернет-банке она не была видна.
Королёв заподозрил сотрудников «Тинькофф банка» в преступном сговоре и передаче данных его карты третьим лицам и спросил у Лутай, как получилось, что три операции прошли без каких-либо подтверждений. Девушка заверила, что реквизиты карты не знает никто (включая банк), кроме её владельца, и отметила, что со стороны банка «никогда не было в прошлом и не будет в будущем никаких утечек».
Реквизиты карты — это конфиденциальная информация. Номер, срок действия, CVV — это всё данные, которые знает только клиент. Они больше не доступны никому. Утечка невозможна технически.
Операции могут проходить и без подтверждения, это зависит от настроек сервиса. Можно привести пример с подписками. Вы вводите реквизиты и даёте согласие на списания, дальше они проходят без вашего участия.
Королёв заявил, что в интернете картой не расплачивался и пользовался ей с осторожностью, поэтому с его стороны информация скомпроментирована быть не может.
Как вернули деньги
Сразу после списания средств Королёв по собственной инициативе написал в Фейсбуке магазину, который принял его «заказ». Там ему оперативно сообщили, что отменили транзакцию и инициировали возврат средств. Королёву рассказали, что товары, купленные на его деньги, должны были отправиться на испанский остров Мальорка.
В это же время представитель «Тинькофф банка» сообщил по телефону жене медиаменеджера, что банк будет ждать ровно неделю, пока деньги не спишутся, после чего специалисты начнут оспаривать операцию. Наталья Лутай пояснила, что это обусловлено правилами международной платёжной системы, выпустившей карту. Также она отметила, что статус возврата и его сроки зависят не от «Тинькофф банка», а от иностранного банка.
Лутай подтвердила, что банку придётся ждать несколько дней, прежде чем начать процесс оспаривания операции, так как деньги ещё не списаны, а заблокированы на счету клиента. Кроме того, согласно правилам международных платёжных систем, по заблокированным счетам операции возврата не производятся.
После этого Королёв позвонил в службу поддержки PayPal, где «адекватный саппорт сразу нашёл транзакцию с точностью до копеек и отбил её». Там ему пообещали, что деньги вернутся на карту в течение 2-5 дней.
Днём 17 октября жене Королёва вернули 200 тысяч рублей. Сотрудница «Тинькофф банка» сообщила, что банк получил подтверждение отмены операции и возврат от PayPal. Она отметила, что о 7 днях речь шла, так как это максимальный срок, но обычно вопрос решается за 1-2 дня.
Как мошенники списали деньги
Хотя деньги успешно удалось вернуть, в ситуации остались «белые пятна». Например, неясно, как злоумышленники получили реквизиты карты. Королёв утверждает, что её не использовали для покупок в интернете и «не светили» другими способами.
Мужчина считает, что в ситуации замешаны сотрудники банка, однако представитель «Тинькофф банка» отрицает даже теоретическую возможность этого и поясняет, что «клиент — единственный в мире, кто знает эти реквизиты [оригинальной карты]».
Также остаётся неизвестным, как именно злоумышленникам удалось привязать банковскую карту к PayPal без сложной процедуры подтверждения: обычно для этого платёжная система присылает клиенту деньги, точную сумму которых он должен указать в своём профиле для привязки карты. Без доступа к выписке из банка эту информацию получить нельзя.
Королёв также заметил, что три платежа были рассчитаны на то, чтобы списать весь доступный баланс с карты его жены, и предположил, что злоумышленники имели доступ к этой информации.
Интересно, а откуда знали, что на счёте есть такая сумма? Логично было бы списывать 500$€£ но никак не 3000 сразу. 3000 могло не пройти и карту бы заблокировали (и все усилия напрасны), а тут явно знали баланс карты (320тр) и списали почти все.
Комментаторы в Фейсбуке предположили, что проблема может быть в платёжной системе Visa, из которой произошла утечка о данных картах. Один из пользователей заявил, что недавно столкнулся с похожей ситуацией, и в банке ему заявили, что у Visa случился «крупный слив европейских карт», из-за чего их начали перевыпускать «по списку диапазонов».
Также остался неизвестен смысл мошенничества. Если злоумышленники планировали отменить заказ в магазине и получить деньги на свой PayPal, то у них бы это не вышло: в таких случаях система возвращает деньги на карту, что и произошло с Королёвым.
Никита, твой выход
Почему я вывожу деньги из системы Visa в систему "MИР"
Никита, твой выход
Твой вывод*
Да баба просто спалила свой CVV а потом данные попали на каржинг. Похоже на это.
Ага и это объясняет отсутствие подтверждений на операции и привязку карты к чужому аккаунту paypal.
CVV не обязателен, можно и без него оплачивать
С языка снял
Да, но как спалила-то?
Это все сделала Альфа, чтобы набрать классы. Старели бы достойно, понятно же, что Тинькофф Банк поимел Альфу. Между прочим, Тинькофф Банк является крупнейшим интернет-банком в мире.
Комментарий недоступен
Лол, не существует никаких "интернет-банков".
В законе только банки и кредитные-не кредитные организации.
А всякие интернет-клиенты и чЯтики есть во всех банках, у Сбера в том числе.
Комментарий недоступен
Скриншот транзакции пэйпала с айос, например.
Потому что у жены iOS
Я правильно понял что Тиньков морозился и не хотел решать проблему клиента а PayPal быстро её решил?
Комментарий недоступен
Да дело не в банке, хотя вопросы и к нему тоже имеются
Королёв заявил, что в интернете картой не расплачивался и пользовался ей с осторожностью
Он пользовался картой жены получается? А она сама нет?!
списали 200 тысяч рублейа тут явно знали баланс карты (320тр) и списали почти все.
Почти всё? этож 2/3 только
Там потом были ещё попытки списания.
Утром 16 октября с карты попробовали ещё дважды списать деньги: на 193 тысячи рублей и на 178 тысяч рублей.А нахуя они тогда завели себе эту карту? Значит явно сняла в хуевом банкомате в переулке деньги/дала официанту (карту)/СТОЯЛА В ОЧЕРЕДИ СУПЕРМАРКЕТА С КАРТОЙ и кто-то спалил
Но нет, во всем виноваты эти чертовы капиталисты, но не плачущая жена владельца медиагруппы i10))))
Комментарий недоступен
Комментарий недоступен
и одуванчики собирать
А прикиньте окажется что у них есть ребёнок который на стим рулетки всякие кидал деньги, а там дичи много всякой.
Комментарий недоступен
ну хоть не на чат рулетке
с банковской карты «Тинькофф банка» его жены списали 200 тысяч рублей
Также он заявил, что его жене, позвонившей в поддержку «в слезах»
Давно у "основателей медиагрупп" жены плачут из-за 200тыс рублей?
Ну я бы поплакал.
Да тут явно что то не чисто
Интересно, почему смс не приходило при попытке списать деньги, а вообще лимиты наше всё.
У Климова к слову все деньги в Тинькофф Банке сейчас
Комментарий недоступен
Ты в «Тинькофф» устроился что-ли? Или что это за работа с возражениями в комментах?)
Комментарий недоступен
Комментарий недоступен
Вот если бы Тинькофф экранировали конверты со своими картами (например фольгой), такое можно было бы заявлять. А так, любой человек с NFC-модулем на смартфоне на любом из этапов доставки карты может спокойно узнать ее номер и, с помощью нехитрых вычислений, срок действия. CVV2/CVC2 узнать сложнее, но это всего 3 цифры, их можно и угадать.
Вроде бы в смартфонах NFC работает только на раздачу, а не на приём, то есть считать информацию с карты технически невозможно. Ещё вроде как в модуле карты не содержится информация о её номере, только какой-то защищённый код обращения к процессингу для проведения оплаты.
Tj роняет банки ©
Комментарий недоступен
Дуров, ну камон
Мораль тут простая, карта - операционный инструмент, не надо там хранить крупные суммы. Если нужно совершить крупную покупку, то переводишь деньги с обычного счета на карту и платишь картой. Надо понимать что деньги с карты могут быть украдены, достаточно сделать фото карты с двух сторон и все понеслась.
Действуй
Поэтому дебетовой картой в принципе не нужно пользоваться. Не только в интернет магазинах, но и в обычных.
Тогда не уведут данные и не смогут ничего украсть.
Вообще то на картах можно поставить лимит (или полный запрет на инет операции), или держать деньги на накопительном счёте и по необходимости переводить на счёт карты.
А какой тогда пользоваться?
Не нужно хранить деньги на карточном счете. Есть банки которые умеют в счета без карт. Мы все держим там. Нужна сумма на крупную покупку - перевел на карту, купил.
Мне кажется, или на Тинькова наваливать кто то начал? То брокерский счёт не закрыт, то вот это
а что с брокерским счётом?
И получаем:
200 + 193 = 393 промах
с ещё 178 таже история
"Королёв заявил, что в интернете картой не расплачивался и пользовался ей с осторожностью, поэтому с его стороны информация скомпроментирована быть не может."
Ну дык. Карта же жены, чего бы он ею расплачивался. Вот у жены и надо интервью брать.
Комментарий удален модератором
Даже если фото карты с 2 сторон выложить куда-нибудь?
Про утечку девушка имела ввиду из банка, а не от клиента.
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
И вот именно у этой женщины Тинькофф хотел украсть деньги и участвовал в преступном сговоре? Ради 320 тысяч рублей? Сомнительно.
Комментарий недоступен
Что за бред про
---
Номер, срок действия, CVV — это всё данные, которые знает только клиент. Они больше не доступны никому.
---
например реквизиты моей карты (одной из) - знает TJ (форма оплаты подписки на tjournal.ru находится, да - возможно там iframe...)
А еще ЭТИ реквизиты могут посмотреть все кто физически взял карту в руки (они на ней написаны же)