Тинькофф Банк

----------
Цитата

JaneJaneJane пишет:
Сделайте, пожалуйста, ОДНУ настройку в ЛК -- "Запретить восстанавливать вход в ЛК И регистрировать МП по номеру карты и коду из sms".
----------

Плюсую!
Давно пора дать клиентам возможность самим защищать свои сбережения этим нехитрым и эффективным способом.

Банк получит профит от снижения уровня фрода по утерянным/украденным картам и телефонам.

----------
Цитата

JaneJaneJane пишет:
Будет ли реализовано предложение, которое уже как минимум несколько человек здесь на форуме вас просили сделать? Сделайте, пожалуйста, ОДНУ настройку в ЛК -- "Запретить восстанавливать вход в ЛК И регистрировать МП по номеру карты и коду из sms".
Пусть по умолчанию она будет не выбрана, раз вы так заботитесь о забывчивых клиентах (или о мошенниках??). Но дайте возможность выбирать другим, нужна им эта фича или нет.

То же самое по входу в ЛК по моб. телефону. Ну с какой стати вы это сделали, убрав дополнительную защиту -- логин, который можно было сделать сколь угодно сложным??

P.S. В этой ветке принято ругать Сбербанк за совковость, но сейчас у них защита на ПОРЯДОК лучше вашей. Во-первых, можно поставить настройку --- подтверждать ВСЕ переводы на чужие счета в контакт-центре. И с такой настройкой деньги клиента, лишившегося карты и телефона, уже не уйдут в неизвестном направлении без доп. подтверждений.
Во-вторых, у Сбера нет входа "по мобильному телефону". Только логин и пароль.
----------


К сожалению, гарантировать реализацию не можем, поскольку разработкой приложения занимается другой отдел. Но, безусловно, сделаем все, что в наших силах, и передадим им все пожелания.

----------
Цитата

Тинькофф Банк пишет:
К сожалению, гарантировать реализацию не можем, поскольку разработкой приложения занимается другой отдел.
----------

Так это вопрос не разработчиков. А тех кто занимается стратегией и тактикой безопасности и сохранением денег клиентов.

----------
Цитата

chudak пишет:
Так это вопрос не разработчиков. А тех кто занимается стратегией и тактикой безопасности и сохранением денег клиентов X
X
----------


В том числе - да. В любом случае, мы не можем заранее гарантировать внедрение той или иной функции.

----------
Цитата

JaneJaneJane пишет:
В этой ветке принято ругать Сбербанк за совковость,
----------
Только что, принято. Давно там ни какой совковости нет.
В отличии от ТБ, когда я случайно пытался перевести деньги с кредитной карты на дебетовую, появился дополнительный запрос подтверждения с указанием комиссии и вопросом уверен ли я.

----------
Цитата

Тинькофф Банк пишет:
В любом случае, мы не можем заранее гарантировать внедрение той или иной функции.
----------

Уважаемый ПБ, пытаемся донести до вас, как можем, что это не вопрос "косметики" или удобства, а вопрос безопасности ваших клиентов.
На текущий момент крупные вклады у вас хранить НЕБЕЗОПАСНО.

Навскидку, приведу несколько возможных сценариев (их гораздо больше на самом деле).
1. Клиент покупает что-то в мелком интернет-магазине по вашей карте. Магазин за безопасностью тоже особо не следит и хранит номера карт клиентов и их данные как попало. БД магазина утекает каким-то образом к хакерам, далее продается в даркнете и т.д. Итог -- у кого-то появляется связка номер карты + телефон клиента. Далее немного соц. инженерии в какой-нибудь точке продажи ОПСОСа, жалостливая история про потерянную сим-карту или еще что-то, в итоге перевыпуск симки и полное обнуление счетов вашего клиента. Да, в этом случае по суду будет виновен ОПСОС и возвращать деньги будет он. Но клиента после такой истории вы, скорее всего, потеряете. И таких случаев может быть далеко не один.
2. Клиент теряет портмоне с картой и телефоном. Если на симке пароля нет, то все понятно, тоже полное обнуление счетов. Если пароль есть, см. п. 1. Соц. инженерия, звонок в колл-центр или визит в точку продаж с историей о забытом пине, и вот уже PUK-код в руках мошенников, и опять обнуление счетов. В этом случае все для клиента даже ужаснее, чем в первом случае, потому что может не остаться никаких данных у ОПСОСА о смене кода, и тогда по суду и с ОПСОСА не факт что удастся получить деньги назад.

Что объединяет все эти случаи? Что вы, давая возможность клиентам сбросить пароль по номеру карты, который априори не считается секретным и хранится и передается в интернет-магазинах и т.д., перекладываете ответственность за деньги клиента на ОПСОСов. Которые часто ни фига не банки, ЦБ не контролируются и до исполнителей на местах ответственность за перевыпуск сим-карт донести должным образом зачастую не могут.

----------
Цитата

JaneJaneJane пишет:
То же самое по входу в ЛК по моб. телефону. Ну с какой стати вы это сделали, убрав дополнительную защиту -- логин, который можно было сделать сколь угодно сложным??
----------
Они это сделали, чтобы завлечь оплачивать услуги через них не клиентам Тинькофф. Любая желающая кухарка заходит со своим номером и попадает в личный кабинет. Денег в банке у неё нет(максимум - привязанная карта). Делать логин и помнить его для неё сложно. Ради вашей безопасности банк не откажется от своей комиссии.

----------
Цитата

JaneJaneJane пишет:
Уважаемый ПБ, пытаемся донести до вас, как можем, что это не вопрос "косметики" или удобства, а вопрос безопасности ваших клиентов.
На текущий момент крупные вклады у вас хранить НЕБЕЗОПАСНО.

Навскидку, приведу несколько возможных сценариев (их гораздо больше на самом деле).
1. Клиент покупает что-то в мелком интернет-магазине по вашей карте. Магазин за безопасностью тоже особо не следит и хранит номера карт клиентов и их данные как попало. БД магазина утекает каким-то образом к хакерам, далее продается в даркнете и т.д. Итог -- у кого-то появляется связка номер карты + телефон клиента. Далее немного соц. инженерии в какой-нибудь точке продажи ОПСОСа, жалостливая история про потерянную сим-карту или еще что-то, в итоге перевыпуск симки и полное обнуление счетов вашего клиента. Да, в этом случае по суду будет виновен ОПСОС и возвращать деньги будет он. Но клиента после такой истории вы, скорее всего, потеряете. И таких случаев может быть далеко не один.
2. Клиент теряет портмоне с картой и телефоном. Если на симке пароля нет, то все понятно, тоже полное обнуление счетов. Если пароль есть, см. п. 1. Соц. инженерия, звонок в колл-центр или визит в точку продаж с историей о забытом пине, и вот уже PUK-код в руках мошенников, и опять обнуление счетов. В этом случае все для клиента даже ужаснее, чем в первом случае, потому что может не остаться никаких данных у ОПСОСА о смене кода, и тогда по суду и с ОПСОСА не факт что удастся получить деньги назад.

Что объединяет все эти случаи? Что вы, давая возможность клиентам сбросить пароль по номеру карты, который априори не считается секретным и хранится и передается в интернет-магазинах и т.д., перекладываете ответственность за деньги клиента на ОПСОСов. Которые часто ни фига не банки, ЦБ не контролируются и до исполнителей на местах ответственность за перевыпуск сим-карт донести должным образом зачастую не могут.
----------

Сложно даже представить какой низкий шанс воплощения в жизнь хоть одного из этих сценариев:
- при оплате в магазинах используется специальная форма банка, в которой соответствующие меры безопасности;
- даже если эти данные каким-то образом окажутся у злоумышленника, то оператор не сделает замену СИМ-карты без оригинала паспорта и подтверждения личности, вне зависимости от истории из уст обратившегося;
- почти у всех стоит пароль на телефоне (TouchID, FaceID и пр.), особенно у тех, кто очень внимательно относится к безопасности своих средств;
- со сменой кода СИМ полагаем, что история такая же, без идентификации никто его менять случайному человеку не будет, тем более через колл-центр;
- в дополнение, при смене СИМ нам передается об этом информация от оператора и мы блокируем получение СМС, которые содержат конфиденциальную информацию, в том числе коды для регистрации.

----------
Цитата

Тинькофф Банк пишет:
Сложно даже представить какой низкий шанс воплощения в жизнь хоть одного из этих сценариев:
----------

Вам привести примеры с этого форума людей, у которых таким образом уводили все деньги? В том числе, и клиентов вашего банка. Еще обворованные клиенты часто писали, что хваленая фрод-защита не сработала. И система спокойно позволила за минуты обнулить все счета клиента, который отродясь не снимал за день больше 3 000 р.

Ладно, вот пример проще.
Человек публикует инфо о продаже чего-либо на Авито. С номером телефона. С ним связывается мошенник под видом покупателя и просит номер карты. Половина дела уже сделана.
Насчет того, что перевыпуск вы заметите, я не уверена. И sms на сутки только блокируют.

Через колл-центр меняют не сим-карту, а PUK код к ней для сброса пина.

P.S. Можно сколько угодно писать о том, что все эти сценарии маловероятны. Вот только попадать в процент тех, кому не повезло, совсем не хочется. А на форуме, еще раз подчеркну, описано множество таких случаев. И с вашим банком тоже.

ТинькоффБанк, что у вас с ИБ/МБ для Юрлиц? Через приложение войти не получается, сейчас пишет "Ошибка, не удалось обработать ответ сервера", до этого просто бесконечно крутился лоадер. Через браузер - 504 ошибка и куча ошибок в консоли https://take.ms/fMr3B

----------
Цитата

Тинькофф Банк пишет:
К сожалению, гарантировать реализацию не можем, поскольку разработкой приложения занимается другой отдел. Но, безусловно, сделаем все, что в наших силах, и передадим им все пожелания X
----------


Очевидно, что передавать им пожелания не нужно. Это бесполезно, они просто исполнители и без решения ничего не реализуют. А нужно передавать оформленное предложение в антифрод-отдел, либо напрямую заму/директору о повышении уровня рисков криминальных действий при использовании карт ТБ с момента изменений в политике аутентификации клиентов. И приложить информацию о текущей ситуации с МТС-банком, например.

----------
Цитата

Ыжва пишет:
ТинькоффБанк, что у вас с ИБ/МБ для Юрлиц? Через приложение войти не получается, сейчас пишет "Ошибка, не удалось обработать ответ сервера", до этого просто бесконечно крутился лоадер. Через браузер - 504 ошибка и куча ошибок в консоли https://take.ms/fMr3B
----------
Передали на проверку, разбираемся. Извините, пожалуйста, за неудобства.

----------
Цитата

Тинькофф Банк пишет:
гарантировать реализацию не можем, поскольку разработкой приложения занимается другой отдел.
----------

При чем тут вообще приложение? Восстановление пароля по номеру любой карты никак не связано ни с каким приложением. Это общая политика сниженной безопасности.
Также и возможность запрета такой опции должна быть реализована глобально и в первую очередь в ИБ

Кстати, если есть желающие, особенно те, кто сильно пользуется продуктами ТБ, что-то решить в этой ситуации, надо написать именно почтой. На бумаге ).

И получить юридически обязывающий ответ - причину, что, например, ТБ перенёс риски финансовых потерь на опсосов/клиентов/инопланетян.

И тогда я, например опять же, буду продолжать радоваться, что не храню свои средства в ТБ, так же как радуюсь, что не храню их в МТС-банке. Допку выпустил, а смысл потерялся. Оптимизация расходов? Ответ оптимизацией доверия. Унификация банковских операций? Тогда пойду в ближайший. Ничего личного, просто банкинг. Ведь теряется уникальность, за которую банк выбирали _раньше_. Проще с тем, где можно пойти в отделение постучать тапкой по трибуне :D .

Здравствуйте!
Фирма не возвращает деньги за отмененный предоплаченный прокат, хотя по условиям отмена бесплатна. От возврата не отказываются, но давно тянут время. Обратился 28.04 в Тинькофф-банк с просьбой об оспаривании операции и возврате денег (chargeback). Поставили срок ответа 1 месяц. Через месяц перенесли срок еще на месяц. После моего общения в чате и настойчивых просьб сообщить, в какой стадии процесс, ответили, что запрос в банк-эквайер отправили только СЕГОДНЯ (через месяц с лишним после моего обращения). Срок ответа передвинули еще почти на 2 месяца - до 20.07!!!
После этого уже 2 недели как фирма-прокатчик неоднократно подтверждает мне, что ОНА ДОЛЖНА МНЕ уплаченную сумму (порядка 2500$), мне полагается возврат этой суммы, что фирма в курсе инициированного chargeback и я получу эту сумму через chargeback. Советует обращаться в свой банк (Тинькофф). Я регулярно пересылаю сканы нашей переписки с прокатом, подтверждающей что он не оспаривает возврат денег. Однако в ответ - тишина. Попытки связаться с отделом Тинькофф-банка, занимающимся оспариванием операций, бесполезны. Весь диалог происходит только с оператором, который вопросом не владеет и ничего кроме "ждите" сказать не может. Появились опасение, что банк "накосячил" с оформлением запроса по chargeback и теперь тянет время. Но выяснить действительное положение вещей и причину задержки у оператора в чате невозможно.
Являясь премиальным клиентом, пытался выяснить, что происходит, у персонального менеджера. И снова глухая стена.
Такое впечатление, что высокие стандарты обслуживания физических лиц, чем ранее славился Тинькофф, остались в прошлом.

----------
Цитата

maxiam1 пишет:

Такое впечатление, что высокие стандарты обслуживания физических лиц, чем ранее славился Тинькофф, остались в прошлом X

----------


Процедура чаржбак обрабатывается платежной системой, там есть регламент и время, за которое каждый участник должен ответить. Это время частенько 30 дней. А участиков несколько, и запросов может быть не один.
Тинькофф, думаю, тут не при чем. Тянуть с ответом может и прокатная компания (платежная система будет ждать этого ответа срок, устанвленный регламентом), а Вам эта компания что угодно может говорить.
Хуже, когда банк отказывается подать в ПС на ЧБ. А тут, похоже, с Тиньковым все в порядке - подали. Далее они ничего сделать не могут для ускорения, кроме своевременных ответов на запросы от ПС.

----------
Цитата

maxiam1 пишет:
Здравствуйте!
Фирма не возвращает деньги за отмененный предоплаченный прокат, хотя по условиям отмена бесплатна. От возврата не отказываются, но давно тянут время. Обратился 28.04 в Тинькофф-банк с просьбой об оспаривании операции и возврате денег (chargeback). Поставили срок ответа 1 месяц. Через месяц перенесли срок еще на месяц. После моего общения в чате и настойчивых просьб сообщить, в какой стадии процесс, ответили, что запрос в банк-эквайер отправили только СЕГОДНЯ (через месяц с лишним после моего обращения). Срок ответа передвинули еще почти на 2 месяца - до 20.07!!!
После этого уже 2 недели как фирма-прокатчик неоднократно подтверждает мне, что ОНА ДОЛЖНА МНЕ уплаченную сумму (порядка 2500$), мне полагается возврат этой суммы, что фирма в курсе инициированного chargeback и я получу эту сумму через chargeback. Советует обращаться в свой банк (Тинькофф). Я регулярно пересылаю сканы нашей переписки с прокатом, подтверждающей что он не оспаривает возврат денег. Однако в ответ - тишина. Попытки связаться с отделом Тинькофф-банка, занимающимся оспариванием операций, бесполезны. Весь диалог происходит только с оператором, который вопросом не владеет и ничего кроме "ждите" сказать не может. Появились опасение, что банк "накосячил" с оформлением запроса по chargeback и теперь тянет время. Но выяснить действительное положение вещей и причину задержки у оператора в чате невозможно.
Являясь премиальным клиентом, пытался выяснить, что происходит, у персонального менеджера. И снова глухая стена.
Такое впечатление, что высокие стандарты обслуживания физических лиц, чем ранее славился Тинькофф, остались в прошлом.
----------


Здравствуйте!

Детально изучим ситуацию и позднее вернемся с комментариями.

Прокомментирую по пунктам, чтобы все клиенты представляли, какую опасность несет сброс пароля в ЛК по номеру карты и коду.

----------
Цитата

Тинькофф Банк пишет:
Сложно даже представить какой низкий шанс воплощения в жизнь хоть одного из этих сценариев:
- при оплате в магазинах используется специальная форма банка, в которой соответствующие меры безопасности;
----------

Речь не про форму банка, а про хранение на сайте данных карты. Когда вы оплачиваете что-либо в интернет-магазине, очень часто магазин услужливо включает галочку "Запомнить данные карты". Если ее не убрать, номер карты будет храниться в БД сайта магазина. При утечке и взломе БД у злоумышленника в руках номера карт всех клиентов. Минус первая степень защиты.

----------
Цитата

Тинькофф Банк пишет:
- даже если эти данные каким-то образом окажутся у злоумышленника, то оператор не сделает замену СИМ-карты без оригинала паспорта и подтверждения личности, вне зависимости от истории из уст обратившегося;
----------

К сожалению, множество историй жертв на форуме говорит об обратном. Перевыпускают. Из последнего запомнившегося --- перевыпуск сим-карты мошенником по поддельному временному удостоверению личности. Из-за халатности сотрудника ОПСОСа он даже не снял копию с этого удостоверения. Это выяснилось при расследовании уголовного дела о снятии денег.

----------
Цитата

Тинькофф Банк пишет:
- почти у всех стоит пароль на телефоне (TouchID, FaceID и пр.), особенно у тех, кто очень внимательно относится к безопасности своих средств;
----------

Пароль на телефоне не поможет, если у мошенников есть номер карты + они перевыпускают сим ИЛИ
каким-то образом взламывают ЛК опсоса по данному номеру и перенаправляют все SMS на свой номер. Последнее обсуждается сейчас в соседней ветке.----------
Цитата

Тинькофф Банк пишет:
- со сменой кода СИМ полагаем, что история такая же, без идентификации никто его менять случайному человеку не будет, тем более через колл-центр;
----------

См. выше. Вы полагаете так, а вот мошенники думают и действуют по-другому.
----------
Цитата

Тинькофф Банк пишет:
- в дополнение, при смене СИМ нам передается об этом информация от оператора и мы блокируем получение СМС, которые содержат конфиденциальную информацию, в том числе коды для регистрации.
----------

На форуме описан случай вашего клиента, который сменил сим-карту и спокойно вошел с новой сим-картой в ЛК по полученному на новую симку коду. Только через сутки произошло блокировка. Нужно ли говорить, что для снятия денег в ЛК нужны далеко не сутки, а считанные минуты.

Дополнение --- почему в ТБ коды подтверждения до сих пор 4-хзначные? Вероятность угадать такой код 0.0001.
Почему бы не увеличить длину кода хотя бы до 6 цифр, как, например, в Сбербанке?

P.S. Кстати, а почему вообще коды состоят только из цифр, кто знает? Есть ли техническая возможность перейти на коды из букв и цифр? В таком случае резко уменьшится вероятность его случайного угадывания, а также будет затруднена возможность диктовать код по телефону мошенникам из "службы безопасности". У которых, кстати, весь "бизнес" сейчас построен на том, чтобы выведать у доверчивых граждан, чаще всего пенсионеров, номер карты и код из СМС. А ТБ мошенникам в этом косвенно помогает, не давая возможности отключить это "удобство".

----------
Цитата

JaneJaneJane пишет:
На текущий момент крупные вклады у вас хранить НЕБЕЗОПАСНО.

----------


Очень верно отмечено - для защиты от удара по голове и отъема карты с телефоном нужно иметь личную охрану.

----------
Цитата

Тинькофф Банк пишет:
Здравствуйте!

Детально изучим ситуацию и позднее вернемся с комментариями.
----------


На следующий день со мной связался представитель Тинькофф-банка, вник в суть проблемы. Мне дали подробный ответ на заданные вопросы, а немалую оспариваемую сумму (примерно 2500$) банк возвратил на мою карту, не дожидаясь поступления денег по chargeback от платежной системы.
Так что Тинькову респект, продолжаю считать его лучшим и клиентоориентированным банком для физиков