15 октября основатель сайта AppleInsider.ru Михаил Королев рассказал в фейсбуке, что с банковской карты «Тинькофф банка» его жены неизвестные списали 200 тыс. рублей за покупку в спортивном магазине. По словам Королева, оплата произошла без каких-либо подтверждений с помощью секретного SMS-кода или уведомления в приложении банка. Кроме того, мошенникам удалось привязать карту к аккаунту платежной системы PayPal, о чем в приложении «Тинькофф банка» тоже не сообщалось.
Как пишет TJ, списанные с карты деньги были заморожены банком и вернуть их обратно было невозможно. Королев отметил, что незадолго до совершения транзакции на телефон его жены поступил звонок из «Тинькофф банка», но позднее в контактном центре банка заявили, что никаких вызовов не совершали. Представитель банка Наталья Лутай в комментариях под постом Королева отметила, что проверит эту информацию.
Через несколько часов Королев сообщил, что с карты попытались снять еще порядка 365 тысяч рублей, но операция была заблокирована из-за установленной на карте блокировки.
На подозрения Королева о причастности сотрудников банка к финансовым махинациям представитель «Тинькофф банка» заявила, что номер, срок действия и CVV карты знает только ее держатель. При этом Лунтай отметила, что «операции могут проходить и без подтверждения, это зависит от настроек сервиса».
После списания 200 тыс. рублей Михаил Королев обратился в службу поддержки интернет-магазина, в котором была совершена покупка. Вскоре магазин отменил заказ и инициировал возврат средств на аккаунт PayPal, привязанный к карте. После этого Королев обратился к представителям PayPal, и 17 октября жене Королева вернули украденные деньги.
Каким образом мошенникам удалось списать средства без подтверждения платежа, в «Тинькофф банке» прокомментировать не смогли. В комментариях под постом Королева предположили, что злоумышленники могли получить доступ к картам из-за утечки в системе Visa. Позже Королев опубликовал скриншот переписки, в котором утверждается, что проблема кроется в протоколе SS7 и что «сверху есть команда замалчивать» подобные случаи.