monobank

[x-shader]

monobank | Universal Bank

Довідка від НБУ​

www.monobank.ua || ✎ FAQ на базі β-тестування
℡ 0 (800) 205-205 по Україні, +380 (44) 237-2060 із-за кордону || ✉ [email protected] загальні питання
iNET-банкінґ тільки мобільні застосунки
— — —
історія «покращень» || P2P-перекази й комісійна винагорада || «кухня» кредитних рішень

 

[idea]

Я думал над этим вариантом, но ребенок клянется, что номер карты нигде не светил (об этом я ему много раз говорил), и в описании перевод

Аргумент полєга правильний.
Але ж Ви думаєте, що хтось зламав доступ до застосунку, тому і номер карти подивитись не складно.
Взагалі якась фантастика і тепер віриш у будь-що.
Хоча знаючи малих, вони ж тицяють на телефоні на усе підряд без жодних гальм.

 

[vlad_g]

вони ж тицяють на телефоні на усе підряд без жодних гальм.

ну так да, поэтому версию со взломом я не отбрасываю и считаю основной. А каким образом они получили доступ к аккаунту - уже не так важно, дело техники, через мутные приложения, которым ,возможно, ребенок сам дал нужные права. Затем клонировали устройство через восстановление в гугл-акке на рутованном девайсе,и как-то обошли защиту моноприложения через отпечаток (отпечаток - это зло!)

 

[DeHuC]

Пару слов о хваленой "защите" в приложении монобанка.
В общем, есть детская карта моно, где ребенок копит деньги, при этом в настройках родительского контроля заблокированы все рисковые операции (снятие наличных, переводы с карты ребенка и пр.)
И тут така халепа... Какие-то нехорошие люди взломали гугл аккаунт на телефоне ребенка (не знаю, что он там качал и устанавливал, но факт есть факт), при этом мошенники как-то вошли в приложение моно и сделали перевод на 2500 грн+комисс на карту Тинькофф банка. После этого перевода моно карту заблокировал. Однако, остается открытым вопрос, как им удалось сделать перевод, если в род.контроле эта опция отключена?
Поддержка моно предложила обращаться в полицию. По поводу не сработавшей опции в родительском контроле взяли паузу и обещали разобраться.
Подожду ответа, конечно, но потом всё же закрою детскую карту. Пусть собирает деньги наличными.

А чем подтверждается, что кто-то что-то взломал, а не сам ребенок сделал перевод на 2500 + комисс на карту Тинькофф банка?

 

[LiquidStrm]

Затем клонировали устройство через восстановление в гугл-акке на рутованном девайсе,и как-то обошли защиту моноприложения через отпечаток (отпечаток - это зло!)

монька через гугл бекап не разворачивается, а на новом устройстве она через СМС запрашивает код.
И в СМС на фин.номере он останется с указанием нового устройства (красненьким):

Спойлер

Так что либо какая-то зловредная приложуха прямо с телефона ребенка рулила процессом, либо номер/дата/CVV слили и на своей стороне ввели реквизиты, а защита моньки это провтыкала.

 

[vlad_g]

DeHuC, словами ребенка. Я ему верю.
И даже не в этом дело. Повторюсь, по карте ребенка были запрещены переводы в родительском контроле. Даже если бы он захотел сделать это сам, банк должен был заблокировать такую операцию.

 

[Poleg]

А чем подтверждается, что кто-то что-то взломал, а не сам ребенок сделал перевод на 2500 + комисс на карту Тинькофф банка?

Вот реально вообще не важно, пусть даже ребенок сам сделал донат, но родительский контроль и существует для того чтобы на стороне родителей запрещать такие донаты.

 

[SDA]

вони ж тицяють на телефоні на усе підряд без жодних гальм.

ну так да, поэтому версию со взломом я не отбрасываю и считаю основной. А каким образом они получили доступ к аккаунту - уже не так важно, дело техники, через мутные приложения, которым ,возможно, ребенок сам дал нужные права. Затем клонировали устройство через восстановление в гугл-акке на рутованном девайсе,и как-то обошли защиту моноприложения через отпечаток (отпечаток - это зло!)

Ну учитывая, что большинство наших банковских приложений не ограничивают скриншоты и по умолчанию отображают полный номер карты (по крайней мере Моно и Альфа), то, ИМХО, может оказаться достаточно левого приложения, которое умеет делать скриншоты или которому могли даже дать разрешение администратора устройства (ребёнок вполне мог дать разрешение чтобы игрушка работала). В администраторах устройства ничего левого не было?

 

[vlad_g]

монька через гугл бекап не разворачивается, а на новом устройстве она через СМС запрашивает код.
И в СМС на фин.номере он останется с указанием нового устройства (красненьким):

Смс не было ни на тел.ребенка, ни на моем. Проверил даже через МКС ecare...

Post automatically merged: 01.12.21

В администраторах устройства ничего левого не было?

Это проверю вечером, когда буду дома...

 

[DeHuC]

DeHuC, словами ребенка. Я ему верю.
И даже не в этом дело. Повторюсь, по карте ребенка были запрещены переводы в родительском контроле. Даже если бы он захотел сделать это сам, банк должен был заблокировать такую операцию.

Давайте я ещё вам пищи для размышления подкину
А откуда вы знаете, что переводы точно были запрещены 29 ноября в 21:48?
Ваш телефон 29 ноября эдак с 21:30 до 22:30 где был?

Я бы начал с проверки самого очевидного варианта, а затем шёл по нарастанию теорий заговора.

 

[vlad_g]

Прив'язали номер карти у кацапському банку та вивели тягнучкою

В каких банках и какой Вселенной при переводе тянучкой в приложухе моно можно увидеть часть номера карты-рецепиента? Конкретно в скриншоте 553691****8523?

А какой MCC был у этой операции?

4829

Post automatically merged: 01.12.21

DeHuC, словами ребенка. Я ему верю.
И даже не в этом дело. Повторюсь, по карте ребенка были запрещены переводы в родительском контроле. Даже если бы он захотел сделать это сам, банк должен был заблокировать такую операцию.

Давайте я ещё вам пищи для размышления подкину
А откуда вы знаете, что переводы точно были запрещены 29 ноября в 21:48?
Ваш телефон 29 ноября эдак с 21:30 до 22:30 где был?

Я бы начал с проверки самого очевидного варианта, а затем шёл по нарастанию теорий заговора.

Мой телефон был со мной (в пределах видимости). Мои явки-пароли ребенок не знает и доступа к телефону не имеет. Операции были запрещены с момента выпуска карты и до сих пор. Думаю, технарям моно проверить в логах это труда не составит.

 

[Poleg]

Говорит, что получал уведомление от гугла о доступе к аккаунту...

А что в имейле, привязанном к моне и истории гугл-аккаунта.

А откуда вы знаете, что переводы точно были запрещены 29 ноября в 21:48?

Тогда моня так и ответит - запрет был выключен в 21:30 и включен в 22:00. И вопросы к нему ес-но отпадут.

 

[vlad_g]

А что в имейле, привязанном к моне и истории гугл-аккаунта.

Спасибо за направление поиска, вечером дома буду смотреть. Пока только все общение через переписку с ребенком. И с моно.

 

[idea]

Це, по факту, те, чого уже рік застерігають закордонні банки, що є програми, які підшиваються під банк, або просять доступу на встановлення програми, яка перебирає доступ на себе.
І як тут дитину навчити що банки це безпечно?

 

[SDA]

4829

Обычный MCC для этого типа операций у Моно. Кстати, посмотрел я у себя историю в моно и нашёл ситуацию, когда в названии операции был номер карты - это прямое пополнение карты через Gpay. Вот пример, но тут я тянул, чтобы эту новую функцию проверить:

Спойлер: Скриншот

 

[vlad_g]

SDA, т.е. в тинькоффе тоже может быть пополнение через гпей... Но для этого карта должна быть в гпее?

 

[idea]

Така як це працює через gpay - я ніколи не зустрічав...

 

[SDA]

SDA, т.е. в тинькоффе тоже может быть пополнение через гпей... Но для этого карта должна быть в гпее?

Вполне возможно... Ну или Моно так отображает какие-то хитрые схемы тянучки. Как международные переводы показывает Моно не скажу, т.к. такого опыта не было.
Только что затянул тестовую сумму через Gpay в Моно и аналогично пишет в названии операции номер карты и проходит сразу без 3DS со стороны другого банка.

 

[vlad_g]

SDA, только в моем случае детская карта ни в какие кошельки не добавлялась...

 

[Poleg]

нашёл ситуацию, когда в названии операции был номер карты

Это "от" и пополнение, а мы говорим про "на" и перевод.

 

[SDA]

нашёл ситуацию, когда в названии операции был номер карты

Это "от" и пополнение, а мы говорим про "на" и перевод.

Я же в аспекте в какой ситуации отображается номер карты в названии операции в Моно. У себя нашел только два варианта: 1) отправка внутри приложения Моно на несохраненную карту 2) операции Gpay.