Альфа-Банк: Как получить доступ к вашим деньгам за 4 минуты

Если вы думаете, что выполнение всех требований безопасности спасет ваши деньги на счету Альфа-Банк, вы глубоко заблуждаетесь.

Привет, я Дима и это моя маленькая история взаимодействия с Альфа-Банком. По своей профессии я разработчик ПО, но имею опыт в информационной безопасности (ИБ). И такие простые вещи, как сложный пароль, двухфакторная аутентификация, установка только нужных и доверенных приложений, особый трепет в отношении паспортных данных и документов - для меня норма жизни. И каково же было мое удивление, когда я потерял доступ к своему мобильному банку ровно за 4 минуты.

12.06 я решил устроить велопрогулку по окрестностям моего города, когда в 19.11 (время здесь решающий фактор) я получаю смс с кодом для входа в Альфа-Мобайл.

“Наверное мошенники. Сейчас будут звонить и выманивать код”, - подумал я, и продолжил крутить педали. Но звонка не было.

Зато в 19.12 было уже второе смс-сообщения с другим кодом для входа.

Звонка снова нет, но я решил, что лишним не будет проверить свой личный кабинет. Вошел в мобильное приложение (официальное, установленное еще через Google Play) и увидел подозрительный новый счет, к которому привязана новая карта, но еще не активирована. К сожалению, скриншот экрана я не сделал.

Проверил сразу список устройств, привязанных к моему мобильному банку. Только одно, мой Samsung. Немного успокоился и решил написать в чат поддержки, что это за счет, откуда он появился.

Стоило только отправить сообщения в чат, как в 19.15 мобильное приложение закрывается и я вижу надпись на весь экран, что мобильное приложение на этом устройстве заблокировано в целях безопасности. И наконец следом приходит сообщение, что номер телефона для входа был изменен.

Пока я набирал номер горячий линии, в 19.16 приходит смс-сообщение, что был произведен вход в мой мобильный банк.

Все, 4 минуты от первого смс-сообщения с кодом для входа, до последнего, что в мобильный банк получен доступ.

Чем же грозит вам, если посторонний человек попадет в ваш личный кабинет банка, да еще и номер свой привяжет?

Самое интересное в этом то, что для подтверждения этих операций нужен только код из смс-сообщения, который придет на новый номер телефона. А вы даже не узнаете об этом.

Конечно же я сразу начал звонить на горячую линию, чтобы заблокировать все счета, пока моя зарплата не стала чьим-то вознаграждением. Быстро заблокировал мобильное приложение, закрыл все карты (их номера теперь есть у злоумышленников) и вместе с оператором составил обращение в поддержку банка, чтобы разъяснили мне, как такое могло произойти. Ответ должен поступить через сутки.

Сразу оговорюсь, что:

Я предполагал несколько версий:

В первом случае, банк должен заблокировать доступ, т.к. может отслеживать, что сим-карта была перевыпущена.

Вторую версию мы убираем, т.к. я стоял в поле, где на ближайший километр от меня только трава, да сено.

А вот третья версия, выглядит правдоподобно.

На следующий день (13.06) под конец отведенного времени на ответ, мне приходит смс-сообщение

Получается я сам, где-то в полях и написал заявление на смену номера. Ну точно, я совсем про это забыл и решил заблокировать все счета. Снова звоним на горячую линию, пересказываем все ситуацию и просим уточнить, на основании какого заявления была смена номера.

Состоялся следующий диалог:

Составляем еще одно заявление, где указываю, что я этих действий не выполнял, нужен более детальный ответ. Ждем ответ еще сутки.

14.06 получаем ответ, что 12.06 была получена карта, и заодно изменен номер. Отлично получается, теперь карту производят, доставляют и выпускают в отделении не за 7 дней, даже не за 1 день, а за 4 минуты. Удобно.

Нервы на пределе, звоним еще раз на горячую линию, в очередной раз пересказываем всю историю и просим уточнить, как можно сменить номер при помощи карты. А очень просто, если у вас есть ПЛАСТИКОВАЯ (не виртуальная, это важно) карта, то через банкомат можно изменить номер телефона.

Получается, злоумышленник сначала выпустил карту на мое имя, затем получил ее в отделении банка, вставил в банкомат и изменил номер телефона. И все это за 4 минуты.

Просим оператора подсказать, где была выдана карта и на основании чего. Оператор долго проверяет все возможные заявки в системе Альфа-Банка, и говорит, что не может найти заявление на выпуск новой карты. Магическим образом она сама себя выпустила. В Екатеринбурге. До Екатеринбурга мне по прямой порядка 4000 км, не думаю, что я имел такую возможность.

Снова составляем обращение, чтобы выяснить, кто, кому и когда выдал эту карту, копию заявления и вообще все данные, потому что уже пора идти в полицию.

И теперь ждем полный и развернутый ответ. Как обычно - сутки.

Но ни через сутки, ни через неделю ответа нет. Решаю, что нет смысла мешать людям, если уж в этот раз ИБ Альфа-Банка решила действительно разобраться в ситуации.

Параллельно, нужно что-то решать с перевыпуском карты, восстановлением доступа и выводом средств. Еду в отделение банка, пишу заявление на разблокировку мобильного банка и снова жду. В течение суток должны разблокировать

14.06, спустя сутки после заявления, пытаюсь зайти в мобильный банк, но никак не получаю смс-сообщение с кодом. Снова звоню на горячую линию и узнаю, что оказывается к моему личному кабинету все еще привязан второй номер телефона, и именно он в данный момент получает смс-сообщения. Прошу заблокировать доступ к мобильному банку и срочно еду в отделение (на другой конец города). Где оператор говорит, что никакого второго номера нет, привязан только мой, и все должно работать.

В течение 30 минут мы пытаемся войти в личный кабинет, но у нас не получается. То код не придет, то придет, но приложение не входит, из-за неизвестной ошибки, то вроде бы входит, но потом снова не приходит код. Наконец, доступ к мобильному банку получен, проверяем список привязанных устройств, и видим, что к нам все еще подключен IPhone.

Отвязываем, снимаем все деньги, теряем проценты по вкладам и счетам, платим комиссию за перевод. Все ради того, чтобы хоть как-то спасти свои деньги.

После неоднократных попыток узнать, когда же будет решение моего вопроса, спустя месяц, 16.07 мы получаем вот такой ответ:

Произошла чудовищная ошибка, нам жаль. Все.

Какие данные они скорректировали я так и не понял. Все, что нужно было исправить я уже сам съездил и исправил.

Ни попыток связаться со мной и объяснить, что же все таки произошло, ни дать внятный комментарий по ситуации, ни предложения как-то компенсировать понесенный ущерб, ничего.

Альфа-Банк, вам правда жаль? Или это просто стандартная отписка?

#жалобаальфа #жалобаальфабанк #приемная #alfabank #блокировка