Всем привет, хочу поделиться своим опытом, как стал жертвой мошенников на сумму более 5 млн рублей и как «Альфа-банк» всеми правдами и неправдами покрывает мошенников и не предпринимает никаких шагов в решении вопроса — ни в ответах на официальные запросы полиции, ни помощи в возврате 4 млн рублей, зависших на их счетах.
Я не снимаю с себя ответственности за допущенные ошибки, но я категорически не согласен с подходом Альфа-Банка в отношении данной ситуации, которая наводит только на одну мысль — банк напрямую заинтересован в этой схеме мошенничества.
Итак, поехали.
Я являюсь клиентом Альфа-Банка в рамках зарплатного проекта моего работодателя около 5 лет. 29 октября 2020 года я стал жертвой мошенников.
Вечером позвонили из «службы безопасности» Альфа-Банка и под предлогом отвязки чужого номера вынудили назвать код из СМС. Подкупило то, что код нужно было назвать не оператору, а автоматизированной системе после сигнала. Заранее знать о наличии или отсутствии такой системы я не мог, в той же поддержке, например, тоже стоит робот с распознаванием голоса.
Далее звонок переключили на другого «сотрудника», который сообщил, что номер-то отвязали, но на меня успели оформить кредит. В этот момент я зашел в приложение и действительно увидел счет с 5 361 000 рублей, который я не открывал.
Кредит был выдан практически мгновенно, никаких документов банк не затребовал, никто мне не перезвонил. Кроме того, я не получал никаких документов ни по каким каналам, таких как кредитный договор, условий его я не знаю.
Далее, мне предложили вернуть эти деньги в банк и закрыть этот кредит, а так как раньше я с кредитами не сталкивался, то не знал как это должно происходить на самом деле.
Для «закрытия» кредита мошенники подключили к моему личному кабинету «семейный счет» (о наличии подобной услуги я не знал), пояснив, что фамилия, фигурирующая в названии счета — это менеджер банка и счет предназначен для возврата денег в банк.
Таким образом, с помощью обмана, меня вынудили перевести деньги на этот «семейный счет» (4 825 000 рублей, остальное списалось на страховку), после чего доступ к этому счету отключили.
Далее мошенники тянули время, «закрывая кредитный счет», но в итоге заявили, что он должен закрыться в течение следующих суток. В этот момент пришло осознание печальной реальности.
Я перезвонил на настоящую горячую линию, где мне подтвердили, что все операции прошли, что я сам все сделал и «банк мне ничего не вернет» (прямая цитата), даже не предложив обратиться с жалобой в отделение.
В тот же день я обратился в полицию, где было возбуждено уголовное дело, меня признали потерпевшим.
На следующий день я поехал в отделение (ближайшее в соседнем городе), написал обращение, с подробным описанием ситуации, приложил документы из полиции, отдельно писал заявление на «расследование платежа». Позже было подано еще одно обращение. По данным обращениям получил устный ответ по телефону, что «банк не видит оснований» предпринимать никаких действий.
В каждом обращении было требование ответить письменно, однако они были проигнорированы, пришлось создать еще две заявки, которые рассматривали больше недели, и на которые я получил ответ, что с письменным ответом могу «ознакомиться» в ближайшем отделении (которое в соседнем городе).
Пришлось в очередной раз ругаться с поддержкой и оформлять уже пятое обращение. В итоге банк прислал письменный ответ, который был отправлен только 27 ноября (почти через 2 недели после последнего обращения), причем почему-то из Барнаула, а не из центрального Московского офиса. Учитывая, что ответ полностью соответствует устному — налицо явное затягивание времени и наплевательское отношение к клиентам.
Подчеркну, что ни на один конкретный вопрос из обращений, например, каким образом была подана заявка на кредит, на каком основании подключение семейных счетов происходит без подтверждения с моей стороны и т.д., не было дано никаких ответов.
Более того, в полиции говорят, что до сих пор не получили ответов на свои запросы от банка, хотя прошло уже почти полтора месяца. Зачем банк искусственно затягивает время? Может, чтобы потом заявить, что никаких подробных данных у них не осталось?
Вообще, по моему мнению, банк, получая множественные сообщения о мошенничестве при сходных обстоятельствах, сам должен был обратиться в полицию, т.к. мошенники действуют якобы от лица банка, нанося урон репутации. Однако, банк видимо считает более выгодным собирать долги с жертв, чем защищать интересы клиентов.
Кроме обращений в банк и полицию, я также писал заявление в ЦБ, отзыв на Банки.ру. В обоих случаях получил отписку о том, что я сам виноват, а кредит вообще якобы из моего приложения был оформлен. Последнее — это прямая ложь, тем более, что доказательств они не приводят.
Да в приложение я заходил, но это было уже после того как кредит был выдан. Я уверен, служба безопасности прекрасно может видеть это по сессиям входов, запросам, источникам запросов и т.д. Вот только банку не выгодно это признавать, лучше найти крайнего и пусть он платит банку.
Хорошо, допустим заявка на кредит подписана моей простой электронной подписью, однако банк не смутило, что сама заявка была оформлена из неизвестно мне места, но точно не совпадающего с тем откуда был сделан последующий перевод.
Также банк совсем не смутил перевод всей доступной крупной суммы в адрес третьего лица, с подключением и отключением «семейного счета». А где же антифрод? Людям и без всяких признаков гораздо меньшие суммы блокируют.
Кроме того, учитывая, что платеж был в адрес клиента банка, моя жалоба на данную операцию поступила практически сразу (по телефону) и на следующий день письменно, с приложением документов из полиции, я уверен, что банк мог предпринять какие-то действия.
Почти через месяц через чат поддержки я узнал, что мое заявление на расследование платежа вообще отклонили и даже рассматривать не стали, не уведомив меня об этом, т.к. ответственный отдел оказывается «не занимается переводами между своими счетам», к которым приравнивается операция перевода на «семейный счет». А то, что эта операция фактически в адрес третьего лица — это их не интересует.
Получается банк всячески самоустраняется от решения проблемы, никто ни за что не отвечает, никто ничего не хочет рассматривать и т.д. Складывается ситуация, что любой клиент банка может подключить любому другому клиенту свой счет, без подтверждения со второй стороны.
В случае же ошибочного перевода на такой счет (ну промахнулся пальцем в приложении), оспорить такой платеж невозможно, а происходит он мгновенно и без подтверждения. Почему-то если на телефон не на тот номер деньги положил — их можно вернуть по заявлению, если бухгалтер не по тем реквизитам деньги отправил — то тоже можно вернуть, а тут права на ошибку нет вообще.
При рассмотрении моего обращения, со мной связывался сотрудник и СБ для уточнения деталей, и среди прочего упомянул, что якобы тот счет, куда ушли деньги они заблокировали (на тот момент что-то около 4 млн рублей рублей «зависло»).
Дальнейшая судьба тех денег мне неизвестна, с учетом того, что даже полиция еще не получила ответа от банка.
С моей точки зрения, т.к. на лицо явное мошенничество и многие факты банк может проверить, тем более, что все операции внутрибанковские, он мог пойти на встречу и вернуть эти 4 млн рублей рублей, которые можно было использовать на погашение большей части кредита. Но банку это опять же не интересно. Он покрывает мошенников, затягивает ответы что мне что полиции, пишет отписки, а тем временем прошло почти полтора месяца.
И мой случай не уникальный, мне известно о не менее 13 подобных случаях с клиентами Альфа-Банка, и во всех случаях банк ничего предпринимать не собирается, вешая долги на своих клиентов.
Ввиду вышесказанного, напрашивается вывод, что банку как минимум выгодна данная ситуация, а на интересы клиента ему абсолютно наплевать.
Возможно, банк, либо отдельные сотрудники банка замешаны в данной схеме, и происходит целенаправленный отъем средств у клиентов. Чего только стоит раскрытие персональных кредитных предложений на публичном сайте банка любому неавторизованому лицу при вводе ФИО и номера телефона клиента (по информации от службы поддержки банка) — это прямое пособничество мошенникам. Затягивание времени, бесполезные отписки — только лишнее тому подтверждение.
Здравствуйте!
Какие бы сценарии ни придумывали мошенники, важно помнить: сотрудники банка никогда не просят назвать коды из смс, пароли и доступы, а также не просят устанавливать программы на телефон, открывать счета, делать переводы, снимать деньги и совершать любые другие активные операции. Максимум, что можем спросить — это подтверждение оплаты или перевода.
Понимаем, что это досадно, когда у мошенников получается забрать деньги. Но, к сожалению, если всё было сделано с подтверждением кодом из смс, то вернуть ничего не сможем, так как это совершается в приложении клиента, данные для входа в которое может знать только он сам. Да и коды из смс отправляем только на тот номер, что указывал клиент.
Если у вас есть кредитное предложение, его видно в приложении. Им можно воспользоваться дистанционно в любой момент, но без кода из смс это сделать невозможно. Документы по кредиту отправляем на электронную почту, указанную в профиле в приложении. Поэтому тот факт, что кредит был оформлен из вашего приложения — не ложь.
Вы правильно сделали, что подключили к расследованию полицию. Со своей стороны мы предоставим все данные, которые потребуются по их запросу, но для этого нужно время.
Надеемся, что мошенников удастся найти и наказать.
а как так вышло что кредит на 5 лямов можно в несколько секунд открыть?
Выше об этом писали: "если у клиента есть кредитное предложение, его видно в приложении и им можно воспользоваться дистанционно в любой момент, но без кода из смс это сделать невозможно."
А зачем вы рассылаете кредитные предложения на 5 миллионов? А что не на 50 сразу? И что будет следующим шагом в вашем чудесном сервисе? "Если вы не отправите СМС "не хочу" на номер 322223, то через неделю кредит будет оформлен"?
Подписываюсь под каждым словом!
Начнут работать как "Мегафон". "Поключить подписку?" - "Да/позже".
смс код является подписью клиента?
Да, смс-код — это электронная подпись.
лол. Вопросов нет. Отличный банк
Комментарий недоступен
Класс, и это в стране где любой мусор может смотреть твои смс в реалтайме.
ой, а в самом диджитальном банке-Т разве не так?
я таким не пользуюсь
Диджитал Т иногда звонит и проверяет. Но обычно он это делает, когда большая часть суммы ушла)))
Плюс лимит у диджитал Т - 800к в день без оператора на внешние счета. (Ну так раньше было)
да везде лимиты. просто тут какая-то хитрая схема с семейным счётом. он видимо считается "своим" - а между своими счетами лимитов нет
Вот именно, тем более нелепо, что банк даже не проверяет, что за карта к этому счёту привязывается и на кого она
Раньше точно были, причем сильно меньше названной суммы
вообще то так во всех банках даже в сбере. проснитесь
смс подтверждение не является подписью, как и крестик на листике.
Комментарий недоступен
только в этом случае, банк должен осуществлять проверку подлинности личности получателя смс. Звонок от банка был? Нет, просто смс.
Когда приходит смс для подтверждения операции вам всегда должны звонить
ДЛЯ ПРОВЕРКИ ПОДЛИННОСТИ ЛИЧНОСТИ ПОЛУЧАТЕЛЯ СМС?И как это проверять без биометрии?
на каждую операцию никто и не просит, но при таких суммах не кажется ли это логичным?
у меня запрашивает на все операции свыше 100$
Комментарий недоступен
Ну для кого-то это обычная месячная зарплата.
Тогда должен быть ии анализ сумм приходящих/уходящих по карте, чтобы включался триггер на многократное превышение.
А этим только в налоговой занимаются и то не у всех)
Я ни в коем случае не защищаю альфа-банк. ТС, ознакомься с правилами выдачи кредита, посмотри какие документы требуются, как подтверждается и тогда с этим обращайся в банк и полицию. Если смс подтверждение, то запрашивай выписку у своего оператора по смскам за период. Электронка - смотри спам.
Хотя запрошенный код видимо и был подтверждением выдачи кредита... но как тогда тогда они в лк твой попали? В сбере вход в лк дублируется смской на привязанный телефон. Перевод денег тоже смской.
Что-то в твоей истории упущено...
о том и речь, что видимо все таки не попали, ибо иначе зачем им меня заставлять переводить, сами бы перевели тихо, да еще и с других счетов тоже, банк никак не хочет пояснить откуда запрос был на оформление кредита, я подозреваю что с сайта все таки, первая смс была "подтверждение номера в онлайн заявке" без пресловутого "никому не сообщайте код" - это так на всякий случай для тех кто очень прикрывается этой фразой, что за заявка - понятия не имею, на тот момент был уверен что это подтверждение моего номера телефона при отвязке "чужого"
в некоторых банка реализована двухфакторная ступень подтверждения. Логин - смс, подтверждение- звонок робота.
Смс - уже двухфакторная.
На каждую покупку вам робот звонит?
Как Робот узнает, что это именно ВЫ?
+ на каждую выше сотки баксов. По номеру телефона на который ушла смс
1. Если негодники получают доступ к смс (например, выпустив дубликат), они также получают доступ и к звонкам
2. Звонок на этот номер никак (без биометрии, да и то сомнительно) НЕ ПОДТВЕРЖДАЕТ личность.
доступ к смс угоном карты одно. Это уже ответвенность оператора, который верифицировал личность и перевыпустил карту. Тут же совсем другая ситуация.
Потерянный/украденный телефон. Жена пользуется карту мужа.
Вредоносное ПО. Вариантов много. Сим - лишь пример.
но есть разница когда по смс одобряют кредит на 5 лямов менее чем за минуту, и когда пытаются тупо снять деньги. Меня ломали. А так как переводы с карты мошенники не смогли подтвердить, просто тратили в магазинах. Сделал чардж, все вернул. Сумма смешная
https://vc.ru/claim/187483-alfa-bank-ignoriruet-moshennichestvo-na-summu-bolee-5-mln-rubley-i-otkazyvaetsya-pomogat-klientam?comment=2282865
Нашёл в этой ветке :)
Если поискать в интернете, то с большой долей вероятности можно найти посты других людей, которые "оформили предодобренный кредит за 5 минут с помощью 1 смс. Как современно и удобно".
Удобно и безопасно опычно на разных сторонах...
кредит одобряют по истории аккаунта, которому несколько лет
А какая ответственность у оператора? Никакой. Есть хоть одно дело, где выплатили компенсацию?
С пунктом 2 я бы поспорил. По звонку можно спросить кодовое слово или даже номер паспорта (возможно, его всё-таки нет у мошенников).
Кодовое слово тоже не подтверждает личность :)
Но да, как дополнительный способ аутентификации возможен.
К сожалению, в слитых базах есть и поспортные данные, и кодовые слова.
Я один раз попал в другую неприятную ситуацию: позвонил в банк, чтобы оспорить операцию по карте и узнать ряд деталей списания, у меня спросили кодовое слово, которое я указывал при перевыпуске карты (или даже при выпуске предыдущей). А я его не помню совершенно xD
А поменять его можно только в офисе с паспортом...
Нормальные ребята хешируют кодовые слова и пароли, не хранят в открытом виде
Если сотрудник банка сливает информацию о клиенте, то все данные будут в открытом виде, в т.ч. и кодовое слово
Согласен. Но в теории можно вообще не хранить кодовое слово, а лишь обработанное хэш функцией значение. Тогда и сливать будет нечего
Меня у Олега СБ просила видео включить :)
Это уже ближе к биометрии, да.
в данном случае смс выступает подписью простой...
Смс - это один фактор (фактор владения). Чтобы аутентификация была двухфакторной, должен быть ещё один фактор, например, пароль (фактор знания) или совпадение голосового отпечатка (фактор свойства).
Смс - второй. Первый - пароль/отпечаток для входа в приложение.
А как я узнаю что этот робот именно из банка ?
Не ко мне вопрос, я наоборот топлю, что роботы - чушь.
:)
Что же в данном случае являлось первым фактором?
Пароль в приложении?
которому нужно назвать код из СМС, да? )))
Комментарий недоступен
При входе в альфа мобайл у вас каждый раз спрашивается Тач, фейс или пин код. Это является проверкой подлинности.
По хорошему, нужно связываться с клиентом и подтверждать его намерение. В Тинькофф без разговора с оператором кредит не возьмешь.
открою секрет, в любом более менее крупном банке, без верификации личности кредиты не выдает на 100к даже, не то, чтобы на 5 лямов. Тут вся соль в сумме. Это какой-то сюр, выдавать такие кредиты онлайн.
Вы отвечаете официально от Альфа-Банка?
Если да, напишите, пожалуйста личным сообщением ваше имя, фамилию и должность.
Просто на таком уровне безопасности меня как юридическое лицо начинает пугать сервис.
Ебааааать просто слов нет, безопасность на уровне
Позорище. Это читать даже не смешно, а страшно.
Пипец. А ничего что у нас салоны связи по левым справкам за три секунды выдали сим карту мошенникам? Вы не в курсе, что это распространенное явление? Со мной лично так произошло
Код смс не как ни может является электронной подписью. Вы в своём уме вообще ? Для получения подписи нужно как минимум прийти в ваше отделение с паспортом
Просто интересно стало. А если злоумышленник угадает эти 3-4 цифры?
Альфа банк живет какой-то своей жизнью. У вас две крайности: 1) Отправить СМС латинским шрифтом, типа, потому что ЕСТЬ ЕЩЁ ЛЮДИ, у которых кнопочные телефоны, т.е. 2000-тысячные годы еще не ушли из банка, и 2) если не ответил на отправленное банком СМС, значит ты подтверждаешь свою личность, 3) "Да, смс-код - это электронная подпись".....
И это при сегодняшних компьютерных технологиях. Ваша СМС-ка - это даже не синица, а лебедь! в руках мошенника.
Банк все время скорбит - если мошенник вас обманул, мы очень сожалеем. А не попробовать ли вам отменить порочную практику, и отслеживать с какого номера вам звонят, какие суммы переводят или запрашивают.., т.е. делать все то, о чем вы красиво здесь пишите.
Да еще и эта сомнительная реклама «Альфа банк для умных и свободных»! Потому что по прошествии времени клиенты банка понимают, что Альфа банк – это безысходность, страдания и отсутствие надежды!
Не совсем честно по отношению к клиентам.
Альфа банк, вы с этим-то согласны?!
Комментарий удален модератором
Не представляю что с вами будет, когда вы узнаете про разные типы оферт. Оказывается, можно принять условия и согласиться на них даже без регистрации и смс!
что, прям зашел на сайт банка и сразу кредит оформили?
Тогда все-таки вопрос: почему кредитные предложения видны всем желающим на вашем сайте по ФИО и номеру телефона, которые легко взять даже из открытых источников (например, у ИП), не говоря уже о купленных базах?
Далее. По долгу службы в прошлом не раз направляла в ваш банк запросы по ip-адресам разных клиентов. И банк без проблем предоставлял пакет документов, в том числе многостраничные выписки ip-адресов. Странно, что сейчас документы вы представить пострадавшему не можете, хотя технические возможности у вас явно есть.
Более того, я лично натолкнулась на странный баг, когда кредитную карту выдали моей маме и я боялась, что она влетит в долги. Потому через банкомат, вставив ее карту, указала номер своего телефона на подтверждение различных операций, а также на получение смс для входа в банкинг (чтобы ее задолженность мониторить и не допускать просрочек). В итоге, она уже и через операторов и через заявление номер сменила на свой, и приложение ваше себе установила, привязанное тоже к ее номеру, заходит в него (хотя пароль к альфа.клику не знает, приложение загружается именно по привязке к телефону). И при этом все равно подтверждение всех операций и вход в банкинг на десктопе осуществляется по-прежнему через смс на мой номер! То есть как бы два номера активны одновременно. Это очень странная защита, что два человека, каждый со своим номером телефона, могут пользоваться одним счётом. У вас откровенные дыры в защите и злоумышленники этим пользуются.
Вообще с 2006-го пользуюсь услугами Альфа-банка, тогда он был особенно прогрессивным с кучей ништяков, но вот такие показательные истории разочаровывают прям, дебетовые счета и вклады уже все закрыть пришлось от греха подальше :/
Лол, у меня в зеленом банке после смена пароля старый продолжает работать.
Я, конечно, понимаю, что после драки кулаками не машут, но почему бы вам не сделать просмотр такого оффера клиенту более защищённым? Понятное дело, что не все хотят подключать отпечаток или faceID, но почему бы не шифровать такие вещи и не предоставлять только по запросу пользователя? Например, особый пароль +/или кодовое слово?
И более того интересно - почему зелёные друзья чуть ли не моментально дифференцируют такие операции, а вы вот так сели в лужу?
P.S. я клиент Альфа-Банка и такой кейс меня заставил подофигеть.
По идее, такие кредиты нужно выдавать только при личном присутствии клиента в банке. Онлайн - только мелочь тысяч до 50. И сделать вообще правилом, чтобы клиент сам решал, соглашаться на кредитование онлайн или нет.
В Почта Банке брал 300к через приложение (предодобренные). Сначала предложили сделать селфи через приложуху, потом код из смс. Через минуту деньги упали на счёт.
А толку? Как смс продиктуют, так и палец приложат.
Ну не знаю, а как дистанционно somebody's палец можно приложить? Конечно, я понимаю, что можно совершить диверсию на пользователя, но блин.
Сам пользователь и приложит. Он же смску продиктовал и палец приложит, когда скажут. сканер пальца у него в телефоне.
Так а это уже социальная инженерия, выходит, с подменой показываемого сценария для получения результата на сокрытом от глаза пользователя)
так она и в теме была
попросили смску, человек ее продиктовал
Я сам неделю уже думал, что делать с такими случаями. А тут такое читаешь и тихо седеешь. Какой алгоритм есть по запрету выдачи кредита "самому себе"?
Да я понимаю, что моя ситуация про валидацию звучит не более, чем проект. Я единственно вижу наиболее жизнеспособный алгоритм таким:
Предложили кредит на овер 5 млн
.
Сделать lock на этот оффер в приложении
.
Позвать клиента в офис
Пока я других вариантов не вижу. Не понимаю, каким образом можно онлайн одобрить 5 млн.
Хм. Открыл глянуть. Совпадение? Или что-то начали думать? Кстати банк мне так и не отвечает: какой алгоритм от отказа кредита клиент должен совершить?
Совпадение/Не думаю, да))
Как я могу запрет на выдачу кредита оформить? Сообщите плиз.