Всем привет, хочу поделиться своим опытом, как стал жертвой мошенников на сумму более 5 млн рублей и как «Альфа-банк» всеми правдами и неправдами покрывает мошенников и не предпринимает никаких шагов в решении вопроса — ни в ответах на официальные запросы полиции, ни помощи в возврате 4 млн рублей, зависших на их счетах.
Я не снимаю с себя ответственности за допущенные ошибки, но я категорически не согласен с подходом Альфа-Банка в отношении данной ситуации, которая наводит только на одну мысль — банк напрямую заинтересован в этой схеме мошенничества.
Итак, поехали.
Я являюсь клиентом Альфа-Банка в рамках зарплатного проекта моего работодателя около 5 лет. 29 октября 2020 года я стал жертвой мошенников.
Вечером позвонили из «службы безопасности» Альфа-Банка и под предлогом отвязки чужого номера вынудили назвать код из СМС. Подкупило то, что код нужно было назвать не оператору, а автоматизированной системе после сигнала. Заранее знать о наличии или отсутствии такой системы я не мог, в той же поддержке, например, тоже стоит робот с распознаванием голоса.
Далее звонок переключили на другого «сотрудника», который сообщил, что номер-то отвязали, но на меня успели оформить кредит. В этот момент я зашел в приложение и действительно увидел счет с 5 361 000 рублей, который я не открывал.
Кредит был выдан практически мгновенно, никаких документов банк не затребовал, никто мне не перезвонил. Кроме того, я не получал никаких документов ни по каким каналам, таких как кредитный договор, условий его я не знаю.
Далее, мне предложили вернуть эти деньги в банк и закрыть этот кредит, а так как раньше я с кредитами не сталкивался, то не знал как это должно происходить на самом деле.
Для «закрытия» кредита мошенники подключили к моему личному кабинету «семейный счет» (о наличии подобной услуги я не знал), пояснив, что фамилия, фигурирующая в названии счета — это менеджер банка и счет предназначен для возврата денег в банк.
Таким образом, с помощью обмана, меня вынудили перевести деньги на этот «семейный счет» (4 825 000 рублей, остальное списалось на страховку), после чего доступ к этому счету отключили.
Далее мошенники тянули время, «закрывая кредитный счет», но в итоге заявили, что он должен закрыться в течение следующих суток. В этот момент пришло осознание печальной реальности.
Я перезвонил на настоящую горячую линию, где мне подтвердили, что все операции прошли, что я сам все сделал и «банк мне ничего не вернет» (прямая цитата), даже не предложив обратиться с жалобой в отделение.
В тот же день я обратился в полицию, где было возбуждено уголовное дело, меня признали потерпевшим.
На следующий день я поехал в отделение (ближайшее в соседнем городе), написал обращение, с подробным описанием ситуации, приложил документы из полиции, отдельно писал заявление на «расследование платежа». Позже было подано еще одно обращение. По данным обращениям получил устный ответ по телефону, что «банк не видит оснований» предпринимать никаких действий.
В каждом обращении было требование ответить письменно, однако они были проигнорированы, пришлось создать еще две заявки, которые рассматривали больше недели, и на которые я получил ответ, что с письменным ответом могу «ознакомиться» в ближайшем отделении (которое в соседнем городе).
Пришлось в очередной раз ругаться с поддержкой и оформлять уже пятое обращение. В итоге банк прислал письменный ответ, который был отправлен только 27 ноября (почти через 2 недели после последнего обращения), причем почему-то из Барнаула, а не из центрального Московского офиса. Учитывая, что ответ полностью соответствует устному — налицо явное затягивание времени и наплевательское отношение к клиентам.
Подчеркну, что ни на один конкретный вопрос из обращений, например, каким образом была подана заявка на кредит, на каком основании подключение семейных счетов происходит без подтверждения с моей стороны и т.д., не было дано никаких ответов.
Более того, в полиции говорят, что до сих пор не получили ответов на свои запросы от банка, хотя прошло уже почти полтора месяца. Зачем банк искусственно затягивает время? Может, чтобы потом заявить, что никаких подробных данных у них не осталось?
Вообще, по моему мнению, банк, получая множественные сообщения о мошенничестве при сходных обстоятельствах, сам должен был обратиться в полицию, т.к. мошенники действуют якобы от лица банка, нанося урон репутации. Однако, банк видимо считает более выгодным собирать долги с жертв, чем защищать интересы клиентов.
Кроме обращений в банк и полицию, я также писал заявление в ЦБ, отзыв на Банки.ру. В обоих случаях получил отписку о том, что я сам виноват, а кредит вообще якобы из моего приложения был оформлен. Последнее — это прямая ложь, тем более, что доказательств они не приводят.
Да в приложение я заходил, но это было уже после того как кредит был выдан. Я уверен, служба безопасности прекрасно может видеть это по сессиям входов, запросам, источникам запросов и т.д. Вот только банку не выгодно это признавать, лучше найти крайнего и пусть он платит банку.
Хорошо, допустим заявка на кредит подписана моей простой электронной подписью, однако банк не смутило, что сама заявка была оформлена из неизвестно мне места, но точно не совпадающего с тем откуда был сделан последующий перевод.
Также банк совсем не смутил перевод всей доступной крупной суммы в адрес третьего лица, с подключением и отключением «семейного счета». А где же антифрод? Людям и без всяких признаков гораздо меньшие суммы блокируют.
Кроме того, учитывая, что платеж был в адрес клиента банка, моя жалоба на данную операцию поступила практически сразу (по телефону) и на следующий день письменно, с приложением документов из полиции, я уверен, что банк мог предпринять какие-то действия.
Почти через месяц через чат поддержки я узнал, что мое заявление на расследование платежа вообще отклонили и даже рассматривать не стали, не уведомив меня об этом, т.к. ответственный отдел оказывается «не занимается переводами между своими счетам», к которым приравнивается операция перевода на «семейный счет». А то, что эта операция фактически в адрес третьего лица — это их не интересует.
Получается банк всячески самоустраняется от решения проблемы, никто ни за что не отвечает, никто ничего не хочет рассматривать и т.д. Складывается ситуация, что любой клиент банка может подключить любому другому клиенту свой счет, без подтверждения со второй стороны.
В случае же ошибочного перевода на такой счет (ну промахнулся пальцем в приложении), оспорить такой платеж невозможно, а происходит он мгновенно и без подтверждения. Почему-то если на телефон не на тот номер деньги положил — их можно вернуть по заявлению, если бухгалтер не по тем реквизитам деньги отправил — то тоже можно вернуть, а тут права на ошибку нет вообще.
При рассмотрении моего обращения, со мной связывался сотрудник и СБ для уточнения деталей, и среди прочего упомянул, что якобы тот счет, куда ушли деньги они заблокировали (на тот момент что-то около 4 млн рублей рублей «зависло»).
Дальнейшая судьба тех денег мне неизвестна, с учетом того, что даже полиция еще не получила ответа от банка.
С моей точки зрения, т.к. на лицо явное мошенничество и многие факты банк может проверить, тем более, что все операции внутрибанковские, он мог пойти на встречу и вернуть эти 4 млн рублей рублей, которые можно было использовать на погашение большей части кредита. Но банку это опять же не интересно. Он покрывает мошенников, затягивает ответы что мне что полиции, пишет отписки, а тем временем прошло почти полтора месяца.
И мой случай не уникальный, мне известно о не менее 13 подобных случаях с клиентами Альфа-Банка, и во всех случаях банк ничего предпринимать не собирается, вешая долги на своих клиентов.
Ввиду вышесказанного, напрашивается вывод, что банку как минимум выгодна данная ситуация, а на интересы клиента ему абсолютно наплевать.
Возможно, банк, либо отдельные сотрудники банка замешаны в данной схеме, и происходит целенаправленный отъем средств у клиентов. Чего только стоит раскрытие персональных кредитных предложений на публичном сайте банка любому неавторизованому лицу при вводе ФИО и номера телефона клиента (по информации от службы поддержки банка) — это прямое пособничество мошенникам. Затягивание времени, бесполезные отписки — только лишнее тому подтверждение.
Альфа для оформления даже 1 млн требует как минимум справку с доходами, а тут 5 млн выдали без проблем... По-любому сам банк участвует в схеме, ну, точнее, один из его сотрудников
Комментарий недоступен
лол, у меня по карте операций на 3к$ каждый месяц. Но мне к примеру не дают кредит)даже кредитку на 50$)) Чтобы получить кредит, нужно пройти семь кругов ада
Ну значит косяки были какие то. Альфы к зарплатникам очень лояльна.
Другое дело что сумма не нормальная, 5кк онлайн выдавать это шляпа и такие суммы должны быть запрещены на выдачу онлайн в принципе.
А я как понял это был чей то другой кредит просто через семейный счет показали нет?
Не, это его кредит был.
Товарищ слил код привязки к мобильному банку, дальше у мошенников на их смартфоне был полный доступ включая пуши на то устройство.
Кредит был взят, пушами все действия подтверждали, далее просто с кредита перекинули на технический счет, оттуда на привязанный только что семейный (к которому уже привязана карта на бомжа) и вывели (тут не факт, автор говорит что успели локнуть счет с 4млн).
Дальше хз что будет, автор будет платить/не платить проценты, потом возможно эти 4млн ему вернут обратно на счёт и вкинут на закрытие кредита, но автор все равно будет должен миллион + дохуа процентов (потому что он вероятно не будет платить их сейчас), ну может скостит через суд, но все равно сумма будет внушительная, хоть и не 5млн.
А я вот не очень понимаю. Банк реально не проверяет IP и геолокацию, то что IMEI у устройства другой? Это же всё доступно для приложения. Получается, даже у соцсетей защита на вход с нового устройства надёжнее, чем у банков... Хотя по-хорошему автору в смс должно было прийти, что "XXXX - код для привязки нового устройства", и если он этого не прочитал - то конечно сам виноват, как ни прискорбно...
Но опять же, будь я разработчиком банк-клиента - я бы не разрешал две одновременные сессии с двух устройств, то есть сначала требовал бы сбросить старую привязку специальным запросом на сервер из самого приложения.
Вам запрещено пользоваться своими средствами в отпуске, из другого города или через разных провайдеров?
то что IMEI у устройства другой?Это как они его получат через интернет?
Хотя по-хорошему автору в смс должно было прийти, что "XXXX - код для привязки нового устройства", и если он этого не прочитал - то конечно сам виноват, как ни прискорбно...Автор получал смски и диктовал код. автор сам перевел деньги на семейны счет...
То, что в течение 5 минут были заходы в один и тот же аккаунт из разных городов или даже регионов, должно явно насторожить систему мониторинга (а такая, как выше писали, у каждого банка работает круглосуточно).
Это как они его получат через интернет?Так приложение-клиент и отправит. Правда тут где-то написали, что Android начиная с 10-ой версии не сообщает IMEI телефона приложениям, но думается мне, что даже если так, можно найти какой-то иной способ создания уникального отпечатка устройства - сотовый номер, плюс версия ОС, плюс версия драйверов, плюс данные о модели девайса, всё это захэшировать и сохранить при первом логине, в том числе и на стороне сервера. А дальше отправлять все эти данные при каждом входе, желательно не только в виде хэша, но и по отдельности, и специальным алгоритмом смотреть, сколько параметров изменилось и насколько сильно. Например, смену версии ОС в большую сторону или смену версии прошивки/драйверов с сохранением всего остального можно считать вполне легитимным изменением. А вот если ещё и номер телефона при этом сменился - уже нет, и в этом случае можно запросить какое-то дополнительное подтверждение.
Опять же, большинство современных телефонов имеют встроенный сканер отпечатков. Какую-то производную специально посчитанную функцию от этого отпечатка, вероятно, тоже можно хранить на сервере банка - у мошенника пальчики явно будут другие. Хотя тут могу ошибаться, возможно данные о считанном отпечатке никогда не покидают сканер, а системе возвращается только ответ "совпало/не совпало".
У меня, например впн работает, поэтому да, легко из разных регионов.
Так приложение-клиент и отправит.И это будет слив ПД.
уникального отпечатка устройстваЭто есть в каждом устройстве и браузере. Но проблема в том, что я могу пользоваться любым устройством и банк не в праве отказать мне в действиях с моим счетом только потому, что я использовал не тот браузер или телефон, что обычно.
IMEI может и ПД, а вот совокупность версий ОС и железа - уже не факт, так как тут не обеспечивается полная уникальность (но я не юрист, не знаю, что там в законе сказано на этот счёт).
Но проблема в том, что я могу пользоваться любым устройством и банк не в праве отказать мне в действиях с моим счетом только потому, что я использовал не тот браузер или телефон, что обычно.Судя по содержанию данной статьи - лучше бы имел право отказать. Как по мне, лучше потратить время и силы на "активацию" нового устройства, чем лишиться крупной суммы денег. К тому же, вы забываете о том, что там ещё и регион мог отличаться, а не только данные устройства (хотя к слову не обязательно).
Да не нужно никаких совокупностей. Любой браузер имеет функцию цифрового отпечатка. Гугл ее использует, вконтакт, стим и другие сайты, когда заставляют новое устройство проходить через процедуру подтверждения через почту, а если прошел, то дальше достаточно пароля.
Судя по содержанию данной статьи - лучше бы имел право отказать.Сложно сказать. Тогда пойдут другие статьи "как я потерял три миллиарда на бирже из за того что вовремя не смог взять уже одобреный кредит в альфе"
Почему они пойдут? Я вот пользуюсь по многу лет одним и тем же единственным смартфоном, и банк-клиент стоит только на нём. У игроков на биржах что, всегда по десять девайсов, и всё время появляются новые?)
Насчёт отпечатка - возможно, я немного отстал от темы и есть какой-то единый общепринятый API для такого. Я всегда думал, что разработчики сервиса на JS кодят сами нужную логику. Есть User-Agent, но он ни разу не уникален для каждой установленной копии браузера (вроде он имел уникальный цифро-буквенный сгенерированный код в Opera Presto, но где она сейчас).
Потому что это уже все было и еще будет.
У кого-то один телефон, а у кого то каждую неделю новый. И он будет сильно огорчен, что ему заблокировали платежи.
Да, на текущий момент цифровой отпечаток собирают из кучи свойств браузера. Для этого есть готовые библиотеки.
Я думаю, если таких любителей обновок процентов 5-7, то ими вполне можно пренебречь. И никто не говорит про "блокировать операции". Речь про "пройти расширенную валидацию личности при смене девайса".
Эти проверки регулируются законодательно. не совсем понятно, при чем тут инициативы снизу?
Комментарий недоступен
Вот таких статей не будет. Людям плевать, когда все хорошо. Вот когда негатив, тогда они из кожи вон вылезут, везде запостят.
Биржа это осознанный риск, сравнение с ситуацией этой вообще не близко.Ситуации здесь были про биржу. Дело не в риске и не в биржах. Любые операции, которые происходят при падении и взлете на рынке - покупка товаров, квартиры, валюты - везде люди будут крайне недовольны, что им вовремя не оказали услугу.
Ну ок пусть банк сделает защиту по умолчанию, не боишься - отключай - бери любые кредиты доступные в любое время, но опции я что-то такой не вижу.Против этого сильно будут банки, ведь это из хлебушек. Но здесь я с вами соглашусь. Пусть даже не по умолчанию, пусть надо сходить в банк и написать заявление на отключение списка онлайн-услуг, типа кредитов, овердрафта и прочего. И это должно быть требование закона, потому что по своей воле ни один банк такое у себя не внедрит...
Для мобилок сделать нормальный футпринт далеко не тривиальная задача, те даже понять, что это одно и тоже устройство в браузере и мобильном приложении можно с «большими» допущениями. А пользователь может проводить какие от операции в вебе какие то в приложении, какие то на десктопе, последнее актуально для альфа-бизнес.
Единственное «лучше бы» - ни когда и не кому не сливать коды по телефону. Ну или поставить лимиты на переводы между своими счётами.
Хотя, довольно странно, что альфа разрешил открытие «семейного» счёта без очной явки в банк. Но, тут, думаю, появилось бы больше статей про «современность» банка, который требует очной явки чтобы открыть продукт.
ПС. Вот далее уже какая то странная магия с действиями СБ и операторов поддержки.
Совершенно согласен :) Я просто сам веб-разработчик, ну и пытаюсь немного в Андроид в последнее время. Но версию ОС как минимум проверить можно. Особенно задача облегчается тем, что сейчас куча кастомных оболочек над Андроид, которые подписывают себя не как Андроид (например Funtouch OS и MIUI), то есть тут ещё и марку телефона нужно "угадать".
Ну и самый простой дубовый метод - не разрешать одновременно две сессии с двух разных IP. Тривиально же, и защитит в 80-90 процентах случаев от такой атаки. То есть автор поста просто не смог бы к себе в банк-клиент залогиниться после слива кода. Хотя не очень понятно, почему злоумышленники не перевели всё самостоятельно, если уже имели полный доступ.
Это жесть, во всяком случае для меня, тк, к примеру, альфа-бизнес использую и на мобилке и в вебе.
Они, имхо, не имели полный доступ к клиенту, поэтому семейный счёт и перевод от клиента. Вообще история довольно мутная, сумма большая, и по моему опыту это решается через менеджера(с потенциальным звонком от сб, хотя это уже как карта ляжет), открытие семейного счёта без каких либо действий со стороны клиента, размер кредита тоже крупноват.