Мошенники сняли с кредитки «Альфа-Банка» деньги в обход всех этапов безопасности — банк отказал в возмещении
Вот моя история о том, как обокрали кредитную карту Альфа-Банка и то, как банк отреагировал на инцидент.
Дело было 15 января этого года. Сидел я дома вечером работал за компьютером, как вдруг раздается звонок, представляются службой безопасности Альфа-Банка, задают два вопроса: вы делает сейчас покупки в Связном и после этого вы что-нибудь знаете о телефоне Самсунг. Я отвечаю, что не делаю покупок и что про телефон Самсунг ничего не знаю. Тогда, мне сообщают, что мою кредитку грабят прямо сейчас и что карту блокируют, а мне теперь надо обратиться в службу поддержки.
Вот так началась эта история, при этом мне никаких звонков на телефон от мошенников не поступало, как это часто бывает, данные я свои не передавал никому и никогда. Через интернет делал покупки очень редко, а кредиткой вообще не делал. Сами карты, я их ношу в паспорте, и мой телефон в момент кражи лежали у меня на столе перед носом. Сделаю сразу ремарку, что работаю я в правительстве нашего региона и по работе слышал про действия мошенников и знаю, как с ними обращаться. На всякого рода звонки не отвечаю в принципе, разговор никогда не начинаю со слов Да или подобного рода, чтобы голос не подписали, в общем всегда думал, что кого кого, но меня такое никогда не коснется. И вот при всем этом и с картами и телефоном на столе меня бесцеремонно обокрали.
Сразу встал вопрос, как это сделали, ведь платежи все подтверждаются всегда кодами. Сразу полез в смс-ки и нашел лишь одну и том, что запрошен пароль для входа в Альфа-мобайл, и что, если это не вы, то это мошенники. То есть банк уже подозревал, что не я, видимо, запрос шел с другого номера, можно было позвонить, спросить. Это было до кражи и смс-ку я просто не увидел, так как в этом время ехал домой с работы в транспорте. А смс-ка эта означала, что у меня вскрывают Альфа-мобайл.
Вскрыв Альфа-мобайл, мошенники через какое-то время принялись списывать деньги с моей кредитной карты, на которой стоял лимит 450 тыс. Суммами по 19999 они с интервалом в 1 минуту провели 10 платежей. Банк все это благополучно пропустил, хотя сами суммы заведомо спамовские. Вопрос – как прошли платежи, ведь их нужно подтверждать. А все просто – Альфа-мобайл просто уже отвязали с моего номера телефона, а ведь он между прочем в кредитном договоре был, и перепривязали на другой, тот самый Самсунг, про который спрашивала служба безопасности. И никто не позвонил на старый номер, никто не спросил, я ли это меняю номер? Наводит на размышления.
А после отвязки номера подтверждаюшие уведомления о платежах уже пошли на сторонний номер. Вот так "красиво" меня обокрали в тот момент, когда и карты и телефон были прямо на столе передо мной и я ничего не заметил даже.Утверждаю, что это было именно все так потому, что 1. Когда я перезвонил сразу после кражи в Альфа-Банк меня оператор не смог индентифицировать по номеру моему, так как номер был отвязан. 2. Служба безопасности сразу назвала мне сторонний телефон Самсунг, с которого и была совершена кража. Этот телефон по-любому из другого региона. 3. И самое главное – мне в банке нашего города сотрудники сжалилиь и развернули монитор системы и там все четко видно, как в мой Альфа-мобайл зашел сторонний Самсунг, как ходил по моим данным и как потом начал списывать средства с интервалом в 1 минуту по платежу. То есть банк полностью должен видеть, что меня обокрали и сделали это с другого номера и обошли все этапы безопасности.
А в итоге на свое обращение об опротестации платежей, которое я по закону подал в течение суток, я получил отказ. Банк мне ответил, что все операции я выполнил сам со своего номера и мне приходили коды подтверждения, что заведомо ложь. В системе банка видно куда уходили коды на какой номер и на какую марку телефона. По правилам банка нельзя отвязать телефон без моего участия, но это было сделано. Смену номера можно провести только в офисе с паспортом либо через банкомат через свою карту и подтверждение паролем. Тем не менее, у меня угнали Альфа-мобайл, откуда-то получив все мои первичные данные, отвязав номер без моего участия, что должно быть невозможно, и потом уведя 10 платежей со всеми признаками спамовских операций.Я пропользовался Альфа-Банком почти полтора года. Только с прошлого лета до января через карты пропустил огромную сумму, копил бонусы. Накопил 20 тыс миль, фактически еще больше если бы делил траты по 50 тыс. У Альфа-Банка брал кредит, собирался рефинансировать еще один со Сбера. В общем отличный клиент по всем параметрам и вот так со мной обошлись.
На данный момент по моему случаю полицией возбуждено уголовное дело. Сумма с 220 тыс первоначальной кражи каким-то непонятным образом уменьшилась до 130 тыс. Возможно часть платежей все же успели заблокировать в последний момент и отменить. Хотя вопрос тогда почему не все? Поскольку обокрали кредитку, то я принял решение погасить сумму кражи и уже погасил сам, чтобы не накапали проценты. Вот такая история моего честного сотрудничества с Альфа-Банком.
Меня вот что интересует, как они номер то поменяли? Там же какие-то подтверждения вроде по СМС должны быть? Не?
Мне вот тоже интересно. Сейчас зашёл в свое приложение Альфы - поменять номер там нельзя, только в офисе банка. Следовательно, без "своего" человека в самой Альфе мошенники это провернуть не смогли бы.
Да, аналогично все сделал. Единственно можно восстановить по номеру карты например (предположим у мошенника есть номер карты), вводим номер карты и там уходит пуш уведомление или смс с кодом на привязанный номер или приложение (конечно пришло). Когда заходишь внутрь, там конечно можно открыть все реквизиты карты и собственно благодаря этим данным списать деньги (есть магазины где списываются деньги без подтверждения по СМС).
Вот вся схема, только вот первичный код из пуш уведомления или СМС нужно было где-то получить? Может быть кто-то имел доступ к телефону или мог как-то на работе подсмотреть. Ну или телефон заражен и кто-то может читать там все смс (но это сложно)
Но в схеме описанной выше не нужно было менять номер телефона, а они его как-то поменяли и как я понял провели все платежи с подтверждением по СМС. Только вот вопрос, как они сменили номер телефона, я не справился с этим квестом у себя например сейчас (по номеру телефона кликаешь и ничего не происходит, поменять в интерфейсе нельзя обычным способом во всяком случае). Т.е. меняется через отделение например или банкомат. В общем либо данных не хватает, либо действительно кто-то из сотрудников в доле.
Исключено мой тел запоролен всем, чем можно. На нем много работы...смс пришла когда он со мной был и никто доступа не имел. И по смс теоретически можно только в Альфа-мобайл войти, отвязать номер далее нельзя и провести платежи тоже не получится...Отвязка номера вот камень приткновения...
Если не получится взыскать с вашего банка деньги в рамках ФЗ о платежной системе, то взыскивайте, как неосновательное обогащение с банка-получателя (впоследствии с получателя).
Элементарно. Спёрли ключ сессии с БС и далее ловкость рук.
У Вас случаем связь на мобильном не пропадала в ближайшее время?
Если интересно - могу рассказать как это работает.
Интересно. Расскажите, пожалуйста.
Овтетил в ЛС
А можно не в лс? Этого в инсте хватает добра с головой. Инфа вроде не секретная, а связь бывает и у других пропадает.
Инфа не секретная, но связана с репутационными рисками для некоторых ОСС.
Есть такая атака "Атака сотового оператора на неотказуемость". Подробнее можно почитать на вики. Они все описаны.
Если у нас на телефоне включен автовыбор сети 2G/3G/4G то переход, например, с 3G на 4G сеть происходит просто и безопасно, однако у 4G нет обратной совместимости с 3G на уровне шифрования радиоканала.
Как от этого защититься? - Просто.
Отключить автоматический выбор сети. Особенно на тех симках, на которые зареганы важные сервисы. Ну или хотя бы отключать этот функционал когда работаете в онлайн-банке, оплачиваете что-то. Так как атака эта не перманентная, и максимум через 3,5 часа вас нужно снова поджидать и взламывать, так как время жизни гиперфрейма не более 3,5 часов, но у наших операторов это около 1 часа. Поговорите с кем нибудь по сотовому, пока вас сам оператор не сбросит. Вот это и есть срок жизни гиперфрейма, а значит и атаки.
Успехов Вам.
Подробности в ЛС.
Откройте «Топ-10 лучших программ как прочитать чужой телефон» и найдите там программы, которые позволят это сделать без доступа к телефону. Основное условие - целевой телефон должен быть iPhone.
У меня вот тоже начала падать сеть в телефоне. Интересно что за схема?
А можно узнать, АНДРОЙД?
Комментарий недоступен
Еще есть вариант привязать номер без проблем когда в Альфа мобайл принципе не был привязан номер. Т.е. возможно, может быть такая ситуация, что номер не привязан к аккаунту, но при этом может быть привязан к карте. В этом случае зашли, привязали новый номер (когда не привязано, то можно это сделать) и провели остальные операции.
Если это так, то это целая дырища в системе безопасности, когда новый номер заменяет все остальные привязанные к карте.
Но опять же вопрос с получением первичного кода из пуш уведомелния или СМС при восстановлении остается открытым.
Если я не ошибаюсь , в даркнете есть люди кто может сделать дубль симкарты и тем самым получить доступ к смс, включившись буквально на минуту , но это очень дорого и доступно малому кругу лиц , так что вряд ди так сделали, ещё ФСБ так делает, был прецедент несколько лет назад.
Там нужно подключение к сети оператора. Взлом через SS7 - гуглите, на хабре в своё время разбирали
У жены однажды образовался такой дубликат симки, когда она сделала новую нано-симку — старая продолжала работать и принимать смски. Дубликат был сделан в рядовом ларьке оператора.
В приложении нельзя поменять номер. Поэтому и меня больше всего этот вопрос мучает. Положим карты могли слить и персональные данные. Но провести операции, отвязать номер для этого не могли. Но вот все сделали прекрасно...
Человек из единой России, он простотлжет, а вы ведетесь
Беспартийный)))
Смс чуть не самая дырявая технология на свете, не удивительно.
https://www.firstpoint-mg.com/blog/ss7-attack-guide/
Удаленно поменять нельзя. Или можно? Знает только Альфа-Банк...
Нельзя. Нужно ехать в офис.
Я как дурак 2 раза ездил, потому что первый раз сотрудник не понял какой я номер хочу поменять и поменял для уведомлений. Надо было сказать волшебную фразу, что я хочу поменять номер для ВСЕГО.
Тебе номер меняли либо внутри банка, либо кто-то получил доступ к банковской АБС, в чем я сомневаюсь (типа хакеры).
Работал когда-то в банке (не Альфа) и могу сказать, что воровство и мошенничество есть, но это не банк сам по себе (банк обычно наебывает всякими скрытыми комиссиями и т.п., а не воровством), а лишь сотрудники-дебилы. Причем я знаю случай когда целое отделение чуть ли не опг сформировало. Таких ловят и сажают, просто это редко выходит за пределы.
Пиши в ЦБ обязательно. ЦБ очень любит дрючить банки.
Это самое реалистичное объяснение. Примерно тоже самое сказали все знакомые, кто в банковской сфере. В этом случае банку нужно признавать промах, наказывать сотрудников и не скрывать это. В век интернета ничего не скроешь и все рано или поздно становится явно...
Я писал в ЦБ. После закрытия всех счетов в альфе, в СБП до сих пор висит возможность отправить мне деньги в альфу. ЦБ ответило отписками, как типичное гос. ведомство у нас в стране.
А что происходит при отправке?
Это какой то косяк НПС с виду. Банк лишь агрегирует данные.
Не знаю, деньги в бездну не отправлял
Отправь 10 р и посмотри что произойдет. В бездну они не уйдут.
Если у тебя нет счета в альфе, то придет ошибка.
В защиту самого банка, но не сотрудников скажу, что знакомая из Открытия рассказывала, что у них увольняют регулярно за махинации.
Ничего не было кроме той смс первой, когда мобайл приложение угоняли