Хронология событий
19 апреля
19 апреля с моего счета украли сумму 4400 рублей.
В тот же день я обратилась в банк г.Красногорск отделение ул.Ленина 38 б за разъяснением ситуации и требованием обезопасить мои счета и личный кабинет.
Тем более, что в нем отражаются данные карты, привязанные к счету мужа, который является премиальным клиентом альфа-банка.
Было составлено обращение № A2104191334.
Нас обслуживала сотрудник Наталья Вячеславовна Каретникова.
В тот же день карту заблокировали и отправили на перевыпуск, сказали, что доступ к личному кабинету для мошенников невозможен, так как вход в личный кабинет по смс коду действует 5 минут.
Меня заверили, что все необходимые действия по защите моих данных и денежных средств предприняты,что оказалось дезинформацией.
Как позже выяснилось, с этого же дня доступ к моему личному кабинету имеет Sumsung SM-G973N, на который приходят все уведомления, например, о перевыпуске карты, о поступлениях, о списаниях. Я использую iPhone XR.
21 апреля пришёл ответ по обращению № A2104191334,где было написано,что банк не сможем вернуть деньги — оплата подтверждена одноразовым кодом из смс/пуш-уведомления, операции проведены только после введения кода, который отправлялся вам от банка в смс или пуш-уведомлении.
Повторных претензий в банк я не писала и сумму в размере 4400 рублей вернуть не просила .
29 апреля я забрала перевыпущенную карту с полной уверенностью,что мои личные данные защищены .
Что банк выполнил свои обязательства предусмотренные договором и выполнил все процедуры необходимы для сохранности моих данных и счетов .
4 мая
4 мая с моих карт Альфа-банка мошенники списали 104 528 рублей, о чем я узнала от мужа, так как он проверяет семейный счет. На мой телефон iPhone XR никаких уведомлений не поступало, а личный кабинет был недоступен по причине «превышен лимит времени на запрос».
На горячей линии альфа банка мне сказали ,что доступ в личный кабинет возможно восстановить,если я удалю приложение и заново установлю его. Факт невозможности зайти в личный кабинет и рекомендации сотрудников можно подтвердить записью разговора.
За выяснением ситуации я направилась в банк, где узнала, что денежные суммы списывались в несколько этапов на некий счёт тинькоф-инвестиции.
Итого
4 мая мошенниками, имеющими доступ к моему личному кабинету с 19 апреля (что подтверждается выпиской из базы данных банка), были списаны денежные средства с обеих карт. Общая сумма итого составляет 104 528 рублей.
СМС сообщения и уведомления на мой телефон iPhone XR не поступали ,что подтверждается выпиской банка .
По какой-то причине сотрудник банка Каретникова Н.В. 19 апреля при моем обращении по факту мошенничества не проверила доступы в личный кабинет, не перезапустила систему и не устранила риск доступа к личному кабинету.
Я составила заявление в банк № A2105052103 и написала заявление в полицию,где было возбуждено уголовное дело.
11 мая мне пришёл от банка Ответ по обращению № A2105052103, в котором принято решение об отказе возврата средств, так как операции по карте подтверждены одноразовым кодом из смс или пуш-уведомления, которые приходят на мой мобильный телефон.
Но, как видно из выписка банка, все уведомления приходили на Sumsung SM-G973N, которые получили доступ к моим данным в связи с непрофессиональным выполнением своих обязанностей сотрудником банка, которые не выполнили процедуру, блокирующую доступ к личному кабинету, после мошеннических действий 19 апреля.
Лично я на своей телефон iPhone XR никак смс или push-уведомлений не получала.
11 мая 2021 года я составила претензию в банк № A2105112306, в котором просила перепроверить операции по счетам и обратить внимание ,что отказ в возврате денежных средств по причине получения push -уведомлений на мой телефон является необоснованным и неверным. Доказательством того,что я не получала смс и push-уведомлений является выписка банка,где видно в какое время подтверждался операции Sumsung SM-G973N,который принадлежал мошенникам.
12 мая 2021 года я получила Ответ по обращению № A2105112306,в котором банк отказывает в возврате денежных средств украденных с моих счетов 4 мая в размере 104 528 рублей мотивируя тем,что 19.04.2021 в 11:04:13 на мой номер телефона приходило смс сообщение с паролем для входа с другого устройства.
Что я нарушили условия договора предоставив доступ в Альфа-Мобайл 3 лицам.
По факту первого мошенничества 19 апреля было обращение № A2104191334 и получен ответ ,который я не оспариваю и не прошу вернуть средства в размере 4400 рублей.
Моя претензия к банку состоит в том,что после первой ситуации мошенничества и обращения не были предприняты меры по сохранности моих данных и счетов ,в результате чего 4 мая с моей новой перевыпущенной карты и семейного счёта были украдены денежные средства в размере 104528 рублей.
Отказ банка в возврате денежных средств оцениваю как соучастие в мошенничестве и краже денежных средств в сговоре.
Так как протяжении 19 апреля по 4 мая банк обладал информацией о доступе мошенников к моему личному кабинету через устройство Sumsung SM-G973N и не предпринимал никаких действий для сохранности моих данных и денежных средств на счетах.
12 мая я пишу в Банк третью претензию № A2105122347, в которой еще раз прошу просмотреть хронологию событий, проверить действия сотрудника банка, убедиться, что с моего устройства никаких операций не совершалось ,и ссылаюсь на законодательные документы, которые обязывают обеспечивать сохранность данных моих счетов и оказывать услуги надлежащим образом :
-ст 24 ФЗ от 02.12.90 г. №395-1“ “о банках и банковской деятельности”,
-п 2.ст. 401, п.1 ст. 854 гражданский кодекс РФ,
-Определение Верховного суда от 28.04.2015
Но 31 мая мне пришел отказ в возврате средств, где банк
ответил “мы всё проверили и не обнаружили некорректных действий со стороны сотрудника банка”.
Следовательно, если вы хоть раз попались мошенникам, банк не в силах в дальнейшем обеспечить сохранность и безопасность счетов, никаких регламентов для сотрудников закрывающий дальнейших доступ к счетам нет.
Единственный способ не стать жертвой мошенников в дальнейшем -расторгнуть договор с банком и не пользоваться никогда его услугами.
Можно долго глумиться над бестолковыми обладателями ифонов, но факты упрямая вещь. Альфа-банк не дает ровным счетом никакой информации о доступе к счету.
1. Можно восстановить логин, поменять пароль и войти с ними в интернет-банк по одной смске. При этом кроме этой смски с кодом не будет ни одного оповещения владельца, что к его счету кто то подключился. В приложении не скажут, что кто-то авторизовался в интернет-банке, не скажут, что поменяли пароль - просто ничего.
2. Ни в приложении, ни в интернет-банке нет списка авторизованных устройств. Их просто нет. Соответственно, ни посмотреть ни отключить их нельзя.
Все это есть в бесплатном gmail, все это есть в бесплатном телеграм, где нет ни копейки. Но этого нет в банковском приложении...
Приложения кривые. Поменяв и сохранив пароль и зайдя по нему, невозможно войти повторно. Косяк. В списке счетов откуда-то открыты 3 (ТРИ) брокерских счета. Есть кнопка закрыть счет. Ура? (нет). При нажатии на нее интернет банк "временно не работает".
Зато рекламных сообщений от банка десятки и удалить их нельзя. А вот сообщить в той же ленте, что кто-то подключился к интернет-банку - боже упаси, зачем это клиенту?
Мы отправляем сообщение с кодом только на номер клиента. То есть, если никому не называть этот код — никто не попадёт в ваш личный кабинет. В сообщении пишем, что чего нужен этот код.
Подключенные устройства и правда не отображаются в приложении, так как в идеале приложение надо запускать на одном устройстве в целях безопасности. Но согласимся, что функция была бы полезной — возьмём на заметку.
Что касается брокерских счетов — закрыть их можно на горячей линии или в чате Альфа-Директа.
Кажется, данная ситуация наглядно показывает, почему этот функционал есть у тех, кто заботится о сохранности данных пользователей. И то что номер телефона пользователя тоже можно украсть перевыпуском сим карты, для вас, наверное, не должно быть новостью. Такие сервисы как личный кабинет банка всегда должны уведомлять пользователя о новом входе любым доступным способом резервного контакта.
Комментарий удален модератором
Не совсем так. Банки ориентируются на закон.
Это довольно парадоксально, но факт, в глазах закона смска и есть ваша подпись. Попытки добавить туда что то еще с точки зрения юристов контрпродуктивны и незаконны.
Комментарий удален модератором
Сложный вопрос. Это как требование ставить на документах в отделении банка вместе с подписью еще и отпечаток пальца.
Сообщить о входе в приложение, в ЛК банка с нового устройства, тоже нарушение законов?)Или отпечаток ануса. Возможно, это даже будет незаконно. Но как минимум, такие меры никак не помогут дополнительно доказать, что документ подписан (для этого законом предусмотрена подпись и этого достаточно), а с другой, все эти меры затрудняют использование, что порождает маркетинговые издержки.
Не надо смешивать подпись (смс) и сервис оповещений о входе, о новых устройствах и управлении оными в личном кабинете. Наверное, пока еще никто не задумывается об этом.
Где смс - это подпись в законе?
В России. Называется ПЭП - простая электронная подпись.
Можно ли считать простую электронную подпись аналогом собственноручной подписи?
Согласно части 2 статьи 6 Федерального закона от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи) информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 Закона об электронной подписи.
Таким образом, простую электронную подпись можно считать аналогом собственноручной подписи только в случаях, прямо указанных в нормативных правовых актах или соглашении между участниками электронного взаимодействия.
https://digital.gov.ru/ru/appeals/faq/34/
Пример реализации ПЭП.
https://www.gazprombank.ru/upload/simple_signature_credit_card_20112019.pdf
Возможность использовать простую электронную подпись при оформлении потребительских кредитов есть в Сбербанке, Альфа-банке, Московском кредитном банке, Райффайзенбанке, Ситибанке, Росбанке и ряде других
У меня вопрос про ПЭП. Если необходима почерковедческая экспертиза подписи клиента банка, то понятно, что черканутая закорючка может быть идентифицирована. А как быть с ПЭП? Банк ведь ссылается только на то, что он отправил СМС с кодом. А какие доказательства могут быть у банка, что именно клиент, а не мошенник эту СМС получил. Теперь банк откровенно признается, что мошенников много развелось. И настойчиво нас призывают быть осторожными. А как они сами защищаются от мошенников - СМС-ками (кстати СМС пишут латинским шрифтом!). Позор! Ведь 2000-ые годы давно прошли. Ауууу, Альфа банк, просыпайся!
Во первых, нет. Закорючка экспертизой не распознается. Именно поэтому в банках требуют расписки полностью писать от руки.
Во вторых, и банк и суд руководствуются законом. Если формальности соблюдены, то и вопросов нет. И наоборот, если формальности не соблюдены, то банк останется с носом. Поэтому никакой банк не будет переделывать процедуру во имя эфемерной безопасности.
А в третьих, у нас, к сожалению, каждый второй клинический идиот. Люди - тупые скоты. Не ставят приложения, не включают пуши, не сдают биометрию и смотрят своими пустыми глазенками, только эвтаназия и помогает...
Алексей, Вы, видимо, не знакомы с почерковедческой экспертизой.
"Для экспертизы подписи применяют систему идентификационных признаков: общих и частных.
В первую очередь эксперт-криминалист анализирует общие признаки подписи: транскрипцию, общий вид и четкость. Дополнительными (частными) признаками, отражающие метрические свойства подписи, являются: размер угловых и кривизна дуговых элементов подписи".
Поэтому любая "закорючка" имеет своего хозяина.
А вот про то, что банк "руководствуется законом" - я Вас уверяю в полной мере, что банк как раз и не знает, что существуют Российские законы, которые защищают клиента. У них есть стандартные "отписки" - мы их множество читаем на vc.ru - но решать проблему по существу они не будут. Я даже в своем небольшом окружении знаю людей, которые "решили не связываться" и добросовестно платят банку то, чего от него не получали. И не потому что "Люди - тупые скоты", а потому, что полиция спустя рукава занимается такими делами - они просто не находят мошенников. А, что нужно обращаться в суд с Исковым заявлением, бОльшая часть населения не знает. Много пишут о незаконном списании денег со счета, но очень мало написано как вести себя в данной ситуации.
А вот банки как раз и претендуют на роль "....- тупые скоты". Как можно оформить кредит на пенсионера в 1,5 млн. рублей с ежемесячным доходом (пенсией) в 14-15 тыс. рублей?! (взято на vc.ru).
Алексей, "не рубите с плеча". В каждом отдельном случае своя причина и своя трагедия.
Так вот не смска. Если бы подтверждения шли смсками, то в случае кражи достаточно бы было показать, что на номер в договоре не приходили смски по распечаткам. Поэтому они и используют пуши...
Я как мобильный разраб, скажу, что пуши это не гарантированный вовремя вариант доставки инфы(это кстати помнится даже аппл и Гугл пишут), да многие не испытывают с ними проблем, но... Как показала практика, бывает, что некоторым пользователям приходят с опозданием даже в час, за это время много можно успеть наделать, к тому же, нужно понимать, что чел может находиться там, где только gsm связь работает, если Альфа банк , реально полагается только на пуш сообщения, то это показательный пример их тупости и руководства, которые не удосужились провернуть разные варианты как тест кейсы
Так и приложение тогда работать не будет.
Я как мобильный разраб,вот вот. Что вы еще от человеков хотите...
Не совсем так, приложение будет работать, не будут работать сетевые операции итд
Да, как браузер на компьютере без сети. Работать будет.
По закону это может быть смска, пуш или даже письмо на почту.
Пуши появились относительно недавно, гораздо позже, чем кражи со счета.
Пс, а второй вариант, сам чел может запретить по невнимательности пущи, это редкий кейс, но бывает и такое
У Сбера это уже давно. Два телефона, один с NFC, один основной. И на основной всегда приходят пуши, когда захожу со второго. Очень удобно
Самое странное то, что когда жена перевыпускала старую сим-карту, которая перестала работать, на новую, много лет назад, после этого она не могла попасть в ЛК Альфы. Они отслеживают sim id. Ей пришлось звонить в банк и отвечать на кучу вопросов, после этого ей открыли доступ. Что изменилось сейчас?
А чтобы устроиться работать СММщиком Альфы обязательно надо быть необразованным простофилей, который не знает про уязвимости протокола и возможность перехвата СМС, и при этом уверенно пишет заведомо ложное утверждение?
Подключенные устройства и правда не отображаются в приложении, так как в идеале приложение надо запускать на одном устройстве в целях безопасности.В идеале, не твоё дело, сколькими устройствами пользуется клиент. Это не имеет отношения к безопасности, если вы сами её не просираете. Передавай сообщения про проблемы разработчикам и безопасникам, а не раздавай идиотские советы пользователям.
Не разработчикам, а руководству, бывает так, что конкретно разработчики все понимают итд, но есть задачи от руководства, вот там самые тупое и невежественное зло сидит, в российских компаниях
Четыре ебучих года вы на заметку это берете, еще со времен Alfa Sense...
Это не так. Только сегодня пытался привязать свою Альфакарту к Google Pay. Ввел реквизиты, жду SMS-код, а он приходит на другой номер, который я при открытии карты не указывал и которым не пользуюсь уже лет 10. Это Ваша хваленая безопасность? При этом пробиться через бота до живого оператора в чате невозможно.
Не совсем так. Если включены пароли через push то придет не смска, а пуш-уведомление в текущее приложение. Это почти как смска, только его потом вообще не найти, так что остается полагаться только на свою память.
Телефоны иногда теряются, продаются, попадают в ремонт. В айфонах вовсю работает сервис по приему смсок на любом устройстве, подключенном в айклауд. В таких условиях раздача доступа к своему счету - вопрос времени.
Насчёт Альфы не знаю, но в моём банке все пуши дублируются в приложении в разделе уведомлений. Иногда удобно восстанавливать историю)
Да, в клиенте альфы в уведомлениях тоже есть вкладка оповещения где перечислены все пуши. Хорошо, что это есть, но
1) по умолчанию в уведомлениях открывается вкладка "предложения" где одна реклама.
2.) пушей много, это просто портянка из десятков списаний (все покупки), начислений и одноразовых паролей для проведения этих операций. Увидеть там что-то критически важное (вход с нового устройства) очень сложно.
"на номер клиента" не тождественно равно "клиенту".
мне на мой телефон не приходило ,на чужое утсройство да,возможно они сделали дублирование симок,но я об этом в первые слышу,что это возможно...
как я должна была догадаться,что ко мне подключилось устройство немсоря на то,что я обращалась в банк и там меня уверели,что личный кабинет в безопасности,хотя по выписки банка видно,что есть устройство???Устройство, которое подтверждает списание денег с счетов?
Почитайте про мобильные вирусы... троян...
Вот например интересная статья:
https://mir24.tv/articles/16369099/opasnye-gadzhety-kak-spasti-svoi-dengi-ot-troyana