Для доступа к счету «Альфабанка» нужен только доступ к телефону и имя
В 2015 году у меня была зарплатная карта «Альфабанка». Из конторы уволился, срок действия карты вышел. Выбросил ее и забыл.
Несколько месяцев назад Альфа стала надоедать СМСками - "телеграфируем о кредитной карте".
Звоню в банк (автоинформатор сразу же приветствует по имени(!)), перехожу на оператора:
- Добрый день, перестаньте дониматься СМСками, вашим банком давно не пользуюсь.
- Добрый день. Как вас зовут?
- [Представляюсь]
- А у вас до сих пор открыто два счета.
- Но счета же пустые?
- Нет, на счете есть сумма Х тысяч рублей.
- Для снятия нужно зайти в офис с паспортом?
- Нет, можно поставить приложение. Вход по СМС и номеру счета. Номер счета сейчас пришлю в СМС.
- Спасибо. O_o
Ставлю приложение, авторизуюсь, перевожу деньги в другой банк.
Карта моя, номером пользуюсь более 10 лет, все в порядке. Но получается, что любой человек, получивший доступ к сим-карте, и узнавший имя человека, может получить доступ к деньгам.
Два вопроса к Альфабанку.
1. Звонит человек, который не знает, есть ли на счету деньги. Счетом не пользовались более пяти лет. Почему не возникли подозрения и даже не спросили кодовое слово и номер паспорта?
2. Какой смысл авторизовать клиента в мобильном приложении по связке телефон + номер счета, если номер счета легко узнать в контакт-центре?
в правилах авторизации кодовое слово полюбас быть должно. если не указано — извольте в офис.
Всяко бывает. Мне так однажды альфа локнул карту за границе при оплате отеля, перезванивали пока я на ресепшн оплачивал минибар, естественно я не мог ответить на произвольный московский номер. Ну и блокирнули.
В итоге звонил, ругался, грозился карами небесными - разблокировали без кодового слова, тк его естественно я не помнил. Теперь помню на всякий случай)
Так что думаю многие банки отступают от протоколов в различных ситуациях. Другое дело, что привязка по номеру счета + смс это отстой, и должна делаться только в офисе со спецсмс, которое посылает например менеджер через систему, а не через авторизацию... Смартфон стал очень уязвимым девайсом без лока на систему + пин кода на симку.
Вот из-за таких обещаний "звонить на все подозрительные транзакции", я альфу на работе и послал. А вот текущий банк позволяет сказать "ну я с такого-то по такое-то буду вот в этой стране, не трогайте меня" из личного кабинета.
Да они давно не практикуют это, пример из 2012 года)) Хотя при очень крупных транзакциях за границей я так понимаю звонят еще, если это не свойственно клиенту.