Для доступа к счету «Альфабанка» нужен только доступ к телефону и имя
В 2015 году у меня была зарплатная карта «Альфабанка». Из конторы уволился, срок действия карты вышел. Выбросил ее и забыл.
Несколько месяцев назад Альфа стала надоедать СМСками - "телеграфируем о кредитной карте".
Звоню в банк (автоинформатор сразу же приветствует по имени(!)), перехожу на оператора:
- Добрый день, перестаньте дониматься СМСками, вашим банком давно не пользуюсь.
- Добрый день. Как вас зовут?
- [Представляюсь]
- А у вас до сих пор открыто два счета.
- Но счета же пустые?
- Нет, на счете есть сумма Х тысяч рублей.
- Для снятия нужно зайти в офис с паспортом?
- Нет, можно поставить приложение. Вход по СМС и номеру счета. Номер счета сейчас пришлю в СМС.
- Спасибо. O_o
Ставлю приложение, авторизуюсь, перевожу деньги в другой банк.
Карта моя, номером пользуюсь более 10 лет, все в порядке. Но получается, что любой человек, получивший доступ к сим-карте, и узнавший имя человека, может получить доступ к деньгам.
Два вопроса к Альфабанку.
1. Звонит человек, который не знает, есть ли на счету деньги. Счетом не пользовались более пяти лет. Почему не возникли подозрения и даже не спросили кодовое слово и номер паспорта?
2. Какой смысл авторизовать клиента в мобильном приложении по связке телефон + номер счета, если номер счета легко узнать в контакт-центре?
Александр, проверили информацию.
Чтобы узнать номер счёта, надо назвать только ФИО, если вы звоните со своего номера. Если звоните с чужого номера, либо если во время звонка нужно сделать какую-нибудь активную операцию — запросим кодовое слово.
Если есть подозрения, что у третьих лиц есть доступ к вашей сим-карте, её нужно сразу заблокировать, позвонив мобильному оператору. После блокировки номера никто не сможет получить доступ к вашим данным.
Для таких ситуаций у нас защитный механизм: если мы видим, что была смена сим-карты, для её обновления запросим кодовое слово и паспортные данные. Таким образом у злоумышленников не останется шансов 👌
А, если злоумышленник-преступник имеет доступ к Личному кабинету, значит "не остается шансов" у клиента банка?!
Если произошла смена сим-карты, то действия в личном кабинете/приложении будут заблокированы.
Для подтверждения каких-либо активных операций нужно ввести одноразовый код, который отправляем на телефон владельца или секретный код, который известен только клиенту.
Только если вы знаете о том, что была смена сим-карты. Если был выпущен клон, то вы не узнаете
Никаких ограничений в приложении не было, не смотря на смену сим-карты и отсутствие активности на счете в течение пяти лет.
Информацию об изменении сим-карты мы получаем от сотового оператора. Другого варианта узнать об этом у нас нет. Как только оператор передаёт нам инфо, мы устанавливаем некоторые ограничения на совершение операций.
Как показывает практика, оператор ничего не передает. По крайней мере, в моем случае.
Может быть, тогда не стоит так рьяно доказывать, что у мошенников нет шансов?
А стоит поработать над безопасностью и антифрод процедурами?
Согласны с вами. Мы каждый день работаем над улучшением наших сервисов и развитием безопасности обслуживания.
Не исключено, что уже поработали. Только там вывод крайне неутешительный получается. Это нужно банку, а для оператора это лишняя обуза. Система передачи этой информации явно не находится в списке систем, за которыми оператор пристально смотрит. По факту получается, что банк не обладает достоверной информацией о смене сим и ограничивать надо всех. А это невозможно. Чтобы у оператора была мотивация в корректной работе информационного обмена, оператор должен быть самим банком. Думаю, именно потому Тинькофф стал оператором. Но получилось еще хуже, как мы видели по постам на VC.