Обладатели «Альфа-Карт» заметили, что теперь в приложении предлагается создать статичный пин-код для незначительных действий.
Провел эксперимент с женой. На моем телефоне давно установлено приложение альфа-банка, счета мои. Создаю этот статичный пин-код.==> жена ставит приложение альфы вводит данные карты и этот пин-код, входит в аккаунт, где ей сразу предлагается изменить его, что она и делает. Мне приходит смс о том, что на МОЕМ телефоне лк ограничен, тк выполнен вход на другом устройстве.
После этого я пытаюсь совершить оплату в интернете и попап с пин-кодом приходит на телефон жены, т.е. код подтверждения транзакции ушёл "мошеннику". Мне вообще ничего не пришло.
Альфа-банк, я считаю это дырой в безопасности.
П. С. Бонус так сказать, на прошлой неделе пришли % по накопительным альфа-счетам по каким-то счетам пришло 7%, по каким-то 6%. В оферте указано, что ставка 7%. По этому поводу я попросил разъяснений в чате, но там робот сказал позвонить по телефону, после 2х сеансов "Луи Армстронга" по 40минут я забил. В случае кражи денег, я так же не смогу дозвонится?
Уязвимости в создании и использовании кода нет, так как предполагается, что знать код будете только вы. То есть, ваша жена не смогла бы войти в приложение, не зная ваш код, а угадать его было бы сложно: он может быть цифровым, буквенно-цифровым или графическим и состоять из 4-8 символов.
При входе с другого устройства мы отправим оповещение на все ваши привязанные устройства. Дальше вы сможете с устройства со статусом «Доверенное» удалить подозрительное устройство через раздел «Управление устройствами» или полностью заблокировать приложение.
Подробнее о коде рассказали здесь: alfabank.ru/everyday/online/sekretnyj-kod/
По поводу накопительных счетов: напишите, пожалуйста, нам в личку ваши ФИО и дату рождения, чтобы мы проверили, почему пришло меньше процентов, чем должно.
Сколько будет попыток угадать код у потенциального мошенника?
Сделайте лучше пинкод на действиями со счетами от какой-то суммы( которую можно в настройках поменять). Пример переводы от 10000 рублей, только после введения пинкода.
Написал
Вероятно, подразумевается, что этот статичный код секретный и вы не должны его сообщать вашей жене.
Это вроде так и должно работать. Допустим, потеряли телефон, зашли с нового устройства по коду, который по идее должны знать только вы, изменили код, старое устройство отваливается, все коды приходят на ваше новое.
Там всего 4 цифры. Вот безопасность так безопасность
Странно, но у альфы написано что код связан только с одним устройством, а автор утверждает что с телефона жены зашел
Странно, альфа писала, что в течение суток обещали не давать доступ в приложение новым устройствам. Сам по себе один пароль на подтверждение транзакций вместо генерируемых гсч паролей на каждую транзакцию - это уже дырень в безопасности.
В любом случае альфа скажет, что код введен, разглашать его нельзя, сам юзер виноват.
Запретить банку давать доступ приложения альфы к счетам невозможно. И если кредитная история у вас хорошая, то зная ваш код мошенник прекрасно может взять кредит прямо в приложении на ваше имя, и перевести куда хочет. Тут вообще нет безопасности, но и в госбанки не охота бабло нести, а других крупных нет))
В чем "дырень"? Если мошенник клонирует сим-карту или уводит пришедшие коды вредоносным софтом, то при помощи них он бабки и уводит. Что в последнее время часто происходит. Дополнительное подтверждение кодом, который не генерируется и не может быть определен никаким способом, кроме разглашения самим пользователем - только плюс.
Если устройство новое, то на нем будут ограничения лимитов + все транзакции в рамках некоторого времени будут подтверждаться смс (не пуш), которое вам придёт на сим карту, предварительно по которой будет проверен имси.
В целом, правильно в хату заходить с вектором атаки, если у вас сомнения в защищенности приложения, на основе вектора строить гипотезы, как можно улучшить и есть ли в этом необходимость.
Автор что-то недоговаривает. Провел сейчас эксперимент, зашел на новом устройстве:
1. Приложение запросило номер телефона.
2. Приложение запросило номер счета/карты
3. Пришла смс для авторизации.
4. Приложение предложило придумать код и включить тачайди.
5. На первое мое устройство пришел пуш, что произошла авторизация на новом устройстве и на нем будут действовать ограничения.
6.Пришла смс, что произошла авторизация на новом устройстве и на нем будут действовать ограничения.
7. На первом доверенном устройстве отображается новое устройство как недоверенное, которое я могу сделать доверенным и сразу ограничения исчезнут. Либо ставить на 24 часа недоверенным. Либо удалить.
8. На новом недоверенном устройстве сделать его доверенным невозможно, нет такой опции в принципе.
9. На двух устройствах разные секретные коды. При изменении кода на одном - приходит пуш об изменении кода на другое устройство.
кто-то ещё пользуется альфой что ли?
Комментарий недоступен
С таким подходом (передавать всем пинкоды) вообще небезопасно пользоваться банками. По моему тут уязвимость немного в другом месте, но правда это не отменяет факта что альфа давно уже пованивает.
Я тоже мучился с этим альфа банком - в итоге закрыл счёт и сплю спокойно. С другими банками тоже есть проблемы, но пока не было проблемы, которую не удалось решить
А что было не так? Какую проблему не удалось решить? Мы всегда готовы идти на встречу и решать вопросы, если они возникают
Я с 12-го года на альфа банке, и меня, все полностью устраивает. И даже когда мошенники пытались получить доступ (мой косяк) один звонок, и ЛК через ПК по моей просьбе заблокирован, от слова совсем.
Тоже буду закрывать своей семьи карты в альфе.
Михаил, а как вы поняли, что "на МОЕМ телефоне лк ограничен"? Мне альфа присылала смску с текстом "вы авторизовались в приложении с >модель телефона< в >время авторизации<. На этом устройстве временно действуют ограничения".
Если вам пришло то же самое, то вы ошиблись: ограничения там, где вы только что авторизовались, а не там, куда смска пришла.
Так в чём заключается "дыра в безопасности", если вы самостоятельно слили пин-код для авторизации на другом устройстве?
Пин-код не должен авторизовывать в приложении на другом устройстве без третьего фактора.
только чудаки держат деньги на счетах с ДБО. если что-то случится - звонки вам не помогут ни в одном банке.
если есть что держать - надо держать на вкладе с доступом ножками )))))))))))
Максим а расскажите пожалуйста где держать надо?
Чел ты воду мутишь, даже не разобравшись в ситуации. В любой ЛК твоя жена сможет войти зная пин код. Что за тупость? Зато у Альфы появилась функция доверенных устройств. Если кто-то и вошёл с другого телефона, то он не сможет проводить операции в течении 24 часов. А ты получишь сообщения, если конечно не по отключал все на свете, что добавлено новое устройство. Далее по тексту. Насосал ты автор что называется из пальца.
Вопрос к Альфа банку: "Можно ли не ждать 24 часа и сделать устройство доверенным сразу?"
И ВНИМАНИЕ!!! "Да. Если у вас есть другое устройство с установленным приложением в статусе «Доверенное», вы можете поменять статус нового устройства в нём:
1. Зайдите на доверенном устройстве в Настройки — Привязанные устройства.
2. Выберите новое недоверенное устройство и нажмите Сделать доверенным.
3. Подтвердите действие с помощью секретного кода."
А Вы говорите 24 часа!
я был в ахуе, вто теперь у них карты спереди бланковые а вся инва с ссв кодом с обратной стороны! насколько это законно?
У всех карт CVV с обратной стороны. Ты из Зимбабве чтоб?
Такие же карты у Яндекс Денег, когда они ввели полосатые дизайны, а это уже наверно года три как. Значит, допустимо теперь по стандартам платёжных систем. У Тинькоффа тоже информация вся уже пару лет переместилась на оборотную сторону карты.
Жуликам удобно. Достаточно запросить фотку карты лишь с одной стороны.
Это новые гайдлайны мастеркарда/визы (впрочем они не запрещают вообще не указывать эти данные теперь)
берешь спирт и стираешь все что мешает )))
очень удобно же
Что вы все так разнервничалась то???
Зато теперь в альфу можно с котиками и собачками заходить)))
этому банку пора переименоваться в "трэш-говно банк" как и тинькову за их "завершение работы" в банкомате)))
@Альфа-Банк обратите внимание
Какого ляда на устройстве жены устанавливается альфа-клик с вашим пин кодом?
Михаил, здравствуйте.
Выясним, почему так произошло.
С процентами тоже разберёмся 👌
Вернёмся чуть позже с ответом.
Тебе же при открытии счета сказали, что безопасность твоего счёта - это работа альфы. Альфа может и будет делать все для этого. А ты, нехороший клиент, взял и жену ещё подключил туда. Теперь кто виноват, альфа или жена, никто не разберёт...
Я вчера написал в Альфа банк просьбу чтобы по моему приложению запретили брать кредиты. Мне пишут у вас что доступ третьими лицам возможен? Я пишу вы что только родились на Ютубе роликов полно как входят в ЛК и берут кредиты. Типа не давайте доступ и деньги никуда не денутся.
Я ваще получал зарплатную карту, а мне предложениями от сотки до ипотеки закидывают каждый день только код введите и бабки ваши.
Когда получал карту менеджер баба сама хотела активировать кредитный счёт я вовремя заметил и запретил ей это делать, такая недовольная была.
Постараюсь избавиться от карты в ближайшее время ибо с альфой работать точно не желаю.