«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Всем привет, хочу поделиться историей о том, как легко можно обнаружить себя должником Альфа-Банка без звонков из «службы безопасности», утери документов или компрометации карт. Для этого достаточно иметь неиспользуемый счет и хорошую кредитную историю.
Суть истории в следующем: Некто получил сим-карту с номером телефона, привязанному к моему счету в Альфа-Банке, и смог беспрепятственно войти в мой личный кабинет через мобильное приложение. А затем этот человек оформил кредит на 1,6 млн рублей в пару кликов, а также вывел 200 тысяч рублей с кредитной карты. Альфа-Банк отказывается признавать проблемы в своей системе безопасности и аннулировать мошеннический кредит.
История в деталях. Примерно 3,5 года назад по работе я переехал в Нидерланды и затем в Великобританию. После начала ограничений из-за ковида, я некоторое время не приезжал в Россию и не пользовался своей российской сим-картой. После чего я узнал, что она более не активна и Теле2 расторг контракт. После обращения к оператору связи восстановить сим-карту не удалось.
В Альфа-Банке до переезда у меня был зарплатный счет и кредитная карта с лимитом 200 тысяч рублей. В течение последних лет никаких средств на счетах не хранилось и операций не совершалось.
Примечательно, что в 2019 году я обращался в отделение банка и мне сообщили, что не могут изменить номер телефона на иностранный. Также ни при одном из обращений в Альфа-Банк для смены номера телефона мне не советовали заблокировать интернет банк для сохранности счетов.
Никаких подозрительных звонков с просьбами сообщить личную информацию мне не поступало и номер карты нигде не мог «засветиться», т.к она ни разу не использовалась и хранилась дома. Документы также не терялись. Никаких попыток взятия кредитов в других банках, кроме Альфа-Банка, не обнаружено.
В середине января 2022 года мне на электронную почту пришло уведомление об имеющейся просрочке по кредиту. Я позвонил в банк и обнаружил, что в сентябре 2021 года на меня был оформлен кредит на сумму 1,6 млн рублей. Деньги несколько месяцев пролежали на счете, а затем их вывели. А заодно и все деньги с кредитной карты.
Альфа-Банк выдал кредит и провел все операции по переводам без какой-либо дополнительной идентификации клиента, всего лишь по коду из смс. Да, речь идет не о 30 или 100 тысячах, а о кредите и переводах почти 2х миллионов рублей всего лишь по смс.
Мне не понятно, каким образом такое могло произойти в крупном известном банке. И как Альфа-Банк производит идентификацию своих клиентов и одобрение кредитных договоров на значительные суммы.
Есть ряд проблем в системе безопасности Альфа-Банка, которые позволили случиться данному происшествию:
- Альфа-Банк не проводит качественную дополнительную идентификацию при физической смене сим-карты. Даже с учетом того, что кто-то заполучил мой номер после разрыва контракта Теле2, была выпущена физически новая сим-карта. У банка должна быть информация об этом, например, когда несколько лет назад я лично менял сим-карту на новый формат для своего телефона, банк заблокировал вход в интернет-кабинет и направил в отделение или банкомат для дополнительной идентификации, чтобы восстановить доступ в личный кабинет. Соответственно, в этот раз должна была быть подобная процедура и кто-то должен был разрешить вход в мобильный банк для новой сим-карты.
- Альфа-Банк не информирует клиентов по электронной почту о входе в аккаунт с нового устройства. Простая функция, которая сейчас присутствует в большинстве современных приложений (почта, соцсети и тд). Также не было никакого информирования на почту о выдаче кредита. Письмо я получил уже только по факту наличия просрочки.
- Альфа-Банк не учитывает отсутствие активности по счету. На моем счете не было никаких поступлений и переводов в течение нескольких лет. Каким образом банк посчитал, что можно одобрить кредит без какой-либо проверки личности, подписи, кодового слова или звонка из банка?
- В Альфа-Банке до сих пор проблемы со сменой номера телефона и указанием иностранной сим-карты. При обращении в отделение банка в 2019г. мне сообщили, что не могут привязать иностранный номер. Также при составлении обращения в банк по факту мошенничества в 2022г., мне не смогли указать в претензии мой текущий английский телефон. И в дополнение, во время звонка, мне не смогли изменить привязанный к счету номер даже на другой российский, так как у меня нет активных операций по карте. Парадокс, номер изменить нельзя, а в чужое приложение зайти без проблем.
После моего обращения в банк, я считаю, что не было произведено должного расследования и информирования о деталях получения доступа в мой аккаунт. Вместо этого пришел типовой ответ о том, что никаких мошеннических действий не выявлено и все операции подтверждались мной лично посредством ввода кода из смс. Если считаете, что в отношении Вас были осуществлены мошеннические действия, обращайтесь в полицию.
Этим я сейчас и занимаюсь. А также общаюсь с юристами и готовлюсь к судебному разбирательству. Долгое сотрудничество с банком обернулось невероятным разочарованием.
В итоге получается, что Альфа-Банк выдает кредиты на миллионные суммы без серьезной авторизации. Доступ в приложение возможно получить, всего лишь заполучив сим-карту. А служба безопасности отвечает на обращения стандартными сообщениями, вместо детального разбора происшествия и предоставления деталей входа в личный кабинет.
По возможности блокируйте все действующие счета, которыми активно не пользуетесь.
Да просто это долбоебизм максимальный, давать провайдерам отбирать симки, которые по сути сейчас чуть ли не равны паспорту. К ним вообще все что угодно может быть привязано.
тут косяк банка, а не опсоса
Это не отменяет ситуацию, что изъятие симки без какого-либо договора/уведомления ее держателя всеми способами и валидации того, что он уведомлен - это синтез говна и мочи.
Номерной фонд не безграничный, а брошенный симок очень много, вот и сливают. Тут явно косячит банк, куча банков блочит все операции в мобильном банкинге, если симку в другой телефон вставить (и правильно делают)
И какая-же технология позволяет банку узнать, что СИМка оказалась в другом телефоне?
Приложение при входе зачитывает imea девайса и адиос амигос. Более того, и операторы, и банки заявляют, что у них есть интерфейс, через который операторы сообщают банкам о том, что сим-карта была перевыпущена.
У приложений (по крайней мере на iOS) никогда не было доступа к IMEI, можно было получить только некий «постоянный» рекламный идентификатор, который генерировался ОСью по неизвестно каким алгоритмам.
Но в последних версиях iOS в рамках усиления приватности выпилили и его, так что легального фингерпринтинга теперь нет, только всякие нестабильные хаки, которыми банки вряд ли бы стали пользоваться.
Да какая разница, iphone/android. Всё элементарно и стабильно. Приложение при установке пишет произвольный "регистрационный номер" либо во внутренние файлы приложения (тогда переустановка на том же телефоне или удаление всех данных приведет к тому же результату, что и смена телефона), либо на SD карту (т.е. файл, который при переустановке приложения не теряется). Новый телефон - сервер банка получает новый ключ. Вот и весь алгоритм.
Вы точно понимаете разницу между новым телефоном и новой сим картой?
Del
Вы точно поняли на что я ответил? ("легального фингерпринтинга теперь нет")
Банки перед отправкой всяких СМСок проверяют IMSI обращаясь непосредственно к оператору сотовой связи.
Крупные банки имеют свои решения и прямые договора с ОПСОСами. Мелкие пользуются готовыми решениями типа https://wsoft.ru/imsi
Спасибо. Хоть кто-то разумно ответил, а то все считают, что это так просто и как-будто можно "как-то напрямую". Типа банк захотел информацию о СИМ карте (к которой даже отношения не имеет), он её получил.
В альфе судя по всему такая штука есть. ЗП проект на предыдущей работе был альфа. Коллега звонил на горячую линию с целью проконсультироваться о смене номера. С ним в итоге поздоровалась по имени и отчеству. Коллега немного промолчал,скривив лицо и начал выяснять откуда они узнали что это именно он звонит. В ТП альфы объяснить так и не смогли эту аномалию. А потом через время, коллега то ли нагуглив что то,то ли в офис скатнулся и там выяснил что информация о смене номера,пришла от оператора.
то есть уже сам оператор может исполнить что то из подобного, что и приведет к утечке инфы ?? Хотя конечно, они это симку могут раздавать на право и на лево, главное клиенты чтоб шли, а потом выясняется, что ваш номер телефона не ваш
1. Не все пользуются.
2. Зачем приложение мошеннику? Получил чужую СИМ и сразу палиться сотовым телефоном? Интернет-банки через браузер.
Тогда см. пункт 2 — интерфейс от оператора. У меня так блочился банкинг по перевыпуску симки — надо было дойти до банкомата, чтобы жить опять стало весело.
Сейчас век технологий ⚙доступности и дальнейшего тотального контроля 🛂 с будущей чипизацией людей доступность судя по всему требует жертв происходят утечки и продажа данных в даркнет впрочем где ставки таки повысили!
Скрыться сейчас практически невозможно либо ходить с тапочкой так прошаренный зэк и выбрасывать снимку за симкой а так бояться нечего да и скрываться тоже не от кого.
ФСБ будут вязать прямо по дороге в такси 🚖 яровая заработала на сервисы яндекс с одной стороны это хорошо будет меньше грязи уверен преступность упадёт в разы.
По IMSI можно узнать. У Тинькофф так работает. Они перестают присылать СМС на номер, если IMSI поменялся.
Хоть один пруф? Каким методом банк узнаёт о смене IMSI? Эта информация только у оператора. Есть HLR запросы, но в них такой информации нет. p.s. И значение банку уж точно не передаётся, кстати см. TMSI.
Опсос передает банку. И банк за эту услугу еще и платит, кстати.
Не знаю каким методом, но это точно есть. Попробуйте вставить сим-карту в другое устройство и увидите, что СМС с секретным кодом не придет.
Прекрасно придёт. Я вам больше скажу, у меня СИМ карта для банков в SIM-банке, я её спокойно могу на разные радиомодули переключать, даже не трогая.
В Тинькофф банке? Лично мне всегда приходилось в банк обращаться при смене телефона.
Вероятно у вас есть анальный зонд. Т.е. приложение на телефоне. У меня такого счастья нет.
Х.з как, но мне билайн прямо говорил при перевыпуске "в течении суток никакие смс от бпнкрв не придут, как не запрашивай"
Это не имеет отношения к банкам. Так у сотовых операторов. Вообще любые СМС сутки будут приходить на старую СИМ (не у всех). Тем самым, если СИМ перевыпустили не вы, то в ближайший час увидите, куда мошенник хочет залогинится.
Вы путаете вероятно что то. Какая старая симкарта ? Речь про перевыпуск. Как вы себе видеие наличие приэтом у вас 2х симкарт?
Вы про перевыпуск чего? Билайн вам перевыпускает SIM карту.
Верно. Как при этом у вас остается "старая" sim? Она же блокируется в момент выдачи новой
если вы не потеряли, то остается.
> Она же блокируется в момент выдачи новойНет. СИМ карта имеет свой идентификатор. При входящем вызове вызов направляется на новую, при СМС - доставка идет на старую. Потом блокируется. Но час она обычно регистрируется в сети и на нее точно приходит как минимум СМС "произведена замена СИМ карты". И даже исходящий вызов со старой СИМ в поддержку будет доступен (тоже не у всех).
Странно. Мне казалось должны блокировать) буду знать :) у меня замена была для изменения размеров под современнные телефоны))
Так и заблокируют. Но шанс позвонить в поддержку и донести до них, что замену делаете не вы некоторые дают. Операторы в салоне упрощают объяснение и такие подробности не рассказывают.
Ну это решит только какой-то реестр, который отправит на все сервисы, на которые эта симка зарегана, чтоб они ее отвязали. Но это куча сервисов должны в интеграции правила написать. Так что проще, сделать так, чтоб симки (если эти номера так важны опсосам) каким-то образом отвязывались от всех сервисов при переходе "права собственности"
Я уверен, что всем этим сервисам будет похуй, т.к. это тысячи часов разработки, и они заставят самого провайдера это делать.
Можно же операторам дать банкам какой-то апи для проверки статуса сим-карт?
Такой API есть и вроде Альфа раньше при реревыпеске симки сразу блокировала аккаунт. Возможно с повсеместным внедрением MNP этот API поломался..или же его дают не все операторы
Технология позволяет узнать даже переход с симки на симку с сохранением номера, когда требуется замена по выходу карты их строя или по любой-другой причине. Другое дело - что они нахрен этого не делают, а СБ у них только с девочками за стойкой чай по ходу гоняет.
Комментарий удален модератором
"Совкомбанк" так просто не пустил меня в ЛК при установке приложения на другой аппарат. Пришлось дополнительную идентификацию проходить.
Тут все очевидно. В даркнете есть каналы, где дают прямым текстом объявления типа: нужен сотрудник банка (подставить любой в топе, в том числе и альфу), госуслуг, операторов (подставить любого ОСС). Понимаете, для каких вещей?
Так вот.
Советую записывать все сервисы, какими пользуетесь и к каждому сервису привязывать отдельную симку. Одну - к банкам, другую к магазинам, третью к мессенджерам, четвертую можно всем светить. И записывать, к какой симке что привязано. Щас для этого есть заметки, которые синхронизируются с Гуглом или айклаудом.
Контролировать все свои подписки тоже. Если видите в личном кабинете у оператора непонятную подписку и списания по ней - звоните ОСС и ругайтесь. Вот прямо ругайтесь. И вам все вернут. Но это при условии, что вы не подключали и не пользовались этой подпиской. На малейшее списание денег или опций из пакета (якобы они были использованы, а по известному вам факту нет) - ругаться, доставать их, выносить мозг, писать заявления. И таких ситуаций не будет. Если банк допускает утечку ваших средств, оформление на вас кредитов и прочего - завершение с ним отношения. Если вы уезжаете за границу, а банк не может привязать иностранный номер - завершайте с банком отношения. Тогда банки начнут шевелиться, если мы, клиенты, будем шевелиться сами.
Ну единственный критерий брошенности "отсутствие платных действий в течение n дней" - такой себе. Как минимум на него наложить правило более высокого уровня, типа "отсутствие входящих смс с источников, зарегистрированных как банки" и "отсутствие регистрации номера на госуслугах".
Реальные брошенки так брошенками и останутся. Есть желание у опсосов подоить абонента - ну в конце концов спишите с него что то, когда кинет деньги.
Я так понимаю, у автора симка не в сети была. Это выглядит вполне брошенным.
и каким боком это тут?
изъятие симки "без договора" это как?
разве она не появляется у абонента по договору?
т.е. договор был.
и там (наверно) написано, через сколько времени неиспользования она изымается.
и на всех сайтах всех оспсосов упреждение -"не зовнишь месяц (квартал, полгода, год) - привет".
и "без уведомления" - нам точно известно, что это наш случай?
и уведомления не было.
свое говно и мочу оставьте себе.
это даже может не быть косяк банка, пользователь ведь авторезировался и подтвердил вход по номеру, вот и выглядило все как это входит реальный клиент, а не мошенник
Надо прояснить, почему сим-карту забрали. Закон "О связи" предусматривает, что забрать номер оператор может в случае нарушения правил оказания услуг и несвоевременной оплаты услуг связи.
Предположу, что автор не платил за номер, его заблокировали и спустя время вернули в продажу.
Касательно доступа к мобильному приложению. Тут есть такой нюанс.
Я когда сменил оператора, сохранив номер, то Альфа-Банк заблокировал мне все переводы в мобильном приложении, пока я не приехал в офис, не показал паспорт. Поэтому вопрос к #Альфа-банк: почему не сработала проверка смены сим-карты?
С другой стороны автор отнёсся безответственно к своему банковскому счету. Уехав на длительное время за границу, бросив номер, он даже не озаботился блокировкой приложения, хотя достаточно было дойти до отделения банка: в Великобританию не далеко, а в банк сходить, закрыть счёт - тяжело.
По данному вопросу позиция банка слабая: у автора есть подтверждение, что СИМ-карта была передана третьему лицу. Кредит, оформленный через сим-карту, не может быть предъявлен автору, это потери банка.
На будущее автору урок финансовой грамотности, нельзя так безответственно относиться к своим активам.
Комментарий недоступен
А при чем тут счёт пустой? Кредит на то и кредит, что деньги даёт банк.
Номер утерян не был, как я понял из описания. Номер забрал оператор.
Насчёт приговора вы ошибаетесь. Юристы будут доказывать, что договор не был заключен.
Комментарий недоступен
Не не не. Если банк не докажет что смс отправил клиент, то дурак то банк
Комментарий недоступен
Фз 161
Комментарий недоступен
Какая пэп, если номер уже не принадлежал автору? Что курите... и вопрос в списании денег. Автор легко докадет что он не совершал этого.
Комментарий недоступен
https://vc.ru/finance/325093-esli-moshenniki-ukrali-dengi-s-bankovskoy-karty-ne-speshite-v-policiyu
Хорошая статья
Комментарий недоступен
Блокировка приложения разве возможна? Альфа никак не отслеживает подключение новых девайсов. Для входа с нового девайса нужен номер телефона и номер карты/счета. На номер тлф придет смс, после ее введения - вуаля ты в банке. В самом приложении НИКАКИХ опрвещений о привязке девайса нет. Если не лезть в список устройств и не узнаешь.
Нет, устройство можно заблокировать. Я поменял телефон. Скачал приложение, зарегистрировался. Приложение блокирует активность до подтверждения. Вот настройки, например.
И уведомление мне пришло на старый телефон, что добавлено устройство.
Мы ограничиваем доступ в приложение и операции, когда оператор сообщает нам о смене сим-карты.
Ситуацию проверим и вернёмся в пост с ответом.
эта симка с номером просто попалась мошенникам с помощью которой они и стянули все необходимые деньги, только вопрос как они знали что нужна была именно эта симка
Комментарий недоступен
вот таким то образом к мошенникам и попала симка автора, по номеру которой смогли все это провернуть