«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Всем привет, хочу поделиться историей о том, как легко можно обнаружить себя должником Альфа-Банка без звонков из «службы безопасности», утери документов или компрометации карт. Для этого достаточно иметь неиспользуемый счет и хорошую кредитную историю.
Суть истории в следующем: Некто получил сим-карту с номером телефона, привязанному к моему счету в Альфа-Банке, и смог беспрепятственно войти в мой личный кабинет через мобильное приложение. А затем этот человек оформил кредит на 1,6 млн рублей в пару кликов, а также вывел 200 тысяч рублей с кредитной карты. Альфа-Банк отказывается признавать проблемы в своей системе безопасности и аннулировать мошеннический кредит.
История в деталях. Примерно 3,5 года назад по работе я переехал в Нидерланды и затем в Великобританию. После начала ограничений из-за ковида, я некоторое время не приезжал в Россию и не пользовался своей российской сим-картой. После чего я узнал, что она более не активна и Теле2 расторг контракт. После обращения к оператору связи восстановить сим-карту не удалось.
В Альфа-Банке до переезда у меня был зарплатный счет и кредитная карта с лимитом 200 тысяч рублей. В течение последних лет никаких средств на счетах не хранилось и операций не совершалось.
Примечательно, что в 2019 году я обращался в отделение банка и мне сообщили, что не могут изменить номер телефона на иностранный. Также ни при одном из обращений в Альфа-Банк для смены номера телефона мне не советовали заблокировать интернет банк для сохранности счетов.
Никаких подозрительных звонков с просьбами сообщить личную информацию мне не поступало и номер карты нигде не мог «засветиться», т.к она ни разу не использовалась и хранилась дома. Документы также не терялись. Никаких попыток взятия кредитов в других банках, кроме Альфа-Банка, не обнаружено.
В середине января 2022 года мне на электронную почту пришло уведомление об имеющейся просрочке по кредиту. Я позвонил в банк и обнаружил, что в сентябре 2021 года на меня был оформлен кредит на сумму 1,6 млн рублей. Деньги несколько месяцев пролежали на счете, а затем их вывели. А заодно и все деньги с кредитной карты.
Альфа-Банк выдал кредит и провел все операции по переводам без какой-либо дополнительной идентификации клиента, всего лишь по коду из смс. Да, речь идет не о 30 или 100 тысячах, а о кредите и переводах почти 2х миллионов рублей всего лишь по смс.
Мне не понятно, каким образом такое могло произойти в крупном известном банке. И как Альфа-Банк производит идентификацию своих клиентов и одобрение кредитных договоров на значительные суммы.
Есть ряд проблем в системе безопасности Альфа-Банка, которые позволили случиться данному происшествию:
- Альфа-Банк не проводит качественную дополнительную идентификацию при физической смене сим-карты. Даже с учетом того, что кто-то заполучил мой номер после разрыва контракта Теле2, была выпущена физически новая сим-карта. У банка должна быть информация об этом, например, когда несколько лет назад я лично менял сим-карту на новый формат для своего телефона, банк заблокировал вход в интернет-кабинет и направил в отделение или банкомат для дополнительной идентификации, чтобы восстановить доступ в личный кабинет. Соответственно, в этот раз должна была быть подобная процедура и кто-то должен был разрешить вход в мобильный банк для новой сим-карты.
- Альфа-Банк не информирует клиентов по электронной почту о входе в аккаунт с нового устройства. Простая функция, которая сейчас присутствует в большинстве современных приложений (почта, соцсети и тд). Также не было никакого информирования на почту о выдаче кредита. Письмо я получил уже только по факту наличия просрочки.
- Альфа-Банк не учитывает отсутствие активности по счету. На моем счете не было никаких поступлений и переводов в течение нескольких лет. Каким образом банк посчитал, что можно одобрить кредит без какой-либо проверки личности, подписи, кодового слова или звонка из банка?
- В Альфа-Банке до сих пор проблемы со сменой номера телефона и указанием иностранной сим-карты. При обращении в отделение банка в 2019г. мне сообщили, что не могут привязать иностранный номер. Также при составлении обращения в банк по факту мошенничества в 2022г., мне не смогли указать в претензии мой текущий английский телефон. И в дополнение, во время звонка, мне не смогли изменить привязанный к счету номер даже на другой российский, так как у меня нет активных операций по карте. Парадокс, номер изменить нельзя, а в чужое приложение зайти без проблем.
После моего обращения в банк, я считаю, что не было произведено должного расследования и информирования о деталях получения доступа в мой аккаунт. Вместо этого пришел типовой ответ о том, что никаких мошеннических действий не выявлено и все операции подтверждались мной лично посредством ввода кода из смс. Если считаете, что в отношении Вас были осуществлены мошеннические действия, обращайтесь в полицию.
Этим я сейчас и занимаюсь. А также общаюсь с юристами и готовлюсь к судебному разбирательству. Долгое сотрудничество с банком обернулось невероятным разочарованием.
В итоге получается, что Альфа-Банк выдает кредиты на миллионные суммы без серьезной авторизации. Доступ в приложение возможно получить, всего лишь заполучив сим-карту. А служба безопасности отвечает на обращения стандартными сообщениями, вместо детального разбора происшествия и предоставления деталей входа в личный кабинет.
По возможности блокируйте все действующие счета, которыми активно не пользуетесь.
Да просто это долбоебизм максимальный, давать провайдерам отбирать симки, которые по сути сейчас чуть ли не равны паспорту. К ним вообще все что угодно может быть привязано.
тут косяк банка, а не опсоса
Это не отменяет ситуацию, что изъятие симки без какого-либо договора/уведомления ее держателя всеми способами и валидации того, что он уведомлен - это синтез говна и мочи.
Номерной фонд не безграничный, а брошенный симок очень много, вот и сливают. Тут явно косячит банк, куча банков блочит все операции в мобильном банкинге, если симку в другой телефон вставить (и правильно делают)
И какая-же технология позволяет банку узнать, что СИМка оказалась в другом телефоне?
Приложение при входе зачитывает imea девайса и адиос амигос. Более того, и операторы, и банки заявляют, что у них есть интерфейс, через который операторы сообщают банкам о том, что сим-карта была перевыпущена.
У приложений (по крайней мере на iOS) никогда не было доступа к IMEI, можно было получить только некий «постоянный» рекламный идентификатор, который генерировался ОСью по неизвестно каким алгоритмам.
Но в последних версиях iOS в рамках усиления приватности выпилили и его, так что легального фингерпринтинга теперь нет, только всякие нестабильные хаки, которыми банки вряд ли бы стали пользоваться.
Да какая разница, iphone/android. Всё элементарно и стабильно. Приложение при установке пишет произвольный "регистрационный номер" либо во внутренние файлы приложения (тогда переустановка на том же телефоне или удаление всех данных приведет к тому же результату, что и смена телефона), либо на SD карту (т.е. файл, который при переустановке приложения не теряется). Новый телефон - сервер банка получает новый ключ. Вот и весь алгоритм.
Вы точно понимаете разницу между новым телефоном и новой сим картой?
Del
Вы точно поняли на что я ответил? ("легального фингерпринтинга теперь нет")
Банки перед отправкой всяких СМСок проверяют IMSI обращаясь непосредственно к оператору сотовой связи.
Крупные банки имеют свои решения и прямые договора с ОПСОСами. Мелкие пользуются готовыми решениями типа https://wsoft.ru/imsi
Спасибо. Хоть кто-то разумно ответил, а то все считают, что это так просто и как-будто можно "как-то напрямую". Типа банк захотел информацию о СИМ карте (к которой даже отношения не имеет), он её получил.
В альфе судя по всему такая штука есть. ЗП проект на предыдущей работе был альфа. Коллега звонил на горячую линию с целью проконсультироваться о смене номера. С ним в итоге поздоровалась по имени и отчеству. Коллега немного промолчал,скривив лицо и начал выяснять откуда они узнали что это именно он звонит. В ТП альфы объяснить так и не смогли эту аномалию. А потом через время, коллега то ли нагуглив что то,то ли в офис скатнулся и там выяснил что информация о смене номера,пришла от оператора.
то есть уже сам оператор может исполнить что то из подобного, что и приведет к утечке инфы ?? Хотя конечно, они это симку могут раздавать на право и на лево, главное клиенты чтоб шли, а потом выясняется, что ваш номер телефона не ваш
1. Не все пользуются.
2. Зачем приложение мошеннику? Получил чужую СИМ и сразу палиться сотовым телефоном? Интернет-банки через браузер.
Тогда см. пункт 2 — интерфейс от оператора. У меня так блочился банкинг по перевыпуску симки — надо было дойти до банкомата, чтобы жить опять стало весело.
Сейчас век технологий ⚙доступности и дальнейшего тотального контроля 🛂 с будущей чипизацией людей доступность судя по всему требует жертв происходят утечки и продажа данных в даркнет впрочем где ставки таки повысили!
Скрыться сейчас практически невозможно либо ходить с тапочкой так прошаренный зэк и выбрасывать снимку за симкой а так бояться нечего да и скрываться тоже не от кого.
ФСБ будут вязать прямо по дороге в такси 🚖 яровая заработала на сервисы яндекс с одной стороны это хорошо будет меньше грязи уверен преступность упадёт в разы.
По IMSI можно узнать. У Тинькофф так работает. Они перестают присылать СМС на номер, если IMSI поменялся.
Хоть один пруф? Каким методом банк узнаёт о смене IMSI? Эта информация только у оператора. Есть HLR запросы, но в них такой информации нет. p.s. И значение банку уж точно не передаётся, кстати см. TMSI.
Опсос передает банку. И банк за эту услугу еще и платит, кстати.
Не знаю каким методом, но это точно есть. Попробуйте вставить сим-карту в другое устройство и увидите, что СМС с секретным кодом не придет.
Прекрасно придёт. Я вам больше скажу, у меня СИМ карта для банков в SIM-банке, я её спокойно могу на разные радиомодули переключать, даже не трогая.
В Тинькофф банке? Лично мне всегда приходилось в банк обращаться при смене телефона.
Вероятно у вас есть анальный зонд. Т.е. приложение на телефоне. У меня такого счастья нет.
Х.з как, но мне билайн прямо говорил при перевыпуске "в течении суток никакие смс от бпнкрв не придут, как не запрашивай"
Это не имеет отношения к банкам. Так у сотовых операторов. Вообще любые СМС сутки будут приходить на старую СИМ (не у всех). Тем самым, если СИМ перевыпустили не вы, то в ближайший час увидите, куда мошенник хочет залогинится.
Вы путаете вероятно что то. Какая старая симкарта ? Речь про перевыпуск. Как вы себе видеие наличие приэтом у вас 2х симкарт?
Вы про перевыпуск чего? Билайн вам перевыпускает SIM карту.
Верно. Как при этом у вас остается "старая" sim? Она же блокируется в момент выдачи новой
если вы не потеряли, то остается.
> Она же блокируется в момент выдачи новойНет. СИМ карта имеет свой идентификатор. При входящем вызове вызов направляется на новую, при СМС - доставка идет на старую. Потом блокируется. Но час она обычно регистрируется в сети и на нее точно приходит как минимум СМС "произведена замена СИМ карты". И даже исходящий вызов со старой СИМ в поддержку будет доступен (тоже не у всех).
Странно. Мне казалось должны блокировать) буду знать :) у меня замена была для изменения размеров под современнные телефоны))
Так и заблокируют. Но шанс позвонить в поддержку и донести до них, что замену делаете не вы некоторые дают. Операторы в салоне упрощают объяснение и такие подробности не рассказывают.
Ну это решит только какой-то реестр, который отправит на все сервисы, на которые эта симка зарегана, чтоб они ее отвязали. Но это куча сервисов должны в интеграции правила написать. Так что проще, сделать так, чтоб симки (если эти номера так важны опсосам) каким-то образом отвязывались от всех сервисов при переходе "права собственности"
Я уверен, что всем этим сервисам будет похуй, т.к. это тысячи часов разработки, и они заставят самого провайдера это делать.
Можно же операторам дать банкам какой-то апи для проверки статуса сим-карт?
Такой API есть и вроде Альфа раньше при реревыпеске симки сразу блокировала аккаунт. Возможно с повсеместным внедрением MNP этот API поломался..или же его дают не все операторы
Технология позволяет узнать даже переход с симки на симку с сохранением номера, когда требуется замена по выходу карты их строя или по любой-другой причине. Другое дело - что они нахрен этого не делают, а СБ у них только с девочками за стойкой чай по ходу гоняет.
Комментарий удален модератором
"Совкомбанк" так просто не пустил меня в ЛК при установке приложения на другой аппарат. Пришлось дополнительную идентификацию проходить.
Тут все очевидно. В даркнете есть каналы, где дают прямым текстом объявления типа: нужен сотрудник банка (подставить любой в топе, в том числе и альфу), госуслуг, операторов (подставить любого ОСС). Понимаете, для каких вещей?
Так вот.
Советую записывать все сервисы, какими пользуетесь и к каждому сервису привязывать отдельную симку. Одну - к банкам, другую к магазинам, третью к мессенджерам, четвертую можно всем светить. И записывать, к какой симке что привязано. Щас для этого есть заметки, которые синхронизируются с Гуглом или айклаудом.
Контролировать все свои подписки тоже. Если видите в личном кабинете у оператора непонятную подписку и списания по ней - звоните ОСС и ругайтесь. Вот прямо ругайтесь. И вам все вернут. Но это при условии, что вы не подключали и не пользовались этой подпиской. На малейшее списание денег или опций из пакета (якобы они были использованы, а по известному вам факту нет) - ругаться, доставать их, выносить мозг, писать заявления. И таких ситуаций не будет. Если банк допускает утечку ваших средств, оформление на вас кредитов и прочего - завершение с ним отношения. Если вы уезжаете за границу, а банк не может привязать иностранный номер - завершайте с банком отношения. Тогда банки начнут шевелиться, если мы, клиенты, будем шевелиться сами.
Ну единственный критерий брошенности "отсутствие платных действий в течение n дней" - такой себе. Как минимум на него наложить правило более высокого уровня, типа "отсутствие входящих смс с источников, зарегистрированных как банки" и "отсутствие регистрации номера на госуслугах".
Реальные брошенки так брошенками и останутся. Есть желание у опсосов подоить абонента - ну в конце концов спишите с него что то, когда кинет деньги.
Я так понимаю, у автора симка не в сети была. Это выглядит вполне брошенным.
и каким боком это тут?
изъятие симки "без договора" это как?
разве она не появляется у абонента по договору?
т.е. договор был.
и там (наверно) написано, через сколько времени неиспользования она изымается.
и на всех сайтах всех оспсосов упреждение -"не зовнишь месяц (квартал, полгода, год) - привет".
и "без уведомления" - нам точно известно, что это наш случай?
и уведомления не было.
свое говно и мочу оставьте себе.
это даже может не быть косяк банка, пользователь ведь авторезировался и подтвердил вход по номеру, вот и выглядило все как это входит реальный клиент, а не мошенник