«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Всем привет, хочу поделиться историей о том, как легко можно обнаружить себя должником Альфа-Банка без звонков из «службы безопасности», утери документов или компрометации карт. Для этого достаточно иметь неиспользуемый счет и хорошую кредитную историю.
Суть истории в следующем: Некто получил сим-карту с номером телефона, привязанному к моему счету в Альфа-Банке, и смог беспрепятственно войти в мой личный кабинет через мобильное приложение. А затем этот человек оформил кредит на 1,6 млн рублей в пару кликов, а также вывел 200 тысяч рублей с кредитной карты. Альфа-Банк отказывается признавать проблемы в своей системе безопасности и аннулировать мошеннический кредит.
История в деталях. Примерно 3,5 года назад по работе я переехал в Нидерланды и затем в Великобританию. После начала ограничений из-за ковида, я некоторое время не приезжал в Россию и не пользовался своей российской сим-картой. После чего я узнал, что она более не активна и Теле2 расторг контракт. После обращения к оператору связи восстановить сим-карту не удалось.
В Альфа-Банке до переезда у меня был зарплатный счет и кредитная карта с лимитом 200 тысяч рублей. В течение последних лет никаких средств на счетах не хранилось и операций не совершалось.
Примечательно, что в 2019 году я обращался в отделение банка и мне сообщили, что не могут изменить номер телефона на иностранный. Также ни при одном из обращений в Альфа-Банк для смены номера телефона мне не советовали заблокировать интернет банк для сохранности счетов.
Никаких подозрительных звонков с просьбами сообщить личную информацию мне не поступало и номер карты нигде не мог «засветиться», т.к она ни разу не использовалась и хранилась дома. Документы также не терялись. Никаких попыток взятия кредитов в других банках, кроме Альфа-Банка, не обнаружено.
В середине января 2022 года мне на электронную почту пришло уведомление об имеющейся просрочке по кредиту. Я позвонил в банк и обнаружил, что в сентябре 2021 года на меня был оформлен кредит на сумму 1,6 млн рублей. Деньги несколько месяцев пролежали на счете, а затем их вывели. А заодно и все деньги с кредитной карты.
Альфа-Банк выдал кредит и провел все операции по переводам без какой-либо дополнительной идентификации клиента, всего лишь по коду из смс. Да, речь идет не о 30 или 100 тысячах, а о кредите и переводах почти 2х миллионов рублей всего лишь по смс.
Мне не понятно, каким образом такое могло произойти в крупном известном банке. И как Альфа-Банк производит идентификацию своих клиентов и одобрение кредитных договоров на значительные суммы.
Есть ряд проблем в системе безопасности Альфа-Банка, которые позволили случиться данному происшествию:
- Альфа-Банк не проводит качественную дополнительную идентификацию при физической смене сим-карты. Даже с учетом того, что кто-то заполучил мой номер после разрыва контракта Теле2, была выпущена физически новая сим-карта. У банка должна быть информация об этом, например, когда несколько лет назад я лично менял сим-карту на новый формат для своего телефона, банк заблокировал вход в интернет-кабинет и направил в отделение или банкомат для дополнительной идентификации, чтобы восстановить доступ в личный кабинет. Соответственно, в этот раз должна была быть подобная процедура и кто-то должен был разрешить вход в мобильный банк для новой сим-карты.
- Альфа-Банк не информирует клиентов по электронной почту о входе в аккаунт с нового устройства. Простая функция, которая сейчас присутствует в большинстве современных приложений (почта, соцсети и тд). Также не было никакого информирования на почту о выдаче кредита. Письмо я получил уже только по факту наличия просрочки.
- Альфа-Банк не учитывает отсутствие активности по счету. На моем счете не было никаких поступлений и переводов в течение нескольких лет. Каким образом банк посчитал, что можно одобрить кредит без какой-либо проверки личности, подписи, кодового слова или звонка из банка?
- В Альфа-Банке до сих пор проблемы со сменой номера телефона и указанием иностранной сим-карты. При обращении в отделение банка в 2019г. мне сообщили, что не могут привязать иностранный номер. Также при составлении обращения в банк по факту мошенничества в 2022г., мне не смогли указать в претензии мой текущий английский телефон. И в дополнение, во время звонка, мне не смогли изменить привязанный к счету номер даже на другой российский, так как у меня нет активных операций по карте. Парадокс, номер изменить нельзя, а в чужое приложение зайти без проблем.
После моего обращения в банк, я считаю, что не было произведено должного расследования и информирования о деталях получения доступа в мой аккаунт. Вместо этого пришел типовой ответ о том, что никаких мошеннических действий не выявлено и все операции подтверждались мной лично посредством ввода кода из смс. Если считаете, что в отношении Вас были осуществлены мошеннические действия, обращайтесь в полицию.
Этим я сейчас и занимаюсь. А также общаюсь с юристами и готовлюсь к судебному разбирательству. Долгое сотрудничество с банком обернулось невероятным разочарованием.
В итоге получается, что Альфа-Банк выдает кредиты на миллионные суммы без серьезной авторизации. Доступ в приложение возможно получить, всего лишь заполучив сим-карту. А служба безопасности отвечает на обращения стандартными сообщениями, вместо детального разбора происшествия и предоставления деталей входа в личный кабинет.
По возможности блокируйте все действующие счета, которыми активно не пользуетесь.
Да просто это долбоебизм максимальный, давать провайдерам отбирать симки, которые по сути сейчас чуть ли не равны паспорту. К ним вообще все что угодно может быть привязано.
тут косяк банка, а не опсоса
Это не отменяет ситуацию, что изъятие симки без какого-либо договора/уведомления ее держателя всеми способами и валидации того, что он уведомлен - это синтез говна и мочи.
Номерной фонд не безграничный, а брошенный симок очень много, вот и сливают. Тут явно косячит банк, куча банков блочит все операции в мобильном банкинге, если симку в другой телефон вставить (и правильно делают)
И какая-же технология позволяет банку узнать, что СИМка оказалась в другом телефоне?
Приложение при входе зачитывает imea девайса и адиос амигос. Более того, и операторы, и банки заявляют, что у них есть интерфейс, через который операторы сообщают банкам о том, что сим-карта была перевыпущена.
У приложений (по крайней мере на iOS) никогда не было доступа к IMEI, можно было получить только некий «постоянный» рекламный идентификатор, который генерировался ОСью по неизвестно каким алгоритмам.
Но в последних версиях iOS в рамках усиления приватности выпилили и его, так что легального фингерпринтинга теперь нет, только всякие нестабильные хаки, которыми банки вряд ли бы стали пользоваться.
Да какая разница, iphone/android. Всё элементарно и стабильно. Приложение при установке пишет произвольный "регистрационный номер" либо во внутренние файлы приложения (тогда переустановка на том же телефоне или удаление всех данных приведет к тому же результату, что и смена телефона), либо на SD карту (т.е. файл, который при переустановке приложения не теряется). Новый телефон - сервер банка получает новый ключ. Вот и весь алгоритм.
Вы точно понимаете разницу между новым телефоном и новой сим картой?
Del
Вы точно поняли на что я ответил? ("легального фингерпринтинга теперь нет")
Банки перед отправкой всяких СМСок проверяют IMSI обращаясь непосредственно к оператору сотовой связи.
Крупные банки имеют свои решения и прямые договора с ОПСОСами. Мелкие пользуются готовыми решениями типа https://wsoft.ru/imsi
Спасибо. Хоть кто-то разумно ответил, а то все считают, что это так просто и как-будто можно "как-то напрямую". Типа банк захотел информацию о СИМ карте (к которой даже отношения не имеет), он её получил.