«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Всем привет, хочу поделиться историей о том, как легко можно обнаружить себя должником Альфа-Банка без звонков из «службы безопасности», утери документов или компрометации карт. Для этого достаточно иметь неиспользуемый счет и хорошую кредитную историю.
Суть истории в следующем: Некто получил сим-карту с номером телефона, привязанному к моему счету в Альфа-Банке, и смог беспрепятственно войти в мой личный кабинет через мобильное приложение. А затем этот человек оформил кредит на 1,6 млн рублей в пару кликов, а также вывел 200 тысяч рублей с кредитной карты. Альфа-Банк отказывается признавать проблемы в своей системе безопасности и аннулировать мошеннический кредит.
История в деталях. Примерно 3,5 года назад по работе я переехал в Нидерланды и затем в Великобританию. После начала ограничений из-за ковида, я некоторое время не приезжал в Россию и не пользовался своей российской сим-картой. После чего я узнал, что она более не активна и Теле2 расторг контракт. После обращения к оператору связи восстановить сим-карту не удалось.
В Альфа-Банке до переезда у меня был зарплатный счет и кредитная карта с лимитом 200 тысяч рублей. В течение последних лет никаких средств на счетах не хранилось и операций не совершалось.
Примечательно, что в 2019 году я обращался в отделение банка и мне сообщили, что не могут изменить номер телефона на иностранный. Также ни при одном из обращений в Альфа-Банк для смены номера телефона мне не советовали заблокировать интернет банк для сохранности счетов.
Никаких подозрительных звонков с просьбами сообщить личную информацию мне не поступало и номер карты нигде не мог «засветиться», т.к она ни разу не использовалась и хранилась дома. Документы также не терялись. Никаких попыток взятия кредитов в других банках, кроме Альфа-Банка, не обнаружено.
В середине января 2022 года мне на электронную почту пришло уведомление об имеющейся просрочке по кредиту. Я позвонил в банк и обнаружил, что в сентябре 2021 года на меня был оформлен кредит на сумму 1,6 млн рублей. Деньги несколько месяцев пролежали на счете, а затем их вывели. А заодно и все деньги с кредитной карты.
Альфа-Банк выдал кредит и провел все операции по переводам без какой-либо дополнительной идентификации клиента, всего лишь по коду из смс. Да, речь идет не о 30 или 100 тысячах, а о кредите и переводах почти 2х миллионов рублей всего лишь по смс.
Мне не понятно, каким образом такое могло произойти в крупном известном банке. И как Альфа-Банк производит идентификацию своих клиентов и одобрение кредитных договоров на значительные суммы.
Есть ряд проблем в системе безопасности Альфа-Банка, которые позволили случиться данному происшествию:
- Альфа-Банк не проводит качественную дополнительную идентификацию при физической смене сим-карты. Даже с учетом того, что кто-то заполучил мой номер после разрыва контракта Теле2, была выпущена физически новая сим-карта. У банка должна быть информация об этом, например, когда несколько лет назад я лично менял сим-карту на новый формат для своего телефона, банк заблокировал вход в интернет-кабинет и направил в отделение или банкомат для дополнительной идентификации, чтобы восстановить доступ в личный кабинет. Соответственно, в этот раз должна была быть подобная процедура и кто-то должен был разрешить вход в мобильный банк для новой сим-карты.
- Альфа-Банк не информирует клиентов по электронной почту о входе в аккаунт с нового устройства. Простая функция, которая сейчас присутствует в большинстве современных приложений (почта, соцсети и тд). Также не было никакого информирования на почту о выдаче кредита. Письмо я получил уже только по факту наличия просрочки.
- Альфа-Банк не учитывает отсутствие активности по счету. На моем счете не было никаких поступлений и переводов в течение нескольких лет. Каким образом банк посчитал, что можно одобрить кредит без какой-либо проверки личности, подписи, кодового слова или звонка из банка?
- В Альфа-Банке до сих пор проблемы со сменой номера телефона и указанием иностранной сим-карты. При обращении в отделение банка в 2019г. мне сообщили, что не могут привязать иностранный номер. Также при составлении обращения в банк по факту мошенничества в 2022г., мне не смогли указать в претензии мой текущий английский телефон. И в дополнение, во время звонка, мне не смогли изменить привязанный к счету номер даже на другой российский, так как у меня нет активных операций по карте. Парадокс, номер изменить нельзя, а в чужое приложение зайти без проблем.
После моего обращения в банк, я считаю, что не было произведено должного расследования и информирования о деталях получения доступа в мой аккаунт. Вместо этого пришел типовой ответ о том, что никаких мошеннических действий не выявлено и все операции подтверждались мной лично посредством ввода кода из смс. Если считаете, что в отношении Вас были осуществлены мошеннические действия, обращайтесь в полицию.
Этим я сейчас и занимаюсь. А также общаюсь с юристами и готовлюсь к судебному разбирательству. Долгое сотрудничество с банком обернулось невероятным разочарованием.
В итоге получается, что Альфа-Банк выдает кредиты на миллионные суммы без серьезной авторизации. Доступ в приложение возможно получить, всего лишь заполучив сим-карту. А служба безопасности отвечает на обращения стандартными сообщениями, вместо детального разбора происшествия и предоставления деталей входа в личный кабинет.
По возможности блокируйте все действующие счета, которыми активно не пользуетесь.
Дмитрий, мы всё изучили и хотим прокомментировать ситуацию. Пост привлёк большое внимание, поэтому нам было важно не просто ответить, а объективно её оценить. Мы проверили когда и с какого телефона кто-то заходил в приложение; менялась ли симка; какие карты или кредиты пытались оформлять в приложении.
Боимся, что результат вас не устроит, но мы не нашли ничего подозрительного. Если сим-карту получил другой человек, то оператор не отметил её перевыпуск, и это прошло мимо банков и прочих компаний, которые тщательно относятся к безопасности. У нас не было заявлений, что номер больше вам не принадлежит, но есть документ, в котором вы подтверждаете его актуальность. Поэтому мы всё это время считали, что он по-прежнему ваш. Иначе сразу бы отреагировали и удалили его из анкеты.
Кроме того, одного номера недостаточно. Чтобы войти в приложение, нужно ещё ввести номер карты или счёта. Вероятно, что мошенники их подсмотрели, иначе они бы не смогли пройти дальше стартового экрана. В остальном они вели себя аккуратно, словно это был сам клиент.
Мы правда не отправляем письма на почту, когда кто-то заходит в приложение с нового телефона. У многих людей большой список входящих, и велик риск, что они просто не заметят ещё одно письмо. Другое дело — смски. Их замечают, причём почти сразу же.
Тем не менее мы не игнорируем переписку по почте. Например, присылаем письмо не только когда возникла задолженность, но и когда оформлен кредит. Вы говорили, что тогда ничего не пришло, однако боимся, что точно его отправляли. Это весьма важный момент, поэтому перепроверили. Возможно, фильтры посчитали его спамом.
Что же касается иностранного номера, то зарубежные операторы не всегда успешно доставляют смски от российских компаний и банков. Поэтому мы, прежде всего, ориентируемся на российских и советуем использовать местные номера.
Понимаем, что горько слышать такие новости, но есть только один вариант — это полиция. Будем рады помогать следствию, а параллельно вернём комиссию за страховку
Спасибо за сообщение, но меня действительно не устраивает подобный результат.
1. Факт смены сим-карты и ее владельца возможно установить.
2. Я не могу представить, где бы мошенники могли подсмотреть номер моей карты или моего счета. У вас наверняка есть информация, что по ним не совершалось никаких операций в течение длительного времени. А карта вообще ни разу не была использована. Также у вас, вероятно, может иметься информация о том, что кто-то открывал мой профиль во внутренней системе банка.
3. Можете ли вы детально сообщить, как производился вход в личный кабинет с новых устройств в 2020-2022 годах? Какие данные предоставлялись для входа (номер карты, счета или чего-то еще)? Где я могу получить подобную информацию?
4. Прошу предоставить мне подтверждение о том что вы отправляли письмо о выдаче кредита.
5. Вы не отправляете письма на почту о новом устройстве, зато рекламный спам от Альфа-Банка мне приходит регулярно.
6. В другом российском банке у меня не возникло проблем привязать иностранный номер и сделать изменения без визита в банк.
7. Могу ли я получить данный ответ в официальном виде?
1. Понимаем, однако нам не поступало заявление о том, что это больше не ваш номер. У нас есть только документ, где вы подтверждаете его актуальность. Иногда смену сим-карты можно установить и технически, но в этом случае нам не пришёл такой знак.
2. Боимся, что других вариантов здесь нет. Без номера карты или счёта невозможно войти в приложение, а значит их как-то узнали мошенники. Наши сотрудники не могли этого сделать. Мы тщательно следим за безопасностью, и, разумеется, перепроверили этот момент во время вчерашней проверки.
3-4-7. Конечно. Можем подготовить официальный ответ. Если вы в Москве, можете забрать документ в любом офисе. Если нет, отправим на электронную почту. Делаем?
5. Дело в том, что люди могут долго разбирать почту, в то время как на смски реагируют сразу. Поэтому если у нас есть предложение, мы можем отправить письмо, а человек прочитает его в удобное время.
6. Вероятно, это просто их выбор — мы не ручаемся за другие банки. Может быть, мы тоже рассмотрим такую возможность, однако в любом случае будем советовать российские симки. Конечно, если ситуация вдруг не изменится: зарубежные операторы не всегда успешно доставляют смски
И поэтому рекламное сообщение человек пусть прочитает когда ему удобно, а сообщение о том что кто-то зашел в мой аккаунт - никогда? И почему это вы за меня решили как часто я разбираю почту и как быстро я на письма реагировать буду? У меня спама не так много сыпется, новые письма просматриваю регулярно.
И кстати, уже несколько раз просил банк перестать присылать рекламу на почту - бесполезно. И когда сказал в поддержке что письмо пришло не с домена банка, а от flocktory - сотрудник пытался меня убедить, что никаким партнерам данные не передаются, и пришлось даже дать ему ссылку на статью на vc - все равно не поверил, утверждал что это мошенники (которые как-то узнали что я начал заявку на карту заполнять и решили помочь, ага)
Пришлите, пожалуйста, пример письма, а также ваше ФИО + дату рождения в ЛС. Проверим рассылку и поможем.
Не хочу я вам тут ничего писать. Я хочу чтобы стандартная техподдержка нормально на вопросы отвечала
Без данных мы не сможем разобраться и проверить консультацию коллег.
Комментарий удален модератором
Комментарий недоступен
Можете, пожалуйста, сообщить от какого года документ об актуальности номера? Последний раз я был в отделении банка в 2019 году, а номер перестал быть активным в 2020.
Спасибо, что готовы выслать необходимые документы на электронную почту. Если не возражаете, я подумаю над тем, что мне может понадобиться и подготовлю список.
Боимся, что не можем публично раскрыть эти данные, но будем рады сообщить их вам лично. Ещё напишем.
Хорошо. Просто дайте нам знать, и мы подготовим официальный ответ.
Параллельно отметим, что уже вернули стоимость страховки
Комментарий удален модератором
Ну да, это же вполне рабочая ситуация, которая встречается ну у каждого второго клиента, когда пару лет нет операции по счету, а потом сразу вывод денег с кредитной карты и оформление кредита. Ну совсем очевидное поведение, не требующее никакого дополнительного внимания.
У многих людей большой список входящих, и велик риск, что они просто не заметят ещё одно письмо. Другое дело — смски. Их замечают, причём почти сразу же.Отправлять одновременно смс и почту - слишком хай-теч?
Если сим-карту получил другой человек, то оператор не отметил её перевыпуск, и это прошло мимо банков и прочих компаний, которые тщательно относятся к безопасности.Тут такое дело. Или компания тщательно относится к безопасности. Или она полагается на других (оператора связи) который может забить на все это.
Что же касается иностранного номера, то зарубежные операторы не всегда успешно доставляют смски от российских компаний и банков. Поэтому мы, прежде всего, ориентируемся на российских и советуем использовать местные номера.Вот есть разница между "советуем использовать" и "не умеем вбивать в систему".
Если зарубежный оператор не доставил смс, по закону о нас вина на банке - он не известил клиента об операции списания. Подаём иск в суд, пусть банк докажет, что известил.
У банка есть логи отправки, у шлюза есть логи отправки. А так можно дойти до "находился вне зоны приема, смс не доставлено, вина банка"
Банк должен доказать, что он надлежащим образом известил клиента об операции перевода/списания денежных средств. Например, в большинстве банковских договоров, клиент считается извещенным об операциях, если он вошел в банковское приложение (лог показывает). Или банк докажет, что смс отсылал, и опсос подтвердит.
Яб советовал ТСу получить этот ответ на бумаге, пока не переобулись... И потом уже задавать вопросы, после которых переобуются наверняка....
Альфа-банк, вопрос к вам только один. Ваша цель - отписаться? снять с себя ответственность любыми правдами и неправдами?
Почему вы в аналогичных вопросах не пытаетесь пойти навстречу и помочь клиенту? - это бы гораздо сильнее подняло вас в глазах общественности. Вечно: "моя хата с краю" - это про вас.
А у вас можно отключить возможность оформления кредита, кредитных карт без личного посещения банка?
Можно написать нам в чат приложения или позвонить на горячую линию. Ребята отключат предложения по кредитам 👌
А саму возможность взять кредит без личного посещения банка отключить можно? Что помешает злоумышленнику без предложения оформить карту или кредит и вывести деньги? Сделав допустим дубликат моей сим карты в салоне связи?(допустим у него там работает сообщник)
Без предложения кредит можно только в офисе оформить. У нас максимальная защита от любых подозрительных действий с изменениями номеров, устройств или сотового оператора. Но от мошенников можно ожидать всё, что угодно. В случае сим-карт всё зависит и от сотовых операторов.
Мы можем помочь с отключением предложений. Тогда они формироваться не будут, и для оформления кредитных договоров нужно будет обращаться в офис. Напишите в личку ФИО и дату рождения, сделаем.
Вообще это реально злит, конечно.
Учитывая явно фиговую безопасность и кучу случаев типа описанного выше.
Я хочу дополнительно обезопасить себя и запретить оформлять кредит через приложение, а мне говорят, что такой возможности нет. Так сложно ее дать?
Убрать совсем такую возможность и правда не сможем, но можем отключить предложения, чтобы вы могли оформлять только в офисе
Не понял ответа.
Я спрашивал про "отключить возможность получить кредит через приложение". Вы отвечаете "убрать эту возможность не можем" (т.е. получить кредит через приложение по-прежнему можно?), но "оформлять только в офисе" (т.е. получить кредит через приложение нельзя, можно только в офисе?).
Так можно запретить получить кредит через приложение или нельзя? :)
Если есть предодобренное предложение и оно отображается в приложении, то его можно оформить дистанционно. Отключить дистанционное оформление нельзя.
Если предложений не будет, то и оформить ничего не получится. Поэтому говорим, что можем перестать формировать кредитные предложения.
Понятно
Т.е. проще сменить банк чтобы не волноваться, что кто-то дистанционно может получить кредит на мое имя, а потом мне придется доказывать, что это не я
Если отключить предложения — онлайн кредит не оформить. Напишите нам в личку ваше ФИО и дату рождения. Поможем с отключением, если актуально.
У меня предложения уже отключены через чат в приложении, спасибо. И предложения эти в свое время реально задрали, т.к.под балансом моего счета вдруг появлялся в таком же дизайне "Кредит на N млн" - я пару раз напрягся от неожиданности, т.к. никакого кредита не брал и даже про него не спрашивал.
Но сейчас посмотрел, при отключенных предложениях мне все еще доступно в приложении "Новый счет или продукт", "Взять кредит". Я не проходил до конца в этом пункте, но предполагаю, что он как раз позволяет взять кредит прямо через приложение.
Можете объяснить, в чем смысл для банка не давать заблокировать возможность получения кредита в приложении для тех, кто точно не хочет ей пользоваться? Чисто чтобы они не расслаблялись, понимая, что теоретически за них сможет взять кредит кто-то другой? Банку реально пофиг на запросы клиента в части доп безопасности?
Как поняли, вы говорите про первичную заявку. В приложении можно подать анкету, но для получения в любом случае нужно будет подойти в офис или встретиться с нашим сотрудником. Онлайн не получить деньги.
Тогда отлично
Запутал ваш предыдущий ответ "Убрать совсем такую возможность и правда не сможем"
Это реально позор до сих пор не делать двухфакторку.
Я даже подскажу как. В любом банке сделать попытку перевода по СБП в ваш банк по номеру телефона. Будет показан номер счёта.
Б — безопашливость.
Второй фактор которого нет
Полностью номер счёта получателя не должен быть указан, он либо зашифрован, либо отсутствует.
Это требование появилось, мягко, говоря недавно. Уверен все нужные базы были уже давно собраны.
Постоянно использовал эту фичу чтобы смотреть свой номер счёта в других банках (так как мне тупо было лень заходить в их ДБО).
Да и если даже показать последние цифры счёта получателя, то обычно схема нумерации стандартная и легко через перебор от имени клиента-дропа подбираются остальные.
Комментарий недоступен
Любопытной Варваре жопу на vc порвали.
Так что с любопытством поаккуратнее..
Комментарий недоступен
А это... разве вы перед отправкой SMS IMEI не запрашиваете? Хотя бы важных SMS. IMEI то точно новый.
Мы правда не отправляем письма на почту, когда кто-то заходит в приложение с нового телефона. У многих людей большой список входящих, и велик риск, что они просто не заметят ещё одно письмо. Другое дело — смски. Их замечают, причём почти сразу же.Берите пример с ВТБ(!) - у них есть опция чуть ли не на все операции отправлять и почту тоже. Именно как дополнительная опция. С предупреждением клиента что ВТБ не несет ответственности за разглашение финансовой информации поскольку не может контролировать кто эту почту читает в процессе пересылки. Насколько помню (могу ошибаться) - кроме случаев когда подразумевается что информация нужна вот прямо сейчас (3DSecure коды, подключение *Pay, 'безбумажная подпись' в отделении и т.п.). Вход с устройства - там есть.
Возможно я что то путаю но у вас я такой настройки не вижу. Максимум можно прописать почту. И все.
Здравствуйте!
Информация о смене сим-карты поступает от сотового оператора или от клиента. В этой ситуации мы не получили информацию о смене сим.
У банков есть разные услуги. Данные абсолютно обо всех операциях мы на почту не отправляем.
Записываем — Альфа-Банк не делает HLR запросы (даже если пользователь долго не входил в ИБ).
Молодцы, сэкономили ~73 копейки с НДС
Подсвечиваю во второй раз за этот пост "Б - безопашливость".
Если банк не делает HLR запросы, то и ложный перевыпуск по доверенности не заметит.
О смене сим карты нам должен сообщать сотовый оператор. Важно также, клиенту самостоятельно отслеживать эти моменты и сразу оповещать банки о замене номера или сим карты
Прямо все операторы кинулись сообщать всем 100+ банкам о перевыпуске каждой симки.
Был ли запрос это информации.
Если запрос был и оператор ответил неактуальной информацией это одна ситуация.
Если запрос был и ответил актуальной информацией, а банк интерпретировал её так, что замены не было, это другая ситуация.
А если банк не сделал ни одной попытки запросить статус симкарты, то это третья ситуация. Б - безопашливость.
Если оператор вам что-то не сообщил, то переводите стрелки на оператора, а не на клиента.
Выдайте пользователю в ответе что не проверили перевыпуск из-за действий оператора связи ИНН1
И снилось мне, что один известный банк сэкономил на HLR/IMSI запросах и вешает последствия на клиентов.
почему то Тинькофф блокирует доступ к ИБ банку когда меняется сим карта. Как то они об этом узнают.
меняется ответ на HLR /IMSI запрос — банк видит замену симки
Альфа просто забила болт.
После смены сим карты, смс блокируются оператором, а не банком.
Комментарий удален модератором
Как выглядит дно банк?)
Как альфа, которая признает, что выдала кредит мошенникам. Но рассказывает, что виноват в этом клиент 🤣