«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Всем привет, хочу поделиться историей о том, как легко можно обнаружить себя должником Альфа-Банка без звонков из «службы безопасности», утери документов или компрометации карт. Для этого достаточно иметь неиспользуемый счет и хорошую кредитную историю.
Суть истории в следующем: Некто получил сим-карту с номером телефона, привязанному к моему счету в Альфа-Банке, и смог беспрепятственно войти в мой личный кабинет через мобильное приложение. А затем этот человек оформил кредит на 1,6 млн рублей в пару кликов, а также вывел 200 тысяч рублей с кредитной карты. Альфа-Банк отказывается признавать проблемы в своей системе безопасности и аннулировать мошеннический кредит.
История в деталях. Примерно 3,5 года назад по работе я переехал в Нидерланды и затем в Великобританию. После начала ограничений из-за ковида, я некоторое время не приезжал в Россию и не пользовался своей российской сим-картой. После чего я узнал, что она более не активна и Теле2 расторг контракт. После обращения к оператору связи восстановить сим-карту не удалось.
В Альфа-Банке до переезда у меня был зарплатный счет и кредитная карта с лимитом 200 тысяч рублей. В течение последних лет никаких средств на счетах не хранилось и операций не совершалось.
Примечательно, что в 2019 году я обращался в отделение банка и мне сообщили, что не могут изменить номер телефона на иностранный. Также ни при одном из обращений в Альфа-Банк для смены номера телефона мне не советовали заблокировать интернет банк для сохранности счетов.
Никаких подозрительных звонков с просьбами сообщить личную информацию мне не поступало и номер карты нигде не мог «засветиться», т.к она ни разу не использовалась и хранилась дома. Документы также не терялись. Никаких попыток взятия кредитов в других банках, кроме Альфа-Банка, не обнаружено.
В середине января 2022 года мне на электронную почту пришло уведомление об имеющейся просрочке по кредиту. Я позвонил в банк и обнаружил, что в сентябре 2021 года на меня был оформлен кредит на сумму 1,6 млн рублей. Деньги несколько месяцев пролежали на счете, а затем их вывели. А заодно и все деньги с кредитной карты.
Альфа-Банк выдал кредит и провел все операции по переводам без какой-либо дополнительной идентификации клиента, всего лишь по коду из смс. Да, речь идет не о 30 или 100 тысячах, а о кредите и переводах почти 2х миллионов рублей всего лишь по смс.
Мне не понятно, каким образом такое могло произойти в крупном известном банке. И как Альфа-Банк производит идентификацию своих клиентов и одобрение кредитных договоров на значительные суммы.
Есть ряд проблем в системе безопасности Альфа-Банка, которые позволили случиться данному происшествию:
- Альфа-Банк не проводит качественную дополнительную идентификацию при физической смене сим-карты. Даже с учетом того, что кто-то заполучил мой номер после разрыва контракта Теле2, была выпущена физически новая сим-карта. У банка должна быть информация об этом, например, когда несколько лет назад я лично менял сим-карту на новый формат для своего телефона, банк заблокировал вход в интернет-кабинет и направил в отделение или банкомат для дополнительной идентификации, чтобы восстановить доступ в личный кабинет. Соответственно, в этот раз должна была быть подобная процедура и кто-то должен был разрешить вход в мобильный банк для новой сим-карты.
- Альфа-Банк не информирует клиентов по электронной почту о входе в аккаунт с нового устройства. Простая функция, которая сейчас присутствует в большинстве современных приложений (почта, соцсети и тд). Также не было никакого информирования на почту о выдаче кредита. Письмо я получил уже только по факту наличия просрочки.
- Альфа-Банк не учитывает отсутствие активности по счету. На моем счете не было никаких поступлений и переводов в течение нескольких лет. Каким образом банк посчитал, что можно одобрить кредит без какой-либо проверки личности, подписи, кодового слова или звонка из банка?
- В Альфа-Банке до сих пор проблемы со сменой номера телефона и указанием иностранной сим-карты. При обращении в отделение банка в 2019г. мне сообщили, что не могут привязать иностранный номер. Также при составлении обращения в банк по факту мошенничества в 2022г., мне не смогли указать в претензии мой текущий английский телефон. И в дополнение, во время звонка, мне не смогли изменить привязанный к счету номер даже на другой российский, так как у меня нет активных операций по карте. Парадокс, номер изменить нельзя, а в чужое приложение зайти без проблем.
После моего обращения в банк, я считаю, что не было произведено должного расследования и информирования о деталях получения доступа в мой аккаунт. Вместо этого пришел типовой ответ о том, что никаких мошеннических действий не выявлено и все операции подтверждались мной лично посредством ввода кода из смс. Если считаете, что в отношении Вас были осуществлены мошеннические действия, обращайтесь в полицию.
Этим я сейчас и занимаюсь. А также общаюсь с юристами и готовлюсь к судебному разбирательству. Долгое сотрудничество с банком обернулось невероятным разочарованием.
В итоге получается, что Альфа-Банк выдает кредиты на миллионные суммы без серьезной авторизации. Доступ в приложение возможно получить, всего лишь заполучив сим-карту. А служба безопасности отвечает на обращения стандартными сообщениями, вместо детального разбора происшествия и предоставления деталей входа в личный кабинет.
По возможности блокируйте все действующие счета, которыми активно не пользуетесь.
Дмитрий, мы всё изучили и хотим прокомментировать ситуацию. Пост привлёк большое внимание, поэтому нам было важно не просто ответить, а объективно её оценить. Мы проверили когда и с какого телефона кто-то заходил в приложение; менялась ли симка; какие карты или кредиты пытались оформлять в приложении.
Боимся, что результат вас не устроит, но мы не нашли ничего подозрительного. Если сим-карту получил другой человек, то оператор не отметил её перевыпуск, и это прошло мимо банков и прочих компаний, которые тщательно относятся к безопасности. У нас не было заявлений, что номер больше вам не принадлежит, но есть документ, в котором вы подтверждаете его актуальность. Поэтому мы всё это время считали, что он по-прежнему ваш. Иначе сразу бы отреагировали и удалили его из анкеты.
Кроме того, одного номера недостаточно. Чтобы войти в приложение, нужно ещё ввести номер карты или счёта. Вероятно, что мошенники их подсмотрели, иначе они бы не смогли пройти дальше стартового экрана. В остальном они вели себя аккуратно, словно это был сам клиент.
Мы правда не отправляем письма на почту, когда кто-то заходит в приложение с нового телефона. У многих людей большой список входящих, и велик риск, что они просто не заметят ещё одно письмо. Другое дело — смски. Их замечают, причём почти сразу же.
Тем не менее мы не игнорируем переписку по почте. Например, присылаем письмо не только когда возникла задолженность, но и когда оформлен кредит. Вы говорили, что тогда ничего не пришло, однако боимся, что точно его отправляли. Это весьма важный момент, поэтому перепроверили. Возможно, фильтры посчитали его спамом.
Что же касается иностранного номера, то зарубежные операторы не всегда успешно доставляют смски от российских компаний и банков. Поэтому мы, прежде всего, ориентируемся на российских и советуем использовать местные номера.
Понимаем, что горько слышать такие новости, но есть только один вариант — это полиция. Будем рады помогать следствию, а параллельно вернём комиссию за страховку
А это... разве вы перед отправкой SMS IMEI не запрашиваете? Хотя бы важных SMS. IMEI то точно новый.
Мы правда не отправляем письма на почту, когда кто-то заходит в приложение с нового телефона. У многих людей большой список входящих, и велик риск, что они просто не заметят ещё одно письмо. Другое дело — смски. Их замечают, причём почти сразу же.Берите пример с ВТБ(!) - у них есть опция чуть ли не на все операции отправлять и почту тоже. Именно как дополнительная опция. С предупреждением клиента что ВТБ не несет ответственности за разглашение финансовой информации поскольку не может контролировать кто эту почту читает в процессе пересылки. Насколько помню (могу ошибаться) - кроме случаев когда подразумевается что информация нужна вот прямо сейчас (3DSecure коды, подключение *Pay, 'безбумажная подпись' в отделении и т.п.). Вход с устройства - там есть.
Возможно я что то путаю но у вас я такой настройки не вижу. Максимум можно прописать почту. И все.
Здравствуйте!
Информация о смене сим-карты поступает от сотового оператора или от клиента. В этой ситуации мы не получили информацию о смене сим.
У банков есть разные услуги. Данные абсолютно обо всех операциях мы на почту не отправляем.
Записываем — Альфа-Банк не делает HLR запросы (даже если пользователь долго не входил в ИБ).
Молодцы, сэкономили ~73 копейки с НДС
Подсвечиваю во второй раз за этот пост "Б - безопашливость".
Если банк не делает HLR запросы, то и ложный перевыпуск по доверенности не заметит.
О смене сим карты нам должен сообщать сотовый оператор. Важно также, клиенту самостоятельно отслеживать эти моменты и сразу оповещать банки о замене номера или сим карты
Прямо все операторы кинулись сообщать всем 100+ банкам о перевыпуске каждой симки.
Был ли запрос это информации.
Если запрос был и оператор ответил неактуальной информацией это одна ситуация.
Если запрос был и ответил актуальной информацией, а банк интерпретировал её так, что замены не было, это другая ситуация.
А если банк не сделал ни одной попытки запросить статус симкарты, то это третья ситуация. Б - безопашливость.
Если оператор вам что-то не сообщил, то переводите стрелки на оператора, а не на клиента.
Выдайте пользователю в ответе что не проверили перевыпуск из-за действий оператора связи ИНН1
И снилось мне, что один известный банк сэкономил на HLR/IMSI запросах и вешает последствия на клиентов.