Если вы думаете, что выполнение всех требований безопасности спасет ваши деньги на счету Альфа-Банк, вы глубоко заблуждаетесь.
Привет, я Дима и это моя маленькая история взаимодействия с Альфа-Банком. По своей профессии я разработчик ПО, но имею опыт в информационной безопасности (ИБ). И такие простые вещи, как сложный пароль, двухфакторная аутентификация, установка только нужных и доверенных приложений, особый трепет в отношении паспортных данных и документов - для меня норма жизни. И каково же было мое удивление, когда я потерял доступ к своему мобильному банку ровно за 4 минуты.
“Наверное мошенники. Сейчас будут звонить и выманивать код”, - подумал я, и продолжил крутить педали. Но звонка не было.
Зато в 19.12 было уже второе смс-сообщения с другим кодом для входа.
Звонка снова нет, но я решил, что лишним не будет проверить свой личный кабинет. Вошел в мобильное приложение (официальное, установленное еще через Google Play) и увидел подозрительный новый счет, к которому привязана новая карта, но еще не активирована. К сожалению, скриншот экрана я не сделал.
Проверил сразу список устройств, привязанных к моему мобильному банку. Только одно, мой Samsung. Немного успокоился и решил написать в чат поддержки, что это за счет, откуда он появился.
Стоило только отправить сообщения в чат, как в 19.15 мобильное приложение закрывается и я вижу надпись на весь экран, что мобильное приложение на этом устройстве заблокировано в целях безопасности. И наконец следом приходит сообщение, что номер телефона для входа был изменен.
Пока я набирал номер горячий линии, в 19.16 приходит смс-сообщение, что был произведен вход в мой мобильный банк.
Все, 4 минуты от первого смс-сообщения с кодом для входа, до последнего, что в мобильный банк получен доступ.
Конечно же я сразу начал звонить на горячую линию, чтобы заблокировать все счета, пока моя зарплата не стала чьим-то вознаграждением. Быстро заблокировал мобильное приложение, закрыл все карты (их номера теперь есть у злоумышленников) и вместе с оператором составил обращение в поддержку банка, чтобы разъяснили мне, как такое могло произойти. Ответ должен поступить через сутки.
Сразу оговорюсь, что:
Вторую версию мы убираем, т.к. я стоял в поле, где на ближайший километр от меня только трава, да сено.
А вот третья версия, выглядит правдоподобно.
Получается я сам, где-то в полях и написал заявление на смену номера. Ну точно, я совсем про это забыл и решил заблокировать все счета. Снова звоним на горячую линию, пересказываем все ситуацию и просим уточнить, на основании какого заявления была смена номера.
Состоялся следующий диалог:
14.06 получаем ответ, что 12.06 была получена карта, и заодно изменен номер. Отлично получается, теперь карту производят, доставляют и выпускают в отделении не за 7 дней, даже не за 1 день, а за 4 минуты. Удобно.
Нервы на пределе, звоним еще раз на горячую линию, в очередной раз пересказываем всю историю и просим уточнить, как можно сменить номер при помощи карты. А очень просто, если у вас есть ПЛАСТИКОВАЯ (не виртуальная, это важно) карта, то через банкомат можно изменить номер телефона.
Получается, злоумышленник сначала выпустил карту на мое имя, затем получил ее в отделении банка, вставил в банкомат и изменил номер телефона. И все это за 4 минуты.
Просим оператора подсказать, где была выдана карта и на основании чего. Оператор долго проверяет все возможные заявки в системе Альфа-Банка, и говорит, что не может найти заявление на выпуск новой карты. Магическим образом она сама себя выпустила. В Екатеринбурге. До Екатеринбурга мне по прямой порядка 4000 км, не думаю, что я имел такую возможность.
Снова составляем обращение, чтобы выяснить, кто, кому и когда выдал эту карту, копию заявления и вообще все данные, потому что уже пора идти в полицию.
И теперь ждем полный и развернутый ответ. Как обычно - сутки.
Параллельно, нужно что-то решать с перевыпуском карты, восстановлением доступа и выводом средств. Еду в отделение банка, пишу заявление на разблокировку мобильного банка и снова жду. В течение суток должны разблокировать
14.06, спустя сутки после заявления, пытаюсь зайти в мобильный банк, но никак не получаю смс-сообщение с кодом. Снова звоню на горячую линию и узнаю, что оказывается к моему личному кабинету все еще привязан второй номер телефона, и именно он в данный момент получает смс-сообщения. Прошу заблокировать доступ к мобильному банку и срочно еду в отделение (на другой конец города). Где оператор говорит, что никакого второго номера нет, привязан только мой, и все должно работать.
В течение 30 минут мы пытаемся войти в личный кабинет, но у нас не получается. То код не придет, то придет, но приложение не входит, из-за неизвестной ошибки, то вроде бы входит, но потом снова не приходит код. Наконец, доступ к мобильному банку получен, проверяем список привязанных устройств, и видим, что к нам все еще подключен IPhone.
Отвязываем, снимаем все деньги, теряем проценты по вкладам и счетам, платим комиссию за перевод. Все ради того, чтобы хоть как-то спасти свои деньги.
Произошла чудовищная ошибка, нам жаль. Все.
Какие данные они скорректировали я так и не понял. Все, что нужно было исправить я уже сам съездил и исправил.
Ни попыток связаться со мной и объяснить, что же все таки произошло, ни дать внятный комментарий по ситуации, ни предложения как-то компенсировать понесенный ущерб, ничего.
Альфа-Банк, вам правда жаль? Или это просто стандартная отписка?
Привет, я Дима и это моя маленькая история взаимодействия с Альфа-Банком. По своей профессии я разработчик ПО, но имею опыт в информационной безопасности (ИБ). И такие простые вещи, как сложный пароль, двухфакторная аутентификация, установка только нужных и доверенных приложений, особый трепет в отношении паспортных данных и документов - для меня норма жизни. И каково же было мое удивление, когда я потерял доступ к своему мобильному банку ровно за 4 минуты.
Акт 1. Начало
12.06 я решил устроить велопрогулку по окрестностям моего города, когда в 19.11 (время здесь решающий фактор) я получаю смс с кодом для входа в Альфа-Мобайл.“Наверное мошенники. Сейчас будут звонить и выманивать код”, - подумал я, и продолжил крутить педали. Но звонка не было.
Зато в 19.12 было уже второе смс-сообщения с другим кодом для входа.
Звонка снова нет, но я решил, что лишним не будет проверить свой личный кабинет. Вошел в мобильное приложение (официальное, установленное еще через Google Play) и увидел подозрительный новый счет, к которому привязана новая карта, но еще не активирована. К сожалению, скриншот экрана я не сделал.
Проверил сразу список устройств, привязанных к моему мобильному банку. Только одно, мой Samsung. Немного успокоился и решил написать в чат поддержки, что это за счет, откуда он появился.
Стоило только отправить сообщения в чат, как в 19.15 мобильное приложение закрывается и я вижу надпись на весь экран, что мобильное приложение на этом устройстве заблокировано в целях безопасности. И наконец следом приходит сообщение, что номер телефона для входа был изменен.
Пока я набирал номер горячий линии, в 19.16 приходит смс-сообщение, что был произведен вход в мой мобильный банк.
Все, 4 минуты от первого смс-сообщения с кодом для входа, до последнего, что в мобильный банк получен доступ.
Акт 2. От страха к действиям
Чем же грозит вам, если посторонний человек попадет в ваш личный кабинет банка, да еще и номер свой привяжет?- Доступ к информации о всех ваших счетах и картах банка
- Истории ваших покупок, переводов, платежей
- Паспорт, СНИЛС, ИНН, адрес проживания
- Возможность перевести деньги куда угодно
- Возможность взять кредит и вывести деньги на любой счет
Конечно же я сразу начал звонить на горячую линию, чтобы заблокировать все счета, пока моя зарплата не стала чьим-то вознаграждением. Быстро заблокировал мобильное приложение, закрыл все карты (их номера теперь есть у злоумышленников) и вместе с оператором составил обращение в поддержку банка, чтобы разъяснили мне, как такое могло произойти. Ответ должен поступить через сутки.
Сразу оговорюсь, что:
- Паспорт, другие документы и карты я ни разу в жизни не терял
- Третьим лицам не передавал
- К разным сервисам для оплаты привязана ВИРТУАЛЬНАЯ карта с отдельным счетом и ограничем на вывод средств
- Доступ в банк осуществляется с одного номера и с одного устройства
- Его я тоже не терял
- Вредоносных программ не обнаружено
- Код из смс я никому не сообщал
- Перевыпуск сим-карты и получение смс-кодов
- Перехват сотового сигнала
- Внутренняя диверсия Альфа-Банка
Вторую версию мы убираем, т.к. я стоял в поле, где на ближайший километр от меня только трава, да сено.
А вот третья версия, выглядит правдоподобно.
Акт 3. Поиск виновных
На следующий день (13.06) под конец отведенного времени на ответ, мне приходит смс-сообщениеПолучается я сам, где-то в полях и написал заявление на смену номера. Ну точно, я совсем про это забыл и решил заблокировать все счета. Снова звоним на горячую линию, пересказываем все ситуацию и просим уточнить, на основании какого заявления была смена номера.
Состоялся следующий диалог:
- Я: Подскажите на основании какого заявления была смена номера?
- О: Хорошо. Пару минут я проверю информацию
- О: Не могу найти заявление, нужно еще 10 минут
- О: Проверил последние заявления, его нет. Сейчас проверю архивные за год. Нужно еще 10 минут
- О: Не могу найти заявление на смену номера
14.06 получаем ответ, что 12.06 была получена карта, и заодно изменен номер. Отлично получается, теперь карту производят, доставляют и выпускают в отделении не за 7 дней, даже не за 1 день, а за 4 минуты. Удобно.
Нервы на пределе, звоним еще раз на горячую линию, в очередной раз пересказываем всю историю и просим уточнить, как можно сменить номер при помощи карты. А очень просто, если у вас есть ПЛАСТИКОВАЯ (не виртуальная, это важно) карта, то через банкомат можно изменить номер телефона.
Получается, злоумышленник сначала выпустил карту на мое имя, затем получил ее в отделении банка, вставил в банкомат и изменил номер телефона. И все это за 4 минуты.
Просим оператора подсказать, где была выдана карта и на основании чего. Оператор долго проверяет все возможные заявки в системе Альфа-Банка, и говорит, что не может найти заявление на выпуск новой карты. Магическим образом она сама себя выпустила. В Екатеринбурге. До Екатеринбурга мне по прямой порядка 4000 км, не думаю, что я имел такую возможность.
Снова составляем обращение, чтобы выяснить, кто, кому и когда выдал эту карту, копию заявления и вообще все данные, потому что уже пора идти в полицию.
И теперь ждем полный и развернутый ответ. Как обычно - сутки.
Акт 4. Ожидание
Но ни через сутки, ни через неделю ответа нет. Решаю, что нет смысла мешать людям, если уж в этот раз ИБ Альфа-Банка решила действительно разобраться в ситуации.Параллельно, нужно что-то решать с перевыпуском карты, восстановлением доступа и выводом средств. Еду в отделение банка, пишу заявление на разблокировку мобильного банка и снова жду. В течение суток должны разблокировать
14.06, спустя сутки после заявления, пытаюсь зайти в мобильный банк, но никак не получаю смс-сообщение с кодом. Снова звоню на горячую линию и узнаю, что оказывается к моему личному кабинету все еще привязан второй номер телефона, и именно он в данный момент получает смс-сообщения. Прошу заблокировать доступ к мобильному банку и срочно еду в отделение (на другой конец города). Где оператор говорит, что никакого второго номера нет, привязан только мой, и все должно работать.
В течение 30 минут мы пытаемся войти в личный кабинет, но у нас не получается. То код не придет, то придет, но приложение не входит, из-за неизвестной ошибки, то вроде бы входит, но потом снова не приходит код. Наконец, доступ к мобильному банку получен, проверяем список привязанных устройств, и видим, что к нам все еще подключен IPhone.
Отвязываем, снимаем все деньги, теряем проценты по вкладам и счетам, платим комиссию за перевод. Все ради того, чтобы хоть как-то спасти свои деньги.
Акт 5. Почти развязка
После неоднократных попыток узнать, когда же будет решение моего вопроса, спустя месяц, 16.07 мы получаем вот такой ответ:Произошла чудовищная ошибка, нам жаль. Все.
Какие данные они скорректировали я так и не понял. Все, что нужно было исправить я уже сам съездил и исправил.
Ни попыток связаться со мной и объяснить, что же все таки произошло, ни дать внятный комментарий по ситуации, ни предложения как-то компенсировать понесенный ущерб, ничего.
Альфа-Банк, вам правда жаль? Или это просто стандартная отписка?
