Адрес для входа в РФ: exler.world
Очередная банковская страшилка
Запостили тут в FB ссылку на очередную историю из серии "Мошенники украли все деньги, а Альфа-банк, редиска, деньи не возвращает". Ну и все комментируют из серии "Ай, Альфа-банк какой негодяйский".
Ну, думаю, почитаю. Наверняка там история из серии "Продавала что-то на Авито, какая-то дама предложила переслать деньги на карту, потом мне позвонили из банка и сказали, что сумму без проверки зачислить не могут..." в результате чего девушка мошенникам сама сообщает логин-пароль, кодовое слово и еще сообщает код из SMS, чтобы мошенники могли войти в личный кабинет и сделать свои темные дела. Там еще обычно фигурирует симка с таким же номером телефона (что уже звучит странно, потому что Альфа обнаруживает новую симкарту со старым номером и блокирует ее - я на это налетал, там потом надо доказывать, что ты не верблюд, и это правильно).
Читаю.
Вечером (7 июля) я разместила на Avito.ru объявление о продаже куртки. Через 15 минут мне позвонила неизвестная девушка и сказала, что готова забрать куртку, выслав за ней такси, а деньги перечислить на карту, если меня это устроит. Она спросила адрес, по которому отправить машину. В этот момент я находилась дома и назвала домашний адрес, а потом сказала, что деньги мне будет удобно получить на карту Сбербанка. На что девушка спросила, нет ли у меня (ВНИМАНИЕ) карты Альфа-Банка. Я ответила, что есть и в принципе можно отправить на неё. Девушка спросила номер карты. Я продиктовала. Далее она начала задавать разные вопросы по куртке (где покупали, все ли в порядке с молниями), а в промежутках между вопросами уточнила, на меня ли зарегистрирована карта и спросила, есть ли у меня "Альфа-Клик". Я ответила, да. Девушка сказала, что деньги выслала, что сейчас вот-вот они должны прийти, и продолжила задавать разные вопросы.
И тут мне на телефон приходит смс. Краем глаза по выпадающему окну я замечаю, что это не сообщение о поступление денег, а информация о входе куда-то... Я попросила девушку подождать и открыла смс, чтобы посмотреть, что это такое.
Открыв сообщение, я увидела, что это сообщение о входе в "Альфа-Клик"... В этот момент девушка начала говорить в трубку, что у неё что-то оборвалось, что платёж не прошёл, начала суетиться и задавать вопросы, мол, что вам там пришло, что там пишут в смс, потом вдруг сказала, что перезвонит, после чего звонок оборвался...
Я тут же почувствовала неладное и пошла в приложение "Альфа-Клик". Открыв его, введя свой пароль, я увидела, что на двух моих кредитных картах баланс равен нулю, а на третьей карте (которой я не пользовалась около двух лет, так как лично блокировала её с паспортом через отделение Альфа-Банка) отсылалось только 300 евро из 900... и в этот момент мне начали на телефон сыпаться смс о подтверждении каких-то переводов без указания карт и счетов и одна смс о подключении к "Альфа-Чек"... при этом ни одной смски о списании денег, как это обычно бывает, у меня не было! Только информация о подтверждении каких-то переводов, которые я лично никаким образом не подтверждала и на которые я не давала никакого согласия.
Ну и дальше идет душещипательная история о том, что "Альфа" никаких денег возвращать не собирается, потому что транзакции шли через 3DSecure (а в таких случаях и не возвращаются, разумеется), ну и там шла какая-то чехарда с сотрудниками "Альфы", которые явно косячили с блокировкой счетов, приемом заявлений и так далее. Но это уже дело десятое.
А вот что меня в данной истории интересует - это то, что именно обокраденная дама (я ей искренне сочувствую) тут недоговаривает или утаивает. Потому что не бывает такого: сообщила всего-то номер карты, а у нее взяли и увели все деньги. Как это?
Для входа в "Альфа-клик" требуется логин и пароль. Логин - набор цифр (видимо, ID клиента), пароль - какой установите. Любые транзакции подтверждаются кодом SMS на указанный в системе номер телефона и просто так поменять вы его не можете - нужен визит в банк, насколько я помню. На два номера, опять-таки, насколько я помню, уведомления не высылаются, только на основной.
Каким образом злоумышленники узнали ее логин-пароль, если она их не сообщала, каким образом они вообще вошли в систему, каким образом смогли сделать транзакции, если она им никакие коды с телефона не сообщала? Все это выглядит очень и очень странно.
Единственный косяк который у меня был с альфой - это украденные 100 долларов с кредитки.
Сижу в баре в Тюмени году так в 10м - никого не трогаю, пью пиво - и мне приходит смс - что с кредитки оплачено что-то там в Дублине (как потом оказалось - интернет казино).
Видимо официант какой срисовал карту при оплате 😄 а смс подтверждения не надо было....
Я тут же карту заблокировал и на след день написал претензию.
Писал потом еще 2. Через полгода мне вернули деньги по курсу на день возврата (карта рублевая)
Проценты и разницу курсов конечно никто не возмещал 😄
А по сабжу - тетка гонит. Без смс паролей ниче бы не прошло - она их явно слила.
В альфе и сбере работает перевод на карту по номеру телефона, я как раз этим способом и пользуюсь для получения денег. Снять деньги или войти в личный кабинет, зная только номер, не получится.
Сценарий такой же, поменяли пароль доступа к приложению, потом переводы с кары на карту, потом попытка пополнить чужой телефонный номер.
Но есть и отличия. В ответе банка есть буквально следующая фраза: "Дополнительно отметим, что в процессе разговора с сотрудником службы мониторинга банка, Вы подтвердили, что сообщали мошенникам пароли из смс-сообщений".
Вот такие вот дыры у Альфа-банка
А что мешало наличные на том же такси привезти?
У тетки ничего не ёкнуло?
Я искренне не понимаю тех, кто использует карты, "где деньги лежат", для расчетов.
Есть же виртуальные, есть физ. спецом заведенные для расчетов. И нет там денег, кроме тех, что вы заплатите в течение минуты. Или тех, что переведете себе на основной счет. В течение минуты.
Повторюсь.
Я искренне не понимаю тех, кто использует карты, "где деньги лежат", для расчетов.
Есть же виртуальные, есть физ. спецом заведенные для расчетов. И нет там денег, кроме тех, что вы заплатите в течение минуты. Или тех, что переведете себе на основной счет. В течение минуты.
Согласен, у меня тоже есть отдельная карта для расчетов. Но для реальной безопасности карта еще и должна быть в другом банке, потому что как в этом случае - получив доступ к интернет-банку, мошенник получает доступ ко всем картам, счетам и прочему.
У меня на карте обычно лежит маленький остаток (для расчетов в магазинах). И если что по тырнету плаачу - закидываю туда денег (если больше этого остатка). И да - понимаю что рискую этой суммой, но не критично. В то время как каждый платеж активировать виртуалку просто утомило )
Ее для того на телефоне еще и держали, чтобы неудобно было смски внимательно читать.
Автор жалобы уже была когда-то клиентом Альфа-Банка (может зарплатный проект, может случайное промо), потом какое-то время не пользовалась, и потом открыла счет как будто заново. У меня была подобная ситуация - я потом только с пятого раза смог обновить персональные данные: адрес, мобильник. Вот прямо как она описывает - звонил, писал заявления, приходил, снова звонил, снова писал заявления.
Соответственно, эти 10 лет назад номер телефона у нее был тоже другой (меняем банки, меняем телефоны)
Люди (пока не называю мошенниками, потому что в сценарии ниже соблазн мог прийти и к честным людям) покупают новую (или "новую") сим-карту с номером телефона, который принадлежал раньше автору жалобы. Достаточно посмотреть в вацап - у достаточного некоторого количества номеров телефонов в адресной книги уже явно совершенно другие владельцы. Почему не сделали раньше я не знаю. Долго номер был заморожен, были другие владельцы, которые просто игнорировали и т.д. - это всего лишь один из вариантов.
На эту сим-карту начинают приходить смски от мобильного банка с подтверждениями платежей или каких-то действий, и не обязательно в Альфа-Банке. У меня так на одном мегафоновском номере была вся история жизни предыдущего владельца - все его скидочные карты (включая и уведомления о входе в онлайн кабинет), напоминания магазинов и т.д. Я сим-карту сразу же закрыл, потому что жил парень в явном технологическом аду.
Люди быстренько ищут в интернете и находят какое-нибудь объявление (уже выше говорили про куртку - автор жалобы явно азартная продавщица ненужного) со старым номером, а потом по личным данным старого объявления находят свежее новое
Соответственно, у них есть контакты человека, банк они знают, возможно даже уже попробовали и смогли войти в онлайн-банк с мобильного устройства (недавно всплывала уязвимость в мобильных приложениях ВК и мэйл.ру - может что-то подобное есть). Но в интернет-банке не видно номер карточки, но видно ФИО держателя, срок действия, так что предлог узнать номер карточки для перевода денег - вполне себе предлог. Не видно CVV-код, но он и не всегда обязателен.
При этом, в целом, ситуация с безопасностью в Альфа-Банке не особенно хорошая. Например, если закрыть вкладку, а потом просто восстановить ее - то авторизация не теряется. Совершенно не сложно обеспечить потерю сессии в этой ситуации. Потому что разные ситуации бывают, но даже маленькая дырка все равно дырка. Смски приходят с кодом в самом начале, т.е. на всех телефонах с уведомлениями код подтверждения можно увидеть (да, есть телефоны, позволяющие увидеть все сообщение, но опять же - определенный процент безопасности помещение кода в конец сообщения добавило бы). Ну и у них длинный список других проблем, не говоря уже о том, что наличие кодового слова - это тупой анахронизм, который нормальные банки уже давно поменяли на телефонный идентификатор, позволяющий безопасно авторизоваться даже в публичном месте.
Ну и нельзя не процитировать абзац из википедии про 3-D Secure:
In some cases, 3-D Secure ends up providing little security to the cardholder, and can act as a device to pass liability for fraudulent transactions from the bank or retailer to the cardholder. Legal conditions applied to the 3-D Secure service are sometimes worded in a way that makes it difficult for the cardholder to escape liability from fraudulent "cardholder not present" transactions.
Если как вы описываете - то не нужен им ФИО владельца и прочее... Если только номер карты чтобы удостовериться что это она.... Хотя если опять же - как описываете - то все уже давно сыпится на их номер...
В общем как то пользуясь в вашем сценарии множество дырок с практической точки зрения....
Не теряется. Но через пару минут простоя отключается. В чем небезопасность - искренне не понял. Переживаете что чуой комп - жмкните кнопочку выйти....
Dyadka4: Смски приходят с кодом в самом начале
И это правильно. Ибо листать простыни от сбера на часах это еще тот фейспалм (якорь разработчикам сбера в опу).
Dyadka4: т.е. на всех телефонах с уведомлениями код подтверждения можно увидеть
Ага... Фантастический сценарий - кто то украл ваш логин/пароль, наколотил перевод, а сообщник мошенника бегает заглядывая вам через плечо в поисках завтного кода... Простите, это не такие как вы вводя все эти степени безумия из серии бредовости по увеличению сложности пароля (да еще в нафик не нужных сервисах)?....
Dyadka4: Ну и у них длинный список других проблем, не говоря уже о том, что наличие кодового слова - это тупой анахронизм
Работает. И прекрасно работает. И кодовое слово это простая замена называния всех паспортных данных оператору сбера (иже с ним) когда хотят удостовериться что на том конце провода именно вы...
Dyadka4: который нормальные банки уже давно поменяли на телефонный идентификатор, позволяющий безопасно авторизоваться даже в публичном месте.
Кажется вы попутали соверщение действий с разовым оьращением в тех поддержку. Скажу даже больше - у всех операторов мобильноый связи насколько в курсе нынче есть такое же кодовое слово при обращении в ТП (хотя прозворниться туда становится все сложнее)
в протоколе обмена смсками есть давняя уязвимость SS7. Возможно во врем яразговора шел перехват смсок...
"немецкие спецслужбы взламывали аккаунты террористов в Телеграмме путём перехвата SMS с кодами."
"злодеи в Германии наконец-то воспользовались этими уязвимостями для практических целей — перехватив SMS с разовым паролем от банка, они смогли провести транзакции по выводу денег с банковского счета жертвы. Так что двухфакторной авторизации в виде кода по SMS лучше все-таки не доверять "
"если сходить через Тор на сайт *****, там за 500 долларов в месяц можно подписаться на сервис, который, используя уязвимости в SS7 (Signaling System 7, международный телекоммуникационный стандарт для обмена информацией между телефонными сетями), позволяет получить доступ к звонкам и сообщениям абонентов телефонной связи. Не очень понятно, как там с ограничениями по географическим регионам, плюс на сайт довольно много жалоб, что даже после оплаты они игнорируют клиентов, но в целом это хорошее очередное доказательство того, что а) жить страшно, и б) лучше не доверять двухфакторным авторизациям по SMS
Такие изощрения из-за 150 тысяч рублей? И подбор "клиентов" на Авито?
Все проще, по-моему.
Кстати, номер карты она сама им сказала, для перевода. Логин -- это номер телефона
По ссылке, из пояснений банка, примерно понятно, что она сообщила. И, похоже, это не CVV/CVC код
Как узнал?
Ойфон у "пострадавшей"
видимо, они не улавливают аналогии -))
Не только.
"Если вам необходимо изменить номер мобильного телефона, указанный в «Альфа-Клике», вы можете обратиться в отделение Банка.
Также вы можете изменить номер телефона в одном из банкоматов Банка через меню «Прочие операции»."
Не только.
"Если вам необходимо изменить номер мобильного телефона, указанный в «Альфа-Клике», вы можете обратиться в отделение Банка.
Также вы можете изменить номер телефона в одном из банкоматов Банка через меню «Прочие операции»."
Но вам тогда карта физически нужна.
Вот сколько можно повторять эту ерунду?
1. В России есть закон о Национальной Платёжной Системе. По которому все не инициированные тобой транзакции подлежать возврату. Надо только в банк в течении суток про это заявить.
2. У Visa и MasterCard есть свои правила (кстати, легко находятся в свободном доступе, 2-я ссылка в Гугле, потому что см. п. 1). См. страницу 61. Там ничего нет про это.
3. Есть 2 типа авторизационных сообщений:
- single message system (SMS);
- dual message system (DMS).
В первом случае деньги СРАЗУ списываются со счёта (операции Card-to-Card, операции в банкомате).
Во втором случае деньги списывают только после специального сообщения ("закрытие финансового дня").
Очевидно, что во втором случае можно отменить операцию практически бесполезненно (если после операции ещё не пришло закрытие финансового дня). Например, закрытие финансового дня в интернет-магазинах может проводится 1 раз в неделю.
4. Есть т.н. "chargeback". Когда можно отменить ЛЮБУЮ операцию в очень длительный срок (45 дней? 90 дней? вот не скажу точно, не помню) после её совершения.
А там, по ссылке и клиент ерунду пишет, и банк ерунду пишет. Какое-то нагромождение ерунды.
Это вам не надо повторять эту ерунду. Если был вход с вашими данными в Альфа-клик и было подтверждение через 3DSecue (код из SMS) - это и есть инициированная вами транзакция, даже если ее провел кто-то другой.
Когда у вас налик с вашей карты снимут в банкомате по вашему пину, думаете банк вам вернет деньги? Ан хрен там. И правильно сделает.
Вы говорите об операциях, под которые деньги были заблокированы, но физически из банка не ушли - различные платежи за аренду машин и так далее. При переводе со счета на счет деньги физически уходят, насколько я знаю.
транзакции шли через 3DSecure (а в таких случаях и не возвращаются, разумеется)
Вот сколько можно повторять эту ерунду?
1. В России есть закон о Национальной Платёжной Системе. По которому все не инициированные тобой транзакции подлежать возврату. Надо только в банк в течении суток про это заявить.
2. У Visa и MasterCard есть свои правила (кстати, легко находятся в свободном доступе, 2-я ссылка в Гугле, потому что см. п. 1). См. страницу 61. Там ничего нет про это.
транзакции из всяких там онлайнклинбанков считаются подтвержденными. как если бы человек зашел в банк с пачкой платежеке и заявлений о переводе.
Это как? Заплатил кому-то за товар, получил его и потом сделал "chargeback", получив обратно деньги. Вы вот это вот сейчас серьезно?
Да, при оплате в Инете, приходит код по СМС, который надо ввезти, но есть куча сервисов, которые такого подтверждения не требуют, тот же Убер и Яндекс.Такси.
Хотя может и в остальных банках так.
У меня карта VTB24, недавно через неё оплатил один телевизионный сервис, код по СМС не пришёл, но деньги с карты ушли, получается, что мошенникам даже не надо входить в личный кабинет, достаточно знать номер карты и CVC-код.
Насколько я понимаю, чисто технически возможно иметь две симкарты с одним номером. Какие-то операторы это позволяют - я в Испании себе завел две симкарты на один номер. Там есть какие-то косяки с приходом SMS (вроде приходили только на одну), но работали обе.
Я думаю, что автор поста не до конца рассказала историю, что когда ей задавали вопросы, она таки на них отвечала. Тогда все становится логичным
А вот что она им сообщила? Логин-пароль для входа в Альфа-клик и потом еще сообщила подтверждения по SMS? Ну, это уж я не знаю, кем надо быть. И при чем тогда тут вообще банк?
Я на сколько знаю, было несколько инцидентов с сотрудниками Альфы, они оказывались мошенниками, их вычисляли СБ, передавали полиции и ребята сидят.
Но сдается мне что она им что-то критичное сообщила, потому как меня вот фраза в рассказе настораживает: "... начала суетиться и задавать вопросы, мол, что вам там пришло, что там пишут в смс.." очень расплывчато описано, это признак желания скрыть детали в рассказе, а деталь то важная.
Если у них были данные, зачем они ей звонили и спрашивали номер карты?
Ну, это понятно, но, насколько я понимаю, там система также имеет защиту изнутри, то есть сотрудник-то может посмотреть какие-то данные, но, например, пароль к кабинету клиента он посмотреть не может. К тому же подтверждения по SMS - а с ними что?