Альфа-Банк сломали поддельной SIM-картой

В конца марта у двух клиентов «Альфа-банка» были списаны по 199 000 рублей (в обоих случаях одинаковыми долями — по 100 и 99 тысяч). Оба они пользовались доступом к счету через Интернет (система «Альфа-клик») и мобильный телефон. В минувший вторник вторник банк вернул деньги клиентам, пострадавшим от мошенников, пишет газета «Ведомости», однако интересно проследить, как эти махинации вообще стали возможными.

Для доступа в «Альфа-клик» нужно знать логин и пароль (так можно узнать остаток по счету и получить выписку), а для совершения платежа — еще и разовый пароль, который приходит в виде SMS. 28 марта пострадавшие клиенты обнаружили, что их сотовые телефоны не работают — «SIM-карта не зарегистрирована». Днем позже оказалось, что не подходит пароль к интернет-банку.

Один из клиентов является абонентом МТС. Туда 28 марта обратился человек с письмом от компании, где работает клиент «Альфа-банка» (у него служебный телефон), и попросил перевыпустить SIM-карту. Второй -„нент &laq“гафона», в офисе оператора ему показали копию якобы выписанной им доверенности на перевыпуск SIM-карты.

Представитель МТС Ирина Осадчая сообщила «Ведомостям», что до сих пор не было ни одной жалобы абонента на действия по поддельным доверенностям. «Такой механизм мошенничества теоретически возможен, но ранее мы с ним не сталкивались», — рассказал, в свою очередь, ведущий специалист аналитического отдела управления по безопасности «Мегафона» Кирилл Пузырев.

«Получены единичные претензии, а число пользователей системы «Альфа-клик» превышает 500 000. По каждому случаю ведется расследование с привлечением службы безопасности банка», — заявил «Ведомостям» представитель «Альфа-банка». «Если ваш мобильный телефон не работает по не зависящим от вас причинам, нужно оперативно обращаться к оператору сотовой связи, а также сообщить об этом в банк», — говорится на сайте «Альфа-банка».

Добавить 31 комментарий

  • Ответить

    «SIM-карта не зарегистрирована». Днем позже оказалось, что не подходит пароль к интернет-банку. Похоже на заказную статью. У сим карты регистрируется не телефонный номер, а уникальный номер на самой симке. Два одинаковых номера неможет быть в природе по определению. Единственный вариант сговор оператора + работника банка.

  • Ответить
    Виктор Саксон Ведомости

    читайте оригинал статьи. сим-карту перевыпустили якобы «по просьбе» клиента. тогда основная перестала работать. пока клиент думал, при помощи новенькой симки восстановили пароли и сняли баблос.

  • Ответить

    Суммы не те, что бы вступать в сговор. Скорее действительно заказная статья. Про регистрацию SIM карты вы что-то вообще не по мене написали. Симкарту с другим уник номером, но тем же телефонным, перевыпустили что бы получить одноразовый пароль для совершения платежа. Возможно, ещё для получения или изменения пароля от мобильного банка.

  • Ответить

    кто хоть раз восстанавливал утеренный номер тот видел механизм изнутри. У меня так было, я с МТС восстанавливал и мне привезли симку с моим номером и одновременно мой номер был у какогото чувака каторый нашел симку и был слишком занят чтоб ее отдать. Установка симки ничего не дает, старый номер так и работал взамен нового пока оператор не запросил уникальный номер на самой симке его то и активируют в сети. Значит по просьбе клиента сделали следующее: перевыпустили представив паспорт позвонили и отключили старую симку продиктовав паспортные данные в трубку. не слишком ли много совпадений?

  • Ответить

    seva, в чем проблема? Если вы придете в офис, то процедуру активации новой/блокировки старой симки проведут на месте при ее выдачи.

  • Ответить
    Виктор Саксон Ведомости

    Ох, любят у нас порассуждать о заказных статьях, хлебом не корми. Это же надо, чтобы заказную статью сделать — нужно пойти к двум операторам Билайну и Мегафону под видеокамерами в офисе представить подпольную доверенность, далее пойти на «мошенничество в особо крупном», похитив 199 тыс у клиентов Альфы. И все, чтобы заказную статью «Ведомости» напечатали. Офигеть.

  • Ответить

    Я очень смутно помню как устроен Альфа-клик. Если просто выкрасть логин и пароль к Альфа клику, то теперь следует узнать номер телефона! Есть история платежей, и если вы оплачивали телефон через Альфа-клик, то номер злоумышленнику виден! (Не уверен что в клике видна подписка SMS уведомлений на номер) В истории больше виноваты МТС и Мегафон. Хотя у Альфа-клика слишком извращенная ситема безопасности, каждые несколько месяцев пароли меняются у них минимальная длинна огромная, запомнить их сложно, 2 пароля чередовать нельзя, единожды истекший пароль повторно не работает, вот народ на бумажке и записывает.

  • Ответить
    Роман Фролин Альтикс

    Слишком странное стечение обстоятельств. Я как то вел корпоративный тариф в МТС. Там все начинается, что организация прописывает в договоре «Доверенное лицо» С этого доверенного лица требуют несколько доверенностей и в дальнейшем менеждер МТС звонит чуть что ему и работает в основном с ним. В данном случае скорее всего знали, что контракт маленький и доверенного лица нет. Знали как выглядит печать компании. т.е. кто то из знакомых потерпевших слил много инфы…

  • Ответить
    Альтер Эго

    Страннейшая статья, и никто не обращает внимания на — «деньги были списаны». Куда списаны то? В разъем CD-ROM`a? Выехали оттуда после списания все 199 тысяч * 2. Вот надо кому то такой гемор на задницу ради этих копеек.

  • Ответить

    2Crio: МТС сами привозят, зачем утруждать себя и куда то ехать? (не на правах рекламы) :) Деньги могут быть списаны и по ошибке самим банком, у моего знакомого так оператор слил кудато 30 тысяч рублей, через центробанк надавили и деньги вернули с извинениями

  • Ответить
    Альтер Эго

    так там же паспортные данные в какой то момент все равно проходят, например при выводе в налик. Странно, как этот вопрос решили

  • Ответить
    small_matter Андрей Винокуров

    Кстати, пароль к Альфа-клику при такой схеме красть не обязательно (тем более что это не очень просто — его можно вводить с виртуальной клавиатуры, и в этом случае его не удастся перехватить кейлоггером). Когда симка с номером телефона уже у злоумышленнега, можно позвонить в альфу и сказать, что пароль к альфа-клику забыт. Тогда его пришлют на телефон, спросив предварительно ФИО, дату рождения и адрес прописки (присланный пароль нужно будет поменять при первом входе — поэтому у людей, описанных в статье, и не подошел их пароль — его не крали, а просто сбросили). Насколько я понимаю, нарисовать доверенность на замену сим-карты, зная паспортные данные жертвы, несложно. Мораль — вся система защиты Альфа-клика сводится к возможности узнать паспортные данные жертвы (есть во всяких базах) и факт использования жертвой Альфа-клика. Все это печально.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Именно — механизм авторизации пользователя основан на связке «человек-мобила», аутентичность которой Альфа проверить никак не может. Я бы на месте владельцев Альфа-клик после такого перешел бы в ВТБ24, где используются одноразовые коды или завел бы отдельный «тайный» телефон, номера от которого ни у кого бы не было. Хотя по доверенности можно и список номеров узнать.

  • Ответить
    small_matter Андрей Винокуров

    Альфа хотела сделать полностью удаленно управляемый банкинг. Если путешествуешь или живешь за границей — это дико удобно. Из простых решений — не высылать забытый пароль к самому клику на мобильный или ввести дополнительный контрольный вопрос для голосовой аутентификации при звонке в колл-центр. Это в обшем закрывает эту дыру. Думаю, п. 1 они уже реализовали, но проверять лень.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Контрольный вопрос у них есть, но «девичья фамилия матери», которую в банках чаще всего рекомендуют, это тоже полумера. У меня есть подозрение, что деньги снял кто-то из коллег пострадавших — а в таком случае выманить и это не очень сложно.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Маловероятно. Я бы не бежал после этого жаловаться в «Ведомости». И уж тем более, не бегал бы попарно — это же уже преступная группа. Сесть из-за ста штук на несколько лет?

  • Ответить
    small_matter Андрей Винокуров

    Нет, это вряд-ли сами пострадавшие или их коллеги, тут действовали продуманные ребята. В деле еще фигурировал потерянный паспорт, на который оформлялясь доверенность и открывался счет в Альфе, на который и слили деньги. + Человек, похожий на фото в паспорте. Сливали скорее всего не в банкомате, а в отделении — через банкомат лимиты снятия наличных не позволят слить быстро.

  • Ответить

    целые банкоматы демонтируют под покровом ночи, а вы говорите зачем?) В регионах особенно широко распространено в последнее время. И это даже незная что внутри банкомата.

  • Ответить

    При смене пароля «Альфа» требуЕт назвать контрольное слово, которое не девичьяфамилияматери, а произвольное что угодно. Сам менял недели две назад. Кто свое контрольное слово сообщает — сам себе враг.

  • Ответить

    «вся система защиты Альфа-клика сводится к возможности узнать паспортные данные жертвы (есть во всяких базах) и факт использования жертвой Альфа-клика» Кроме этого надо знать ещё и логин в Альфа-клик, ну и номер телефона, на который высылаются уведомления.

  • Ответить
    small_matter Андрей Винокуров

    Про логин: «… * Сообщите оператору свое имя, номер карты, кодовое слово и номер мобильного телефона * Оператор сообщит вам логин и вышлет SMS с временным паролем, который Вам необходимо будет сменить при первом входе в Интернет-Банк…" Меняется он так же просто. ЗА Альфу точно не помню, но у многих банков есть суточный лимит по дебетовым картам. Вот как раз для таких случаев, или потери карты с пином. Альфа уже стала переделывать авторизацию — сейчас одноразовый пароль присылается на телефон даже для логина в А-клик. Правда, смысл такого усиления неясен.

  • Ответить

    Надо сказать, что у операторов сотовой связи, по крайней мере московских, с безопасностью списка услуг клиента и возможностью перевыпуска его SIM-карты без ведома этого самого клиента и (sic!) без предъявления его паспорта или надлежащим образом оформленной (зарегистрированной) доверенности не всё так уж и безоблачно. У меня сейчас идёт переписка с МТС, вызванная тем, что кто-то отключил на одном из моих телефонов услугу SMS аж в ноябре прошлого года. Для подобных действий необходимо устное заявление и предъявление паспорта или надлежащим образом оформленной доверенности на управление лицевым счётом абонента. В процессе похода в ближайший фирменный фалон МТС я лично убедился в том, что сотрудницы салонов-магазинов МТС могут не попросить паспорт при замене 2-х (sic!) SIM-карт. Вот вам и дыра. Так что здесь мы имеем дело скорее с сочетанием пресловутого человеческого фактора и обыкновенным разгильдяйством.

  • Ответить
    Альтер Эго

    МТС надо ввести следующий регламент выдачи SIM-карт: если она оформлена на физлицо, позвонить на номер, убедиться, что абонент в курсе того, что ему сейчас меняют SIM-карту. Если оформлена на юрлицо — связаться с менеджером организации-клиента.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Значит не повезло. В принципе, оператор может увидеть, когда абонент был «онлайн» — если это было 20 минут назад (спустился в метро) — это хороший повод помариновать человека с доверенностью