В конца марта у двух клиентов "Альфа-банка" были списаны по 199 000 рублей (в обоих случаях одинаковыми долями - по 100 и 99 тысяч). Оба они пользовались доступом к счету через Интернет (система "Альфа-клик") и мобильный телефон. В минувший вторник вторник банк вернул деньги клиентам, пострадавшим от мошенников, пишет газета "Ведомости", однако интересно проследить, как эти махинации вообще стали возможными.
Для доступа в "Альфа-клик" нужно знать логин и пароль (так можно узнать остаток по счету и получить выписку), а для совершения платежа — еще и разовый пароль, который приходит в виде SMS. 28 марта пострадавшие клиенты обнаружили, что их сотовые телефоны не работают - "SIM-карта не зарегистрирована". Днем позже оказалось, что не подходит пароль к интернет-банку.
Один из клиентов является абонентом МТС. Туда 28 марта обратился человек с письмом от компании, где работает клиент "Альфа-банка" (у него служебный телефон), и попросил перевыпустить SIM-карту. Второй - абонент "Мегафона", в офисе оператора ему показали копию якобы выписанной им доверенности на перевыпуск SIM-карты.
Представитель МТС Ирина Осадчая сообщила "Ведомостям", что до сих пор не было ни одной жалобы абонента на действия по поддельным доверенностям. "Такой механизм мошенничества теоретически возможен, но ранее мы с ним не сталкивались", — рассказал, в свою очередь, ведущий специалист аналитического отдела управления по безопасности "Мегафона" Кирилл Пузырев.
"Получены единичные претензии, а число пользователей системы "Альфа-клик" превышает 500 000. По каждому случаю ведется расследование с привлечением службы безопасности банка", — заявил "Ведомостям" представитель "Альфа-банка". "Если ваш мобильный телефон не работает по не зависящим от вас причинам, нужно оперативно обращаться к оператору сотовой связи, а также сообщить об этом в банк", — говорится на сайте "Альфа-банка".
Добавить 31 комментарий
«SIM-карта не зарегистрирована». Днем позже оказалось, что не подходит пароль к интернет-банку. Похоже на заказную статью. У сим карты регистрируется не телефонный номер а уникальный номер на самой симке. Два одинаковых номера неможет быть в природе по определению. Единственный вариант сговор оператора + работника банка.
читайте оригинал статьи. сим-карту перевыпустили якобы «по просьбе» клиента. тогда основная перестала работать. пока клиент думал, при помощи новенькой симки восстановили пароли и сняли баблос.
Суммы не те, что бы вступать в сговор. Скорее действительно заказная статья. Про регистрацию SIM карты вы что-то вообще не по мене написали. Симкарту с другим уник номером, но тем же телефонным, перевыпустили что бы получить одноразовый пароль для совершения платежа. Возможно, ещё для получения или изменения пароля от мобильного банка.
жесть… теперь ещё и за номер телефона бояться ((
кто хоть раз восстанавливал утеренный номер тот видел механизм изнутри. У меня так было, я с МТС восстанавливал и мне привезли симку с моим номером и одновременно мой номер был у какогото чувака каторый нашел симку и был слишком занят чтоб ее отдать. Установка симки ничего не дает, старый номер так и работал взамен нового пока оператор не запросил уникальный номер на самой симке его то и активируют в сети. Значит по просьбе клиента сделали следующее: перевыпустили представив паспорт позвонили и отключили старую симку продиктовав паспортные данные в трубку. не слишком ли много совпадений?
seva, в чем проблема? Если вы придете в офис, то процедуру активации новой/блокировки старой симки проведут на месте при ее выдачи.
Ох, любят у нас порассуждать о заказных статьях, хлебом не корми. Это же надо, чтобы заказную статью сделать — нужно пойти к двум операторам Билайну и Мегафону под видеокамерами в офисе представить подпольную доверенность, далее пойти на «мошенничество в особо крупном», похитив 199 тыс у клиентов Альфы. И все, чтобы заказную статью «Ведомости» напечатали. Офигеть.
Я очень смутно помню как устроен Альфа-клик. Если просто выкрасть логин и пароль к Альфа клику, то теперь следует узнать номер телефона! Есть история платежей, и если вы оплачивали телефон через Альфа-клик, то номер злоумышленнику виден! (Не уверен что в клике видна подписка SMS уведомлений на номер) В истории больше виноваты МТС и Мегафон. Хотя у Альфа-клика слишком извращенная ситема безопасности, каждые несколько месяцев пароли меняются у них минимальная длинна огромная, запомнить их сложно, 2 пароля чередовать нельзя, единожды истекший пароль повторно не работает, вот народ на бумажке и записывает.
Слишком странное стечение обстоятельств. Я как то вел корпоративный тариф в МТС. Там все начинается, что организация прописывает в договоре «Доверенное лицо» С этого доверенного лица требуют несколько доверенностей и в дальнейшем менеждер МТС звонит чуть что ему и работает в основном с ним. В данном случае скорее всего знали, что контракт маленький и доверенного лица нет. Знали как выглядит печать компании. т.е. кто то из знакомых потерпевших слил много инфы…
Страннейшая статья, и никто не обращает внимания на — «деньги были списаны». Куда списаны то ? В разъем CD-ROM`a ? Выехали оттуда после списания все 199 тысяч * 2. Вот надо кому то такой гемор на задницу ради этих копеек.
2Crio: МТС сами привозят, зачем утруждать себя и куда то ехать? (не на правах рекламы) :) Деньги могут быть списаны и по ошибке самим банком, у моего знакомого так оператор слил кудато 30 тысяч рублей, через центробанк надавили и деньги вернули с извинениями
Ну если не в 20 порт деньги утекли, то есть подозрение что сюда. http://money.yandex.ru/card/alfa/about.xml
Бабло слили на другой аккаунт в Альфе, эта операция занимает обычно не более 5 минут. И сразу сняли из банкомата, я так думаю.
так там же паспортные данные в какой то момент все равно проходят, например при выводе в налик. Странно, как этот вопрос решили
Кстати, пароль к Альфа-клику при такой схеме красть не обязательно (тем более что это не очень просто — его можно вводить с виртуальной клавиатуры, и в этом случае его не удастся перехватить кейлоггером). Когда симка с номером телефона уже у злоумышленнега, можно позвонить в альфу и сказать, что пароль к альфа-клику забыт. Тогда его пришлют на телефон, спросив предварительно ФИО, дату рождения и адрес прописки (присланный пароль нужно будет поменять при первом входе — поэтому у людей, описанных в статье, и не подошел их пароль — его не крали, а просто сбросили). Насколько я понимаю, нарисовать доверенность на замену сим-карты, зная паспортные данные жертвы, несложно. Мораль — вся система защиты Альфа-клика сводится к возможности узнать паспортные данные жертвы (есть во всяких базах) и факт использования жертвой Альфа-клика. Все это печально.
Именно — механизм авторизации пользователя основан на связке «человек-мобила», аутентичность которой Альфа проверить никак не может. Я бы на месте владельцев Альфа-клик после такого перешел бы в ВТБ24, где используются одноразовые коды или завел бы отдельный «тайный» телефон, номера от которого ни у кого бы не было. Хотя по доверенности можно и список номеров узнать.
Альфа хотела сделать полностью удаленно управляемый банкинг. Если путешествуешь или живешь за границей — это дико удобно. Из простых решений — не высылать забытый пароль к самому клику на мобильный или ввести дополнительный контрольный вопрос для голосовой аутентификации при звонке в колл-центр. Это в обшем закрывает эту дыру. Думаю, п.1 они уже реализовали, но проверять лень.
Контрольный вопрос у них есть, но «девичья фамилия матери», которую в банках чаще всего рекомендуют, это тоже полумера. У меня есть подозрение, что деньги снял кто-то из коллег пострадавших — а в таком случае выманить и это не очень сложно.
или это махинации самих пострадавших (тоже вариант).
Маловероятно. Я бы не бежал после этого жаловаться в «Ведомости». И уж тем более, не бегал бы попарно — это же уже преступная группа. Сесть из-за ста штук на несколько лет?
Нет, это вряд-ли сами пострадавшие или их коллеги, тут действовали продуманные ребята. В деле еще фигурировал потерянный паспорт, на который оформлялясь доверенность и открывался счет в Альфе, на который и слили деньги. + Человек, похожий на фото в паспорте. Сливали скорее всего не в банкомате, а в отделении — через банкомат лимиты снятия наличных не позволят слить быстро.
Кроме того, Альфа могла и не возместить потери.
целые банкоматы демонтируют под покровом ночи, а вы говорите зачем? ) В регионах особенно широко распространено в последнее время. И это даже незная что внутри банкомата.
При смене пароля «Альфа» требуЕт назвать контрольное слово, которое не девичьяфамилияматери, а произвольное что угодно. Сам менял недели две назад. Кто свое контрольное слово сообщает — сам себе враг.
Разве у дебитных карт есть лимиты снятия наличных?
«вся система защиты Альфа-клика сводится к возможности узнать паспортные данные жертвы (есть во всяких базах) и факт использования жертвой Альфа-клика» Кроме этого надо знать ещё и логин в Альфа-клик, ну и номер телефона, на который высылаются уведомления.
Про логин: «… * Сообщите оператору свое имя, номер карты, кодовое слово и номер мобильного телефона * Оператор сообщит вам логин и вышлет SMS с временным паролем, который Вам необходимо будет сменить при первом входе в Интернет-Банк…» Меняется он так же просто. ЗА Альфу точно не помню, но у многих банков есть суточный лимит по дебетовым картам. Вот как раз для таких случаев, или потери карты с пином. Альфа уже стала переделывать авторизацию — сейчас одноразовый пароль присылается на телефон даже для логина в А-клик. Правда, смысл такого усиления неясен.
Надо сказать, что у операторов сотовой связи, по крайней мере московских, с безопасностью списка услуг клиента и возможностью перевыпуска его SIM-карты без ведома этого самого клиента и (sic!) без предъявления его паспорта или надлежащим образом оформленной (зарегистрированной) доверенности не всё так уж и безоблачно. У меня сейчас идёт переписка с МТС, вызванная тем, что кто-то отключил на одном из моих телефонов услугу SMS аж в ноябре прошлого года. Для подобных действий необходимо устное заявление и предъявление паспорта или надлежащим образом оформленной доверенности на управление лицевым счётом абонента. В процессе похода в ближайший фирменный фалон МТС я лично убедился в том, что сотрудницы салонов-магазинов МТС могут не попросить паспорт при замене 2-х (sic!) SIM-карт. Вот вам и дыра. Так что здесь мы имеем дело скорее с сочетанием пресловутого человеческого фактора и обыкновенным разгильдяйством.
МТС надо ввести следующий регламент выдачи SIM-карт: если она оформлена на физлицо, позвонить на номер, убедиться, что абонент в курсе того, что ему сейчас меняют SIM-карту. Если оформлена на юрлицо — связаться с менеджером организации-клиента.
Alter Ego, а если абонент «вне зоны действия сети»? ;)
Значит не повезло. В принципе, оператор может увидеть, когда абонент был «онлайн» — если это было 20 минут назад (спустился в метро) — это хороший повод помариновать человека с доверенностью