альфа банк просит установить новый код в приложении
Альфа-Банк действует как мошенники? Сотрудники хотят код из СМС
Всем привет, хочу рассказать об абсолютно неожиданной ситуации, с которой столкнулся на днях.
Не знаю, как вы, а я прочитал с десяток статей о том, как защитить свой банковский счёт от мошенников. И практически в каждой был совет такого плана:
Никогда, ни при каких обстоятельствах не говорите сотрудникам банка коды из SMS!
Совет абсолютно логичный. Ведь звонящему из техподдержки или офиса банка не нужны ваши SMS – у них и так есть доступ к вашим личным данным, в том числе различным способам идентификации.
Большинство банков сами предупреждают, что его сотрудникам не нужны никакие коды из сообщений. И что называть их по телефону или в переписках никогда не стоит.
Внезапно выясняется: в какой-то момент Альфа-Банк буквально положил на это правило, и теперь внезапно начал спрашивать эти коды – сам.
Как это произошло у меня: надо было открыть обычный счёт, положить туда деньги с продажи машины. Я по привычке позвонил в банк с номера, привязанного к карте. Назвал свое контрольное слово. Продиктовал часть паспортных данных для идентификации.
И тут на последнем шаге сотрудник на той стороне говорит: сейчас вам придёт SMS, назовите оттуда код, пожалуйста.
Честно, я резко вспотел, чуть было трубку не положил. Ну серьезно, сколько нас учил интернет никаких кодов не называть?
Вместо кода начал допытываться. Зачем он вам, спрашиваю? Вы же сотрудник, я и так назвал вам свои данные. А он мне: это наши новые инструкции, не волнуйтесь, мы уже давно так делаем.
Вот честно, ни за что не поверил бы в эти слова. Но набирал номер техподдержки прямо из приложения Альфа-Банка, поэтому объективных опасений было немного.
Назвал я код, счёт открыли. Трубку положил, давай панически гуглить. Действительно, с начала года Альфа-Банк и еще некоторые банки внезапно начали спрашивать у клиентов коды авторизации прямо из SMS.
И ведь они же столько лет говорили нам никогда так не делать.
Сотрудники хотят код из СМС, но и мошенники тоже
Понимаю вашу реакцию сейчас: вроде такая мелочь, код какой-то назвать, неужели сложно?
А вы теперь подумайте о другом. Банки теперь запрашивают коды из SMS. Народ постепенно начнёт считать, что это норма. Затем вам наберут мошенники и тоже попросят такой код. И что, кого обвинять? Сколько времени пройдет, прежде чем пойдут скандалы?
Так что я разочарован в Альфа-Банке. О какой безопасности денег может быть речь, если техподдержку учат вести себя так же, как действуют мошенники?
П.С. Всё это написал, а потом вспомнил. Если вы не знаете, зачем код из SMS нужен мошенникам. С его помощью они могут, например, подтвердить вывод денег с вашей карты.
Чаще всего они так и действуют: звонят, представляются сотрудником службы безопасности или техподдержки банка, узнают номер карты через социальную инженерию – и отправляют запрос на перевод денег. Называя им код с пришедшей SMS, вы просто подтверждаете перевод. И теряете деньги, конечно.
Как сменить пин-код на карте Альфа-Банка?
Совершать финансовые операции с помощью банковского платежного средства удобно и безопасно. Когда пароль утерян, надо знать, как поменять ПИН-код на карте Альфа-Банка, чтобы не потерять контроль над счетом.
Общая информация о ПИН-коде от банковской карты
.JPG "альфа банк просит установить новый код в приложении. Смотреть фото альфа банк просит установить новый код в приложении. Смотреть картинку альфа банк просит установить новый код в приложении. Картинка про альфа банк просит установить новый код в приложении. Фото альфа банк просит установить новый код в приложении")
Пин-код банковской карты — защита денежных средств от третьих лиц.
Банковские продукты от Альфа-Банка (дебетовые, кредитные и зарплатные) являются надежными платежными средствами благодаря многоступенчатой системе защиты.
Каждому новому банковскому инструменту назначается персональный автоматически сгенерированный пароль, который состоит из секретного 4-значного набора цифр.
Предназначение
Любая операция через банкомат, оплата покупок в магазине требуют введения ПИН-кода.
Такая процедура необходима и служит интересам клиента банка:
Если набор ПИН-кода 3 раза будет осуществлен неправильно, номер банковского продукта автоматически блокируется. В такой ситуации надо обращаться в любое отделение банка, чтобы возобновить доступ к финансам.
Процедура получения
Раньше персональный идентифицированный номер выдавался в запечатанном конверте.
Теперь получить ПИН-код можно 2 способами:
Никто, кроме владельца пластикового средства, не должен иметь информацию о персональном идентификационном номере.
Установка пароля: алгоритм действий
Сотрудники любого отделения Альфа-Банка проведут процедуру активации платежного средства и помогут получить к нему персональный код.
Чтобы клиенту оказали помощь, ему необходимо иметь при себе документ, удостоверяющий личность, пластиковую карту и договор. Операция займет не более 3 минут.
Альфа-Банк предлагает установить пароль через центр «Альфа-Консультант».
Для этого необходимо
Если клиент ошибся и назвал неправильное кодовое слово, возможность получить персональный код по телефону блокируется. Секретное слово должно быть записано в договоре с банком.
Получить персональный код можно, позвонив в центр «Альфа-Консультант».
Что делать, если забыл код
Каждый человек может столкнуться с ситуацией, когда ПИН-код утерян и нет доступа к совершению финансовых операций. Ранее такая проблема обязательно требовала перевыпуска карты. Эта процедура могла растянуться на 2 недели.
С 2014 г. Альфа-Банк изменил процедуру и предлагает воспользоваться услугой восстановления утраченного пароля. Для этого необходимо позвонить в «Альфа-Консультант» по номеру:
Сотрудник call-центр задаст ряд вопросов, которые должны подтвердить личность клиента банка: Ф.И.О., дата рождения, паспортные данные, номер пластикового инструмента, срок его действия, последние операции, секретное слово, указанное в договоре.
Осуществлять звонок рекомендуется с номера телефона, который клиент указывал при оформлении договора. Восстановление ПИН-кода осуществляется автоматически, услуга предоставляется круглосуточно.
Способы замены
Поводом к замене ПИН-код карты Альфа-Банка могут служить разные причины:
Банк предлагает воспользоваться одним из способов для смены персонального кода:
Воспользоваться услугой по замене пароля от банковского продукта можно неограниченное количество раз. Альфа-Банк рекомендует периодически проводить процедуру смены пароля в целях безопасности.
В отделении Альфа-Банка
.jpg "альфа банк просит установить новый код в приложении. Смотреть фото альфа банк просит установить новый код в приложении. Смотреть картинку альфа банк просит установить новый код в приложении. Картинка про альфа банк просит установить новый код в приложении. Фото альфа банк просит установить новый код в приложении")
Изменить ПИН-код можно, обратившись в любое отделение банка.
Контактный центр
Осуществить замену персонального кода можно, позвонив по горячей линии Call-центра компании (номера телефонов указаны на оборотной стороне карты):
Совершать звонок следует с номера телефона, указанного в договоре. В голосовом меню выберите опцию установления ПИН-кода. Сотрудник компании проведет идентификацию личности клиента, чтобы убедиться, что обращается клиент банка, а не постороннее лицо. Для этого надо будет ответить на вопросы и назвать Ф.И.О., номер карты, кодовое слово.
Оператор направит на изменение персонального кода в автоматическом режиме. Перед тем как сформировать новый набор цифр, потребуется ввести действующий пароль. Затем вводится новый ПИН.
«Альфа-Мобайл»
Смена персонального номера доступна в мобильном приложении. Для этого следует авторизоваться в «Альфа-Мобайл». Если клиент имеет несколько пластиковых инструментов, потребуется выбрать нужный и пройти простую процедуру по подсказкам сервиса. Для подтверждения нового PIN нужно ввести номер из SMS, которое придет на телефон.
Через банкомат
Чтобы сменить пароль банковского продукта через банкомат, нужно пройти простую процедуру:
Нюансы восстановления Personal Identification Number
Рекомендуется в качестве персонального номера не использовать набор одинаковых цифр, 1111, 9999 или дату своего рождения. Для каждого банковского продукта необходимо использовать свой определенный пароль. ПИН-код является надежным способом защитить финансы от действия мошенников, но эффективность этого инструмента во многом зависит от самого владельца карты.
Как Альфа-Банк защищает вас
Для обеспечения безопасности проводимых операций в Интернет-банке «Альфа-Клик» используются следующие средства защиты:
Одноразовые пароли для входа в интернет-банк
Для входа в Интернет-банк «Альфа-Клик», после успешного ввода Логина и Пароля, потребуется ввести одноразовый пароль, который будет выслан вам на мобильный телефон, указанный при подключении интернет-банка.
Одноразовые пароли для проведения операций
Одноразовый пароль используется для осуществления входа, проведения платежных и иных операций в интернет-банке. Для получения одноразового пароля необходим мобильный телефон, номер которого был указан вами при подключении услуги «Альфа-Клик».
После ввода всех необходимых платежных данных и проверки их правильности, система предложит ввести одноразовый пароль для совершения операции. Для получения одноразового пароля нужно нажать на кнопку «Получить пароль», пароль будет доставлен со скоростью на ваш мобильный телефон.
Текст которое содержит одноразовый пароль, также содержит краткую информацию о реквизитах платежа. Например, для оплаты мобильной связи сообщение будет выглядеть так:
Dlya oplaty mobilnoi svyazi na summu 1000 RUR za nomer (номер телефона) vash odnorazoviy parol 1a2b3c4d.
Защищенное соединение (SSL-шифрование)
Соединение и работа с системой интернет-банк осуществляется через общедоступную сеть интернет, поэтому для защиты канала по которому компьютер пользователя соединяется с сервером банка используется защищенный режим с помощью протокола SSL (Secure Sockets Layer). Этот режим позволяет обеспечить конфиденциальность при работе в «Альфа-Клик» через интернет.
Виртуальная клавиатура
Виртуальная клавиатура позволяет обеспечить более высокий уровень защиты конфиденциальной информации во время работы в Интернет-банке «Альфа-Клик». Данная технология повышает степень защищенности вашего пароля от перехвата злоумышленниками.
Пользоваться виртуальной клавиатурой просто:
Кражи денег через мобильное приложение Альфа-банк
08.07.2021 — в мобильном приложение Альфа-банка добавлена ввели обязательную установку «секретного кода» (от 4 до 8 символов) по которому осуществляется вход в Альфа-Мобайл. Его будете знать только вы, и он не передается по сетям связи. Поэтому мошенник, поставив приложение на свое устройство, не сможет зайти в ваш личный кабинет без этого секретного кода. 
Кроме того, теперь вы можете увидеть, какие устройства имеют доступ к вашему личному кабинету. 
В 2020 году участились случаи кражи денег через мобильное приложение Альфа-банка. Злоумышленники ставят его к себе на смартфон и разными способами получают доступ к личному кабинету потерпевших. Также есть случаи с банками ВТБ и Хоум-кредит
Кражи денег из Альфа-банка
Во всех случаях следует звонок потенциальному потерпевшему клиенту Альфа-банка. Далее у мошенников два основных сценария:
Установка TeamViewer
Чтобы уговорить поставить программу на смартфон, мошенники должны что-то наплести, например, что они из службы технической поддержки и помогут отменить взятие кредита. Для этого надо поставить в телефон программу из Google Play, наберите в поиске «поддержка», и люди набирают:
Или просят набрать «поддержка сбербанка», результат будет тот же:
октябрь 2020, ущерб около 560000 рублей. Установлена программа AnyDesk. Мошенник позвонил с московского номера 495, пояснил, что якобы к личному кабинету Альфа-банка пытаются получить неправомерный доступ неизвестные лица. Затем уговорил поставить программу AnyDesk. В результате, мошенники списали 9000 рублей с дебетовой карты, 120000 с кредитной карты, оформили на потерпевшую кредит на сумму 436846 рублей и тоже вывели в другой банк.
26.10.2020 — 200000 рублей. «Мне позвонили на мобильный и представились «СЛУЖБА БЕЗОПАСНОСТИ АЛЬФА-БАНК». Эти люди сообщили, что мою зарплатную карту взламывают и нужно срочно поставить защитную программу для телефона. … После того, как программа была установлена, меня соединили с оператором, который продублировал код для регистрации программы защиты. Через 3 минуты я позвонил в банк, а там мне сообщили о том, что взят кредит на мое имя, Альфа-Банк заблокировал карту, успели списать только 300 тыс. Но банк готов пойти на встречу и списать страховку в 98 тыс., а вот остальные 200 тыс. это моя забота и кредит нужно гасить.
25.11.2020 — 3,5 млн рублей. Якобы всего одна СМС. Пошла погулять с собакой, а в это время кто-то взял кредит и вывел деньги.
Позвонили якобы с Альфа-банка для подтверждения смены номера телефона. Сказали, что на меня пытались оформить кредит с этим номером телефона и, получается, что у мошенников есть мои паспортные данные и нужно установить защиту, и предложила установить приложение Quick support. Потом оказалось, что приложение называется TeamViewer Quick support. В какой-то момент телефон перестал реагировать на мои действия и мошенник сам начал лазить по приложению и перевел деньги себе на счет, аргументируя, что они вернутся. Все это время я пыталась выключить телефон, но он не реагировал на мои действия, так как он управлялся удаленно.
Без установки каких-либо программ
Когда жертва ставит в свой смартфон TeamViewer — всё понятно, сам виноват. Но больше случаев, когда никаких программ в телефон не ставилось, но мошенники заходят в личный кабинет жертвы. Как это происходит, примеры случаев.
Код для входа в Альфа-мобайл на Samsung. ОСТОРОЖНО! Если вы не входили в Альфа-мобайл, значит код запрашивают МОШЕННИКИ
и следом push уведомление с образовавшейся задолженностью 100 тыс. руб. Было совершено 7 операций в адрес КИВИ-Банка с назначением в пользу ОДНОКЛАССНИКИ и ВКОНТАКТЕ за несколько минут. Альфа-банк сообщает, что
С помощью данного пароля был осуществлен вход в мобильное приложение Альфа-Мобайл.
хотя автор отзыва никому его не передавал. Единственная идея — это какой-то троян в смартфоне, который переправлял смс злоумышленникам или мухлеж на стороне оператора связи.
07.05.2020 — Почистили кредитную карту «100 дней без процентов» на 95000 рублей. Выяснилось, что 3 мая в 15:19 мск мне на телефон поступило смс сообщение — никому не говорите код, его спрашивают только мошенники:
… если вход в Альфа-Мобайл на onеplus onеplus произвели не вы…..
в период с 15:20 до 15:22 часов мск 3 мая, произведено списание денежных средств несколькими платежами по 15000 руб. и 5000 руб., всего 7 платежей. Платежи осуществлялись в пользу ООО ИКСОЛЛА (STEAM), ИНН 5902879646. Но это история со счастливым концом, деньги удалось вернуть через магазин.
05.07.2020 — не удалось зайти в приложение. Оказалось что в Альфа-мобайл зашли мошенники с другого устройства и сразу перепривязали номер на свой, оформили кредит на 260000, и еще около 20000 украли с других счетов.
https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=379140 — интернет-банк взломан, пришло 2 СМС и было 6 платежей.
13.10.2020 — «Мужу позвонили, сказали что служба безопасности Альфа-банка, что на него оформлен кредит, и если он не будет сотрудничать, деньги уйдут мошенникам… В итоге он сказал код из смс, два первых были неверные, 3 раз подтвердил. Они перевели ему денежные средства на карту и он все благополучно снял в банкомат альфы часть, остальные в ВТБ. И положил на 3 карты мошенников 2 раза по 490 тысяч и остаток на карту Уралсиб. Пришел в начале 9 домой, сказал что на него чуть не оформили и кредит, начал рассказывать. Я ему сказала что это мошенники., но уже было поздно….»
Октябрь 2020 — код для входа в приложение с устройства мошенников передан мошенникам. Клиент не пользовалась личным кабинетом/приложением вообще. Попросила банк все отключить и перевыпустить карты. Но после пополнения счета, мошенники снова залезли и увели деньги (сумма неизвестна).
300000 рублей — веером пришли 2 тревожных SMS:
Но клиент обратилась только на следующий день. Сумма операций переводов 365900 руб, из них небольшую часть банк вернул, до 300 тыс. пропало.
Наименование операций в приложении «Альфа-Банк» apple.com/bill.
Я бы, конечно, отключил в Альфе операции в интернете, частично это убережет от неприятностей:
Альфа-банк. Украли 1400000 рублей с накопительного счета: «Мошенники переводили деньги по 50-100 тыс. за раз на счета неизвестных лиц, в уплату по договорам, которых, естественно, не заключали, а так же на зарплатный счёт Альфа-банка и оттуда уже пытались снять. В Альфа-банке после нескольких операций счета заблокировали из-за подозрительной активности. » Т.е. взломали личные кабинеты и в ВТБ, и в Альфа-банке.
Одна из жертв рассказала, что мошенники, после того как уже украли деньги, ей даже перезвонили и спросили: «Ну и что будешь делать теперь?»
Текст СМС от Альфа-банка перед взятием кредита вполне понятный:
Никому не сообщайте код: ****. Оформление кредита наличными
Момент проникновения в личный кабинет
Один из самых неприятных вариантов, который может произойти — это установка мошенником приложения банка в его смартфон и получение им доступа к вашему личному кабинету. Как это может произойти?
В любом случае, для первичного входа в приложение Альфа-банка на новом устройстве необходимо ввести полный номер карты или полный номер счета клиента (в ВТБ — тоже). Поэтому сообщать полный номер карты не рекомендуется никому, даже если вы хотите получить денежный перевод за какой-то товар или услугу. Лучше для этих целей использовать переводы по номеру телефона, тем более что есть система СБП с бесплатными переводами, все основные банки ей уже охвачены. Кроме того, обязательно читать полностью все сообщения с СМС-кодами:
Совет: внимательно читайте текст СМС с кодом, возможно вместо подтверждения какой-то операции вы подтверждаете вход мошенников в ваш личный кабинет на их устройстве.
Кстати, у Мегафона в детализации IMEI принимающего устройства отображается. Если СМС ушла «налево», сразу будет видно, что чужой IMEI там.
Собственно, у меня есть вопросы банку:
Как удалось выяснить, запретить использовать Push-коды можно только для вашего устройства (но не для устройства мошенников) на то время, когда у вас не включено приложение, про это я написал отдельную статью. Но хотелось бы установить такой запрос на стороне банка, про такое я пока не слышал.
Если мошенникам удастся заполучить код из СМС о привязке их устройства, тогда у них будет полный доступ в ваш личный кабинет: они включат Push-сообщения и будут получать все коды уже на свой смартфон, а вы даже об этом не узнаете. Дальше может быть все что угодно, от кражи ваших денег со всех ваших счетов до взятия кредита на ваше имя. Очень много случаев, когда мошенники берут кредит на жертву и забирают деньги. Разумеется, клиент остается один на один с банком, без денег и с огромным долгом. Но здесь почти всегда идет звонок клиенту банка, которого разводят на код из СМС, а то и не один, про эти случаи есть отдельная подробная статья.
Как определить, вас уже взломали или еще нет?
К сожалению, самостоятельно посмотреть где-либо, с каких устройств были заходы в ваш личный кабинет Альфы — негде. Но это можно быстро узнать через чат в приложении банка:
Если у вас украли деньги через личный кабинет, что делать?
Сначала нужно определиться, какой у вас вариант. Если вы никаких программ не ставили и не давали никому доступ, то надо найти момент, в который этот доступ «уплыл». Ключ к нему — СМС от банка, в котором указан тип привязываемого устройства. В Альфа-банке такая информация передается, пример СМС — выше.
Непонятные случаи, где участие клиента (пока) не прослеживается
Но есть и случаи, где потерпевший утверждает, что ничего не делал — https://www.banki.ru/services/responses/bank/response/10411371/ — банк ВТБ
В ночь на 27/07 у меня списали денежные средства, сначала с виртуального накопительного счета ВТБ перевели на зарплатную карту, а оттуда уже списали все, смс подтверждений и кодов запросов на данные операции не поступало.
https://www.banki.ru/services/responses/bank/response/10532912/ — Альфа-банк, 22.06.2021. Пользователь вообще ничего не делал. Банк утверждает что
22.06.2021 в 08:52:02 (мск) на ваш номер телефона было направлено смс-сообщение от банка следующего содержания: «Пароль для входа — ****. Проверьте адрес банка — https://private.auth.alfabank.ru/… Никому не сообщайте пароль, даже сотрудникам банка.»
Далее был осуществлен корректный вход в личный кабинет, проведен перевод между счетами, 07.07.2021 был изменен метод входа в личный кабинет — без одноразового пароля, а 17.07.2021 поданы распоряжения на осуществление переводов в корректной клиентской сессии, вход в которую был произведен по уникальным данным.
С другой стороны, потерпевшая сообщает:
Подняла детализацию за 22.06 и 07.07 у мегафона. 22.06 нет входящих смс ни от банка, ни от кого в это время.
07.07. с утра по детализации куча смс с номера 000001, но их по факту не было в телефоне. Я погуглила, есть такая ситуация у людей, что в детализации этот номер висит (тоже много сообщений, как у меня), а в телефоне их нет вообще. Все пишут, что это мошенники. Также детализация не показывает входящие звонки мне от мошенников в тот день. А мне 07.07 названивали мошенники, требовали назвать код входа в ЛК, я его им не сообщала. Более того, мне пришлось выключить телефон, т.к. они названивали непрерывно более чем час. Интересный момент, что всех этих входящих также нет в детализации, как и смс с паролем, которое приходила по их инициативе. Аппарат — айфон.
Видимо, мошенники как-то умеют использовать уязвимости у оператора связи.
https://www.banki.ru/services/responses/bank/response/10407598/ — Альфа-банк, июль 2020. Обсуждение в ноябре на форуме с участием потерпевшего.
21.06.2020 — последний заход в Альфа-клик (и, возможно, какие-то подозрения)
22.06.2020 — обращался на горячую линию банка для блокировки карт, счетов и интернет-банка по подозрению в утечке данных.
02.07.2020 — лично посетил банк для перевыпуска банковских карт, смены кодового слова и проверки личных данных.
04.07.2020 — e-mail письмо с адреса noreply@alfa-bank.info, в котором был следующий текст: Уважаемый клиент! Адрес вашей электронной почты в приложении «Альфа-Мобайл» был успешно изменён с ***@***.com на ****@***.com.
Немедленно позвонил на горячую линию банка и рассказал о подозрительном письме. В ответ оператор сообщил мне, что на меня сегодня был оформлен кредит на 1 500 000 рублей, а также о том, что в приложении «Альфа-мобайл» у меня привязан другой номер и e-mail. Я возразил, что кредит в банке не оформлял и не собирался, и в мобильный банк не заходил с 21.06. Сказал, что был в банке в четверг 02.07, и проверял, никаких других номеров, кроме моего у меня привязано не было. И произойти это могло только мошенническим путем, при содействии сотрудников банка. Кроме того, днем, около 12 часов я обнаружил, что мой номер заблокирован, и обращался к сотовому оператору для разблокировки (вот это самый подозрительный момент). Оператор (банка) уточнил мою модель телефона и сказал, что действия в мобильном банке совершались с другой модели и что деньги еще на счету.
05.07.2020 — СМС от Альфа-банка «04.07.20 Вам открыт кредит на сумму 1,666,500.00 RUR».
По распечатке – три крупных банковских перевода на общую сумму 500тыр., и несколько С2С на карту АБ, примерно на такую же сумму. Переводы датированы 05.07 и 06.07. Несмотря на то, что обращение по мошенничеству и блокировке от меня поступило 04.07. Мистика? Невероятно? А мошенники смогли – как?
Мошенники знали номер телефона и паспортные данные жертвы. Позвонили на горячую линию Опсоса и под предлогом, к примеру, потери телефона, заблокировали номер ТС. Потом в мобильном приложении переключили способ получения кодов с СМС на Push (видимо это делается у Альфы без подтверждения). Ну а дальше подали заявку на кредит с указанной суммой, подтвердив её кодом из Push. Никогда не понимал подтверждение кодами из Push операций в мобильном приложении. Смысла ноль целых, ноль десятых
Октябрь 2020 — было 2 СМС от Альфа-банка что подана заявка на на оформление ипотеки(!). Клиент увидел, что на него оформлен кредит. Заявление в полицию написано, клиент не платит, по кредиту просрочка, банк трезвонит клиенту чтобы гасил кредит.