Форум

Альфа банк взлом приложения

взломали приложение альфа банк

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

10.08.2021 09:57

Добрый день, кто знает это был троян на смартфоне, или другой способ взлома.

у мена самсунг а20, вошли со xiaomi. Повезло что увидел уведомление через 3 минуты, сразу и удалил устройство как недоверенное, скрины приложу.

https://ibb.co/xFyh9SB

https://ibb.co/chR55Pr

https://ru.imgbb.com/

Карту заблокировал(зарплатная), жду новую.

Изменено: unix77- 10.08.2021 10:03 (скрин)

hdx1000

Сообщений: 9477Регистрация: 04.08.2016 Репутация: 515 Город: Санкт-Петербург

10.08.2021 10:31

Цитата
unix77 пишет: Добрый день, кто знает это был троян на смартфоне, или другой способ взлома.

Для авторизации устройства нужен код из СМС. Если контроль над смартфоном не теряли, то лучше пересмотреть приложения, которые имеют доступ на чтение СМС.

Nadi Volskaya

Сообщений: 609Регистрация: 07.10.2019 Репутация: 32

10.08.2021 10:32

Цитата
unix77 пишет: способ взлома

Как привязали стороннее устройство банк не рассказал ? У них к новой карте доступ не сохранится ?

hdx1000 Сообщений: 9477Регистрация: 04.08.2016 Репутация: 515 Город: Санкт-Петербург	#4 10.08.2021 10:34 Интересно, какие лимиты в течение 24 часов на вывод, и есть ли возможность оформления кредитов?
	1

unix77 Сообщений: 14Регистрация: 10.08.2021 Репутация: 0	#5 10.08.2021 10:36 помню что переходил в инстаграм, по короткой ссылке, после перешел на сайт, и сразу закрыл его. сейчас установил антивирус, проверил смартфон
	0

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

10.08.2021 10:38

Цитата
Nadi Volskaya пишет: Как привязали стороннее устройство банк не рассказал ? У них к новой карте доступ не сохранится ?

в банке были лишь менеджеры, приняли заявление и все. Доступ вряд ли сохраниться, в приложении если устройство недовереное, его можно удалить.

Изменено: unix77- 10.08.2021 10:40

uGNot

Сообщений: 498Регистрация: 18.02.2014 Репутация: 18

10.08.2021 10:42

Цитата
unix77 пишет: Добрый день, кто знает это был троян на смартфоне, или другой способ взлома. ...

Очень похоже, что это была попытка рекламы новой фичи Альфа-банка, которая ожидаемо меняет ровным счетом ничего.

Вечером ~~стулья~~ новость утром ~~деньги~~ тема на форуме.

Очень порадовала фраза из новости:

Цитата
«Секретный код — хороший пример технологии, разработанной со знанием психологии человека», — отметил директор по цифровому бизнесу, член правления Альфа-Банка Иван Пятков.

Уж не знаю психологию какого человека в АБ знают, но у большинства клиентов эти секретные коды будут днем рождения, пин-кодом сим-карты и смартфона, паролем от почты и еще десятка приложений.

hdx1000

Сообщений: 9477Регистрация: 04.08.2016 Репутация: 515 Город: Санкт-Петербург

10.08.2021 10:48

Цитата
uGNot пишет: Уж не знаю психологию какого человека в АБ знают, но у большинства клиентов эти секретные коды будут днем рождения, пин-кодом сим-карты и смартфона, паролем от почты и еще десятка приложений.

Насколько понял, то фишка в том, что он привязан к устройству. Пользы от него без устройства нет никакого.

unix77 Сообщений: 14Регистрация: 10.08.2021 Репутация: 0	#9 10.08.2021 10:52 после общения в чате приложения альфы, общение прерывается и доступ к приложению закрывается, далее еду в банк https://ibb.co/k3hy9Wd
	0

uGNot

Сообщений: 498Регистрация: 18.02.2014 Репутация: 18

#10

10.08.2021 10:56

Цитата
hdx1000 пишет: Насколько понял, то фишка в том, что он привязан к устройству. Пользы от него без устройства нет никакого.

Приложение уже привязано к устройству и у него есть вариант логина с пасскодом, а не отпечатком пальца. Альфа банк торжественно переизобрел пасскод. Аплодисменты!

Лучше бы ТС действительно про лимиты и ограничения рассказал.

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

#11

10.08.2021 10:57

Цитата

uGNot пишет:
Приложение уже привязано к устройству и у него есть вариант логина с пасскодом, а не отпечатком пальца. Альфа банк торжественно переизобрел пасскод. Аплодисменты!

Лучше бы ТС действительно про лимиты и ограничения рассказал.

не совсем понял, вчера не проверял этого

hdx1000

Сообщений: 9477Регистрация: 04.08.2016 Репутация: 515 Город: Санкт-Петербург

#12

10.08.2021 11:06

Цитата
uGNot пишет: Приложение уже привязано к устройству и у него есть вариант логина с пасскодом, а не отпечатком пальца.

Да, только пароль действителен на всех устройствах, а тут, насколько понял, данный код действителен только на одном единственном устройстве. Разница существенная. Это как NFS токен.

goingup

Сообщений: 320Регистрация: 28.01.2021 Репутация: 43

#13

10.08.2021 11:22

Цитата
uGNot пишет: Лучше бы ТС действительно про лимиты и ограничения рассказал X

15000 рублей в день на "некоторые операции", например, "на переводы по номеру карты или реквизитам счёта и оплату штрафов".
https://alfabank.ru/everyday/online/sekretnyj-kod/

С этим секретным кодом путаницы только добавилось. Как сейчас проходит авторизация нового недоверенного устройства, если уже есть доверенное? Есть ли код из смс, или спрашивается только секретный код? В первом случае надо искать, кто слил смс и было ли оно отправлено вообще. Во втором случае надо им руки повыдергивать.

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

#14

10.08.2021 11:24

Цитата
uGNot пишет: чень похоже, что это была попытка рекламы новой фичи Альфа-банка, которая ожидаемо меняет ровным счетом ничего. Вечером ~~стулья~~новость утром ~~деньги~~ тема на форуме.

только прочитал, так это код от приложения, он давно был

goingup

Сообщений: 320Регистрация: 28.01.2021 Репутация: 43

#15

10.08.2021 11:31

Цитата
unix77 пишет: https://ibb.co/k3hy9Wd

"В мобайл так же был вход по пину".
Т.е. на полном серьезе вход в альфа-мобайл с установленным секретным кодом - это номер телефона и секретный код, и больше ничего? Единственная защита - уведомление и 15000 рублей за день?
Да не может такого быть. Не верю. Может ли кто-нибудь с установленным секретным кодом проверить авторизацию второго устройства?

AlekseevIR

Сообщений: 4336Регистрация: 29.10.2018 Репутация: 481 Город: Воронеж

#16

10.08.2021 11:31

Цитата
unix77 пишет: помню что переходил в инстаграм, по короткой ссылке, после перешел на сайт, и сразу закрыл его.

Что за ссылка? Не на акцию? На какой сайт перешли? Что вводили? Запрос на номер карты был? Пытались авторизоваться в "личном кабинете" вводя номер карты, телефона, код из СМС? Авторизоваться не получилось?

Заблокированный Совкомбанком за операции, несущие репутационные риски банку.

uGNot

Сообщений: 498Регистрация: 18.02.2014 Репутация: 18

#17

10.08.2021 11:34

Цитата
hdx1000 пишет: Да, только пароль действителен на всех устройствах, а тут, насколько понял, данный код действителен только на одном единственном устройстве. Разница существенная. Это как NFS токен.

Не пароль, а пасскод для входа в приложение (не у всех есть сканеры отпечатка пальца) - он привязан к конкретному аппарату и был с момента появления первых МП. Секретный код - это просто очередной маркетинговый "велосипед". Главное, что добавили - возможность просмотра привязанных устройств и удаления "лишних".

Вообще для банка из топ-10 позорно было не иметь этой возможности в 2021 году. Может и шелуха про код для того, чтобы отвлечь внимание от существовавшей до сих пор дырищи в безопасности.

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

#18

10.08.2021 11:45

Цитата

goingup пишет:
"В мобайл так же был вход по пину".
Т.е. на полном серьезе вход в альфа-мобайл с установленным секретным кодом - это номер телефона и секретный код, и больше ничего? Единственная защита - уведомление и 15000 рублей за день?
Да не может такого быть. Не верю. Может ли кто-нибудь с установленным секретным кодом проверить авторизацию второго устройства?

нет не так, месяц назад проверял, установил приложение на другой смартфон, ввел свой номер, и для входа нужен код из СМС ввести.

вот скрин - вчера удалил приложение, и установил по новой
https://ibb.co/rGqs2Wg

сегодня вошел в личный кабинет(ПК) + приложение - по номеру счета + СМС на смартфон

https://ibb.co/dfL6QKx

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

#19

10.08.2021 11:54

Цитата
AlekseevIR пишет: Что за ссылка? Не на акцию? На какой сайт перешли? Что вводили? Запрос на номер карты был? Пытались авторизоваться в "личном кабинете" вводя номер карты, телефона, код из СМС? Авторизоваться не получилось?

после клика на ссылку bit/.... перекинуло на сайт знакомств(там же в инсте), я сразу закрыл ничего не вводил. (просто подозрение может фишинг какой)

Изменено: unix77- 10.08.2021 12:15

gelioson Сообщений: 496Регистрация: 07.11.2019 Репутация: 29	#20 10.08.2021 12:24 unix77, а вам смска с кодом привязки нового устройства приходила? Закажите выписку у опсоса
	0

unix77

Сообщений: 14Регистрация: 10.08.2021 Репутация: 0

#21

10.08.2021 12:31

Цитата
gelioson пишет: unix77, а вам смска с кодом привязки нового устройства приходила? Закажите выписку у опсоса

да пришла
https://ibb.co/T89Ps3L

Alex133 Сообщений: 10565Регистрация: 03.11.2011 Репутация: 459 Город: Москва	#22 10.08.2021 13:13 Что касается "новости", то я так и не понял, чего же там нового? Отдельный пин/пасс/отпечаток для входа в мобильное приложение есть у всех банков уже много лет.
	0

unix77 Сообщений: 14Регистрация: 10.08.2021 Репутация: 0	#23 10.08.2021 13:18 вот Изменено: unix77- 10.08.2021 13:23
	0

Golikov.VV

Сообщений: 10067Регистрация: 28.05.2016 Репутация: 1050

#24

10.08.2021 13:23

Цитата
hdx1000 пишет: Пользы от него без устройства нет никакого.

От него есть хоть какая то польза? Я вообще ее не увидел. В Альфе в очередной раз изобрели велосипед

unix77 Сообщений: 14Регистрация: 10.08.2021 Репутация: 0	#25 10.08.2021 13:34 авторизовался с эмулятора далее захожу с самсунга (код ввожу старый (не тот который на эмуляторе one plus)) Удалить эмулированный one plus не могу Изменено: unix77- 10.08.2021 13:40
	0