Альфа банк и странное смс мошенничество?

Question

[keith]

Странный способ мошенничества.


Решил оплатить домашний телефон (МГТС) онлайн через альфа-банк. Благополучно выполнил платеж и через несколько минут получил смс следующего содержания:

Podtverdite oplatu scheta MGTS na summu 331.00 RUR za nomer 495xxxxx. Parol: 36b7x4xr. Alfa-Bank


Где 495xxxxx — это телефон, который я оплачивал.


Меня несколько удивил такой способ работы и я залогинился в личный кабинет (альфа-клик, как обычно — через временный пароль который приходит смс'кой после ввода логина/пароля). В интерфейсе никаких следов запроса на ввод присланного пароля я не обнаружил и решил позвонить в банк, чтобы мне объяснили куда собственно этот пароль нужно ввести.


После 10 минут ожидания оператор услышав в чем дело попросил подождать. Еще 5 минут слушал «let my people go» в плохом качестве. Второй оператор так же сразу попросил подождать и переключил на третьего оператора. Я подготовился третий раз рассказывать поднадоевшую историю, но мне не пришлось — третий оператор взяв трубку сразу заявила, что это мошенничество и чтобы я никуда ничего не вводил. После непродолжительных распросов мне не удалось узнать ответы на интересующие меня вопросы:

1. В чем собственно заключается факт мошенничества, если я никаких денег не теряю?
   
   Куда я должен ввести пароль и что должно произойти?
   
2. Соединение с альфа-банком происходило по протоколу https, но мошенники смогли узнать номер телефон МГТС, который я оплачивал.
   
3. Если злоумышленники узнали номер телефона, который я оплачивал пока был в защищенном моединении с банком, то что мешало им узнать все мои данные, доступные в тот момент?
   

Присланный пароль как временный вводить не стал, но думаю если его генерировали злоумышленники, а не альфа-банк, то он бы просто не подошел.


Кто-нибудь знает что это такое?

Comments

[eternals]

Я правильно понимаю, что когда Вы оплатили за телефон, в момент оплаты Вам так же пришло СМС и вы вводили пароль?

[gaelpa]

По вашему повествованию очень сложно представить реальную последовательность действий, и создается впечатление, что это был правильный запрос на подтверждение вашего платежа. Может распишете подробную хронологию событий?

[keith]

Последовательность действий:

Зашел на click.alfabank.ru, ввел логин/пароль.
Получил одноразовую смс для текущей сессии.
Войдя в кабинет перешел «платежи» -> «городская связь».
Ввел все необходимые данные.
Нажал кнопку «сгенерировать временный пароль» для текущей операции.
Получил смс с кодом для этой операции — ее не сохранил, но подозрений она не вызвала, ввел код из этой смс.
Получил сообщение от системы, что операция выполнена успешно.
Через пару минут получил смс от «мошенников».

Answer 1

[kurd]

Мошенничество для «теть по телефону» — коронная фраза, когда они не знают, что делать и что сказать. Именно поэтому и переключали операторов.

Comments

[keith]

Я одно время то же был склонен думать что это все же альфабанковская смс, но ведь пароль от нее вводить никуда не пришлось, значит смс смысла не несет.

Answer 2

[volanddd]

Похоже на трояна — habrahabr.ru/blogs/infosecurity/113787/

Answer 3

[eternals]

2. Есть много способов. Например, подмена DNS. Вы просто соединяетесь с сервером мошенников и отдаёте им данные. А они соединяются уже с сервером Альфы.

3. Ничто не мешало, просто любой вывод денег СМС-подтверждения требует.

Comments

[gaelpa]

DNS spoofing даст предупреждение сертификата (по крайней мере, я не представляю как этого избежать), не думаю что keith это пропустил мимо внимания. Мне тут представляется возможным только троян.

[eternals]

Про сертификат верно. Но можно тупо пропустить запрос от браузера (на автомате внести) и не все версии браузеров об этом трубят.
Троян, да, больше позволяет.

[gjf]

Троян вряд ли будет себя выдавать. Подмену страницы — да, отправку инфы о карте на сторону — тоже да, но зачем автоматом слать смс? Цель такого хода непонятна, а по сути это — самый важный вопрос.

[keith]

Запрос левого сертификата не подтверждал.
Браузер — хром.

[kirushik]

А кто из здесь присутствующих 100% уверен, что он заметит, когда вместо https click.alfabank.ru откроется в обычном http?

Если бы я перехватывал защищённые сессии, то просто разворачивал бы обёртки на перехватчике и незашифрованными транслировал ответы клиенту. Браузеры в ответ на это тревоги не поднимают.

[eternals]

kirushik, трезвая мысль.

[keith]

kirushik,

1. Я каждый раз внимательно смотрю, чтобы протокол был https. Работаю исключительно под хромом.
2. А смс зачем посылать?

Answer 4

[Monca]

А в чем мошенничество?
Вы впервые пользовались кликом? Все оплаты должны быть подтверждены одноразовым паролем.
Может и параноя, но меня один раз спасло, когда на телефон вместо 3000 чуть не положил 30000.

Comments

[Fr3nzy]

С недавних пор они убрали подтверждение оплаты мобильных телефонов как минимум. Во всяком случае, если оплачиваешь по шаблону.

[Monca]

Не то, чтобы я не верил. Но такое изменение было бы в новостях (в личном кабинете всегда полно спама о кредитах и всех изменениях). Жена платила в начале месяца — подтверждения не было.

[Monca]

Т.е. подтверждение было

[Олег Матрозов]

Недавно платил по шаблону на телефон себе и жене, подтверждения не было.

[Monca]

Может от региона зависит?

[Олег Матрозов]

Фиг знает, я в Нижнем Новгороде живу. Раньше всегда было подтверждение (часто долбало это), теперь исчезло. Видимо не одного меня долбало подтверждение при платеже по шаблону.

[Sergey]

Емнип, с недавних пор платежи по шаблонам на суммы меньше 500р проводятся без одноразового пароля. При условии, что вход в клик настроен с одноразовым паролем (при желании это отключается, но тогда любые платежи нужно аппрувить паролем из смс).

[keith]

Первый раз оплачивал городскую связь, а для других целей пользовался уже много раз и процесс вопросов не вызывал.
На сколько я помню — если платить через клик, то временный пароль нужен, а если через мобайл по шаблону, то не нужен.

Answer 5

[Sergey]

Не нужно исключать вариант сбоя ПО на стороне банка, которое дважды отправило смс с разным паролем. Я правильно понимаю, что текст идентичен, кроме пароля?

Comments

[keith]

Интересная идея, я не помню текст оригинальной смс, поэтому сегодня еще раз оплачу — посмотрю что будет.

[eternals]

А почему «кроме пароля»? Если был повтор из-за сбоя отправки СМС оператором, то пароль в течении нескольких минут будет тем же.

[Sergey]

Я не случайно сказал «сбоя ПО на стороне банка».

[eternals]

Касаемо именно «стороны банка», то я сомневаюсь. Во-первых, что там такой сбой вообще может быть.
А во-вторых, теоретически, второй созданный пароль должен подменить первых. Хотя, конечно, он мог быть сгенерирован после завершения предыдущего.

[Sergey]

Может-может, поверьте мне.

Answer 6

[keith]

Только что повторил процедуру, текст смс которая пришла от якобы злоумышленников полностью совпадает с смс от альфа-банка на проведение конкретной операции платежа. Похоже действительно адбфа-банк сглючил и прислал две смс.