«Альфа-банк» продолжает переделывать «Альфа-клик»: теперь там появилось предупреждение для пользователей, что вскоре одноразовые пароли пользователям будут отправляться не по SMS, а передаваться посредством USSD.



Там же приводится аргументация в пользу нововведения:

  • USSD – это более безопасный канал для отправки одноразовых паролей чем SMS.
  • USSD-сообщение с одноразовым паролем приходят практически мгновенно.
  • USSD-сообщение сразу же отобразится на экране вашего телефона – нет необходимости переходить в раздел SMS.
  • USSD-сообщение с одноразовым паролем не сохраняется в телефоне и, соответственно, не «засоряет» вашу важную историю SMS от Альфа-Банка.

Они же честно предупреждают о минусах USSD:

  • Если закрыть, то сообщение пропадет безвозвратно (нигде не сохраняется) – нужно будет запросить пароль повторно.
  • На телефон с операционной системой IOS, находящийся в «спящем режиме», USSD-сообщение не придет. Нужно будет запросить пароль повторно. Лучше держать телефон активным в момент получения одноразового пароля.
  • В зависимости от модели телефона и установленной операционной системы, USSD-сообщение может приходить без звука. Настроить это нельзя.
  • На текущий момент одноразовые пароли в USSD-сообщении будут приходить только абонентам Билайн, МТС, Мегафон. Для абонентов других операторов одноразовые пароли будут приходить в виде SMS-сообщения.
  • При повторном запросе пароля он также придёт уже в SMS-сообщении.

При этом самый главный минус явно остался не учтённым: USSD-сообщения выводятся даже на заблокированном экране в открытом виде (по крайней мере, на Android 5) — а значит, любой получивший доступ к телефону, даже заблокированному, владельца аккаунта в «Клике» (например, когда он просто лежит на столе в ваше отсутствие), сможет распоряжаться им как своим собственным.

Отказаться от этого нововведения можно, хотя и не слишком просто: нужно отправить свои ФИО, дату рождения и номер телефона на pass@alfabank.ru либо позвонить по телефонам 8 (800) 200-00-00 или +7 (495) 78-888-78.

Комментарии (63)


  1. Piskov
    14.06.2015 13:24
    +5

    Прошло два года после Тинькова.


    1. andorro Автор
      14.06.2015 13:44

      Даже так. Интересно, а Тиньков с тех пор отказался от USSD?


      1. Piskov
        14.06.2015 13:56
        +2

        Местами: теперь грамотно делают (USSD приходит при действиях внутри мобильного приложения, когда телефон априори разблокирован).


        1. imbeat
          16.06.2015 13:19

          Позволю заметить, что тут не «априори». У меня например мобильное приложение установлено на планшет, а коды приходят на обычный телефон (Nokia C2 — не смартфон). То есть может возникнуть ситуация, что планшет заблокирован, а на телефон код пришел.


      1. Mad__Max
        14.06.2015 17:18
        +1

        Для мобильного приложения вроде еще используют (не уверен — им не пользуюсь), а вот для обычного интернет-банка я USSD вообще никогда не видел, хоть их клиент давно. Не очень понял о чем там писали (может тоже только про мобильный банк?) — мне всегда одноразовые пароли исключительно только в виде SMS приходили как раньше, так и сейчас только в SMS приходят.

        Тут как понял у Альфы и для обычного интернет банка это включается — при доступе с обычных ПК.


  1. Slader
    14.06.2015 15:39

    К счастью, отказаться от этого нововведения можно, хотя и не слишком просто

    Отправил письмо сразу же, как узнал о нововведении. Не помогло :(


  1. mikes
    14.06.2015 15:50
    +2

    Таки ussd или flash SMS. По описанию немного непонятно.


    1. Lisio
      14.06.2015 15:56

      Именно USSD — click.alfabank.ru


  1. KriMs
    14.06.2015 16:03

    USSD-сообщения выводятся даже на заблокированном экране в открытом виде (по крайней мере, на Android 5)

    Ничего подобного не наблюдаю. Включён графический ключ на андройд 5(телефон galaxy a7) и ussd сообщение не отображается вообще до тех пор, пока ключ не будет правильно введён.
    Графический ключ — это когда нужно точки соединить в правильном порядке.


    1. andorro Автор
      14.06.2015 16:51

      Я перед тем как это писать специально проверил на своей Xperia:

      Скрытый текст


      1. KriMs
        14.06.2015 17:08

        Если у вас есть возможность включить блокировку с помощью «рисунка» — то включите и такой проблемы у вас не возникнет.


        1. andorro Автор
          14.06.2015 17:11

          У меня графический ключ и стоит. Выводится поверх него.


          1. forgot10
            14.06.2015 18:07

            Протестируйте пожалуйста во втором и третьем режиме puu.sh/ioylm/095893110b.jpg


            1. andorro Автор
              14.06.2015 18:21

              Без разницы. Эти настройки на вывод USSD не влияют.


          1. KriMs
            14.06.2015 18:10

            Ну может различия с прошивках у самсунга и у сони. Или может где-то что ещё в настройках выставлено.
            Но в общем у меня ussd сообщение показывается только после разблокировки.

            P.S. Во вкладке «звуки уведомления» в разделе «Уведомления блокировки экрана» включено «скрыть содержимое».
            Хотя протестил и с этим, на показ ussd сообщений эта настройка не влияет… Всё равно только после разблокироки, даже если включить «показ содержимого».


            1. andorro Автор
              14.06.2015 18:22

              У меня за экраном блокировки только интерактивные окна, вызываемые по USSD-командам (например, *105# Мегафона). А сообщения с балансом и т.п. выводятся прямо поверх — видимо, с паролями тоже будут так (проверить не могу, т.к. у меня пока альфа-клик шлёт пароли в виде SMS).


      1. perk
        15.06.2015 11:50

        Видимо это настройка. И некоторые производителя не считают нужным ее включать.

        MotoG A5.0.2
        Настройки/Звуки и уведомления/На заблокированном экране/Не показывать ничего
        Не показывает до снятия блокировки


  1. maseal
    14.06.2015 17:36
    +2

    Как клиент Альфы, хочу дополнить чисто пользовательским мнением: эти USSD-пароли приходят примерно 1 раз из 5, слава богу есть возможность «отправить код повторно» и тогда он приходит уже обычной SMS без всяких проблем.


  1. stalinets
    14.06.2015 17:37
    +4

    SMS в любом телефоне реализовано более-менее одинаково и просто, потому что это базовая и очень популярная услуга.
    А вот USSD на разных моделях работает как угодно, и далеко не всегда хорошо.

    Кстати, проведите кто-нибудь ликбез, что такое USSD SMS, что такое SMS CB, FlashSMS, широковещательные с указанием разрешённых каналов и прочее. А то в каждом телефоне оно называется по-своему.


  1. globik
    14.06.2015 19:02
    +1

    При этом самый главный минус [...] USSD-сообщения выводятся даже на заблокированном экране [...] любой получивший доступ к телефону
    Надуманная проблема: если злоумышленник таки получил телефон в свое распоряжение, ничто не мешает ему извлечь из него симку и вставить в свою нокию.


    1. Arlakz
      14.06.2015 19:23
      +1

      PIN-код?


      1. globik
        14.06.2015 21:28
        +1

        Даже среди айтишников, осознающих опасность утери сим карты в 2012 году, 66% не использовали блокировку PIN-кодом. Что уж говорить о людях, не обременённых знаниями об информационной безопасности.


        1. Arlakz
          15.06.2015 13:59

          Опросы такие опросы…

          Ну я на не основных номерах не использую. Просто потому что там ничего нет. Ну и к тем телефонам ничего не привязано.


    1. DunkanVS
      15.06.2015 08:27

      Альфа-банк детектит как смену телефона, так и замену сим-карты. Чтобы после такого действия продолжить нормально пользоваться интернет-банком, нужно дозвониться к ним и подтвердить, что ты владелец и действительно поменял телефон или сим-карту.


      1. immaculate
        15.06.2015 10:12
        +2

        Это не на 100% надежно работает. Я мог входить в интернет-банк еще около дня или двух после смены сим-карты. Подобные проблемы были и с другими банками.


      1. JerleShannara
        15.06.2015 16:57
        +3

        Симку менял год назад — ничего не изменилось, телефон — за последние три месяца четыре раза менял потроха (материнскую плату в оном) — снова ничего


  1. Arlakz
    14.06.2015 19:15
    +3

    Меня больше печалит поведение сбербанка
    Сейчас при смене карт очень активно втюхивают мобильный банк в тч пенсионерам.
    Отказаться сразу просто невозможно — карта теперь активируется только по телефону.
    Потом приходится повторно идти и писать отказ — а не все на это пойдут — слишком не хочется лишний раз стоять в очереди и заполнять кучу бумажек, да еще и операторы активно отговаривают…
    Если бы все работало как задумано — вопросов бы не было.
    Но все чаще появляются истории как сняли деньги с карты украв(сделав клон) сим-карту
    В общем все хуже и хуже.


    1. Mad__Max
      15.06.2015 00:51

      Еще и вирусами воруют — т.к. у Сбера есть вариант проводить операции вообще без установки какого-либо приложения (через отправку смс на определенного формата на служебные короткие номера) и она по умолчанию всем втюхивается, то словив зловреда на телефон который был указан при оформлении карты можно остаться без денег на этой карте. Вирус их перекинет на сберовскую карту воришки отправив нужные смс, заодно сотрет пришедшие смс-уведомления о проведенных операциях — чтобы человек сразу не заметил что его обокрали и у воров было время перекинуть деньги дальше или обналичить их.


      1. teifo
        15.06.2015 13:00

        Для этого можно завести отдельную продажную девку отдельную карту, с минимальной суммой или текущей необходимой и светить везде только ее. Основную карту держать дома, и никогда ее данные не светить нигде. Тогда максимальная сумма, которую можно потерять, будет та, которую вы сами решите. Как правило десятки тысяч в день на расходы мало кому нужны, а тем кому нужны наверное используют иные решения. Я лично так уже и сделал. Зарплатная карта теперь храниться дома и все операции выполняю через сбербанк онлайн в вебе.


        1. Mad__Max
          16.06.2015 10:32

          Думаете те кому эти карточки в сбере втюхивают(как зарплатные или «социальные») во всем этом разбираются и будут соблюдать эти меры?
          К тому же в данном конкретном случае это в целом разумная мера безопасности не поможет — карту (или ее реквизиты) «светить» не надо — достаточно указать мобильник при ее оформлении (на который сбер сразу радостно привяжет мобильный банк не спрашивая, а на надо ли это клиенту вообще?) и потом словить вирус на этот телефон (или потерять его без использования надежных блокировок и не успеть вовремя симку заблокировать). Этого достаточно чтобы увести средства даже если сама карта все время лежала «дома в сейфе» и нигде не засветилась.

          P.S.
          Мне так проще сбером не пользоваться в принципе. Хотя вынужден, т.к. карта была навязана как зарплатная, но ее использование сводится к переброске денег сразу по поступлению з/п на нее один раз в месяц на карту одного из нормальных банков с возможностью гибкой настройки лимитов и создания «виртуальных» карт для «сомнительных» применений.


          1. teifo
            16.06.2015 11:24

            Дело в том, что от основной карты я мобильный банк отключил совсем. Поставил эконом на продажную девку


            1. Mad__Max
              20.06.2015 01:59

              Ну тогда другое дело, тут уже до денег без вашего ведома не добраться.
              Вот только делает так явное меньшинство среди клиентов сбера…


              1. teifo
                20.06.2015 12:34

                А зачем? С учетом того, что до сих пор чаще карточку обналичивают? Странно другое, почему мобильный банк скажем не спрашивает моего пароля, который я бы мог менять через сайт. Тогда даже если телефон возьмет чужой, он не сможет использоваться смс переводы. Или я чего-то не знаю.


          1. imbeat
            16.06.2015 13:25

            Не вынужден. По ТК вы можете написать заявление в бухгалтерию о том, что хотите получать ЗП на другую карту (с укзаанием ее реквизитов). Отказать они не враве.
            Цитата ст.136 ТК РФ:

            Работник вправе заменить кредитную организацию, в которую должна быть переведена заработная плата, сообщив в письменной форме работодателю об изменении реквизитов для перевода заработной платы не позднее чем за пять рабочих дней до дня выплаты заработной платы.


            1. Mad__Max
              20.06.2015 01:57
              +1

              Да, я знаю. В теории.
              В моем случае разбивается о практику — небольшая частная фирма, где вся «бухгалтерия» это один человек — раздолбай пофигист, который просто НЕ ХОЧЕТ делать, ему проще/удобнее/быстрее когда все на Сбере (тем более и р/с самой фирмы там же).

              Директору пожаловаться на бухгалтера тоже не вариант — он про его лень и раздолбайство и так давно уже в курсе, но ничего делать по этому поводу не собирается, т.к. у них какие-то личные связи. Они собственно фирму эту по сути и основали когда-то (директор еще и основной совладелец).
              В общем «качать права» не вариант. Если бы о чем-то принципиально важном речь шла еще можно было попытаться. А на такие вещи проще забить.


    1. pessom
      15.06.2015 10:41

      Мобильный банк возможно отключить позвонив по номеру 8-800, да придется потратить 10-15 минут времени на общение с оператором, но это лучше, чем идти в отделение банка и потратить в разы больше времени.


      1. snp
        15.06.2015 11:57

        Отправить SMS на номер 900 с текстом «БЛОКИРОВКАУСЛУГ» (без пробела), отключает мобильный банк.


        1. pessom
          15.06.2015 12:05

          Это только приостановка услуги, смс перестанут приходить, но абонентская плата будет так же взиматься.
          Не подходит при смене номера телефона.


          1. snp
            15.06.2015 12:34

            Вы путаете. За «мобильный банк» никакой платы не берётся. Берётся плата за уведомления об операциях по картам, это отдельная штука. Но её, если очень надо, тоже можно отключить (перейти на «экономный пакет», в интернет банке это настраивается). Тогда при оплате картой не будут приходить SMS.

            Если номер поменять, а это не каждый день происходит, то можно ещё раз отправить такую SMS.


            1. KorDen32
              15.06.2015 12:55

              Кстати, может вы подскажете…
              Я хочу оставить только SMS-сообщения для подтверждения через Сбер.Онлайн, при этом заблокировать любые операции через SMS на 900 (по шаблонам, пополнение мобильного и т.д.). Наотключал в Онлайне всякие «опция быстрый платеж» и т.д., но по идее по шаблонам можно платить и свой номер можно пополнять.
              Судя по тому, что я читал, получается что после отправки «БЛОКИРОВКАУСЛУГ» заблокируется и прием SMS, нет? Возможно ли как-то (через Call-центр?) это реализовать (оставить только прием SMS с кодами подтверждения и уведомления об автоплатежах, но заблокировать «исходящие» операции), вы не в курсе?


            1. teifo
              15.06.2015 13:02

              Присоединяюсь к вопросу


            1. pessom
              15.06.2015 13:15
              +1

              Ничего не путаю, рассказываю с чем неделю назад столкнулся я. Необходимо было сменить номер мобильного телефона.
              Был подключен так называемый «полный пакет». В call-центре сообщили, что смена номера происходит по процедуре — отключение старого номера телефона(call-центр или обращение в отделение) и подключение нового номера (где угодно). После общения с оператором прилетела смс на старый номер, в которой был запрос на подтверждение отключения услуги.
              p.s. я все к тому, что оператор больше не сообщила никаких вариантов для смены номера, Ваш вариант считай лайфхаком, возьму на заметку.


              1. snp
                15.06.2015 20:17

                Со сменой номера не сталкивался, очевидно это внесло дополнительные сложности. Если просто отключить «мобильный банк», то нет никаких лайфхаков, всё по инструкции: data.sberbank.ru/moscow/ru/person/dist_services/inner_mbank


            1. Mad__Max
              16.06.2015 10:47

              Однако такой смс мобильных банк именно «приостанавливается» (временно блокируется), а не отключается.
              И плата за смс сохраняется если предварительно перед блокировкой не перейти с «полного» на «экономный» пакет. И его возможно и обратно включить удаленно без личного посещения отделений.
              Об этом сам сбер и пишет:

              Обратите внимание, что в данном случае запрос блокирует саму услугу. Вы не будете получать SMS запросы и уведомления, однако абонентская плата будет по-прежнему списываться с вашего счета. Полностью отключить услугу можно лишь способами описанными ниже


              Такой услуги как «смс уведомления об операциях» у Сбербанка нет (в отличии от многих других банков, где это выделено в отдельную услугу). Есть только 2 пакета (варианта) мобильного банка — урезанный условно бесплатный(правильнее — без абонентской платы) не подразумевает таких уведомлений. И полный платный, где они включены в стоимость вместе с другими услугами.

              Подробнее всего все варианты тут расписаны:
              3 способа отключения «Мобильного банка» от Сбербанка Р.Ф.


              1. snp
                16.06.2015 11:06

                > именно «приостанавливается» (временно блокируется), а не отключается.
                И в чём разница?


                1. Mad__Max
                  20.06.2015 02:02

                  1. В том что можно разблокировать, т.е. включить обратно так же удаленно (без личного присутствия клиента и без проверки документов, хотя вроде номер карты еще потребуется для этого помимо доступа к телефону)
                  2. Если был стандартный (а не «эконом») вариант подключен — то все время блокировки продолжает списываться абонентская плата в отличии от полного отключения


          1. KorDen32
            15.06.2015 12:50
            +1

            Подходите к любому банкомату-терминалу и подключаете экономный пакет мобильного банка на этот же номер, а потом блокируете


      1. Arlakz
        15.06.2015 14:04

        Вот только была не одна история как на отвязанный от банк. карты номер все равно приходили SMS… На хабре такое то же писали. В общем пока это все у них работает через одно место ;-(


  1. asocial
    14.06.2015 19:41
    +3

    А я вот огорчился, ибо пользуюсь Pushbullet на телефоне и на ноуте, соответственно все смс выводятся сразу на ноут и не надо тянуться за телефоном, чтобы посмотреть смс пароль, а вот USSD через Pushbullet не передаются.


  1. elite7
    14.06.2015 20:08
    +2

    А когда сделают Google Auth вместо sms?
    Телефон может не работать в другой стране, дорогие sms.
    Или симка может быть временно вытащена и вставлена другая, удобная в этом городе.


    1. PingWin
      14.06.2015 21:07

      У них есть своё подобное: alfabank.ru/retail/internet/security/key
      Но почему-то за отдельные деньги…


      1. sindrom
        14.06.2015 21:14
        +8

        У альфа банка почти всё «за отдельные деньги»…


        1. nomadmoon
          15.06.2015 09:04

          Звонки в 4 часа ночи в течение года(!!!) чтобы сообщить что дальний знакомый при оформлении кредита указал меня как контактное лицо у них, сцуко, бесплатно.


      1. elite7
        15.06.2015 10:05

        Вау. Спасибо добрый человек!
        Не знал, что есть аналог под собственным брендом.

        300 руб в год. Хмм.

        Отзывы очень на google play плохие, но все равно буду попробовать, смски реально бесят.
        И нет никакой уверенности, что USSD более безопасны, и не перехватываются, как смс.

        auth на многих сайтах и не понимаешь, почему же обычный банк не умеет это.


    1. FreeLSD
      15.06.2015 03:49

      Google Auth, думаю, никогда.


    1. umniks
      15.06.2015 23:39

      Входящие смс в любой стране бесплатны. Ну а чтоб телефон где-то не работал — это наверное или роуминг отключить надо, или посреди пустыни оказаться, где нет связи. Другая симка — да, неудобно, но так ли часто приходится где-то в другой стране делать переводы?


      1. elite7
        16.06.2015 07:39

        Входящие смс могут быть платны, зависит от тарифа. И от роуминга.
        Или я чего-то не знаю.

        Обычно приезжаешь в другой город или страну и покупаешь местную симку. Старую вытаскиваешь.
        Так гарантировано ты не потратишь 100500 денег на роуминг.

        А заплатить за квартиру, телефон нужно через банк.


  1. m0n9oose
    14.06.2015 22:30

    Поправка: Android 5 имеет настройку показывать ли содержимое сообщения на заблокированном экране. Это означает, что вы можете отключить показ текста, и будете видеть только что-то вроде «1 сообщение от ХХХ», не более.


    1. andorro Автор
      14.06.2015 22:32

      Это не имеет никакого отношения к USSD: оно либо не выводится вообще, либо выводится целиком, и в настройках не регулируется.


      1. m0n9oose
        14.06.2015 22:38
        +4

        Хм, странно. Не было возможности проверить, вообще не припомню когда в последний раз получал такое сообщение.

        В общем и целом жутко раздражает это нежелание альфы отказываться от мелких платных услуг и развиваться так же быстро как некоторые конкуренты. Деревянное приложение альфа-мобайл, в котором из настроек только выбор карты, которыйн ни на что не влияет и галочка на получении уведомлений о новостях, которая тоже не работает совершенно. И при этом никаких настроек интерфейса. А теперь вместо того чтобы наконец отказаться от этих смс в пользу пушей они городят огород с ussd, только бы не потерять платную услугу. При первой же возможности сменю этот банк на другой.


        1. immaculate
          15.06.2015 06:26
          +1

          И отсутствие начисления процентов на остаток на счете, как у Тинькова, например. Есть только Мой Сейф со смешным процентом, и какие-то накопительные счета, которые начисляют что-либо лишь при остатке от 100-300 т.р. (не считая депозитов, но депозиты — это другое).

          И кэшбэка тоже нет.


        1. SpiritOfVox
          17.06.2015 00:54
          +1

          Обратите внимание, что то приложение в котором можно делать переводы оно тоже платное. Вообще большинство вещей которые могут быть платными у этого банка платные, а если, что-то бесплатно, то вероятно вы заплатили за это опосредовано, но не так скрытно как у других.


  1. navion
    15.06.2015 12:05
    -2

    Что на главной делает копипаста из справки компании с корпоративным блогом? Раньше за такое банили, а тут уже второй пост новостей этой шарашки.