Блог им. CharlesGeorgeBarrera

Бегите из Альфадиректа (брокер Альфа банка) пока не поздно

Пишу так как наболело.
Предполагаю одно из двух — или в Альфу закрались крысы, или в управление пришло поколение егэ (непуганные дурачки), что ещё хуже.

Последние изменения в Альфадиректе пугают своей тупостью:

1) В Альфадирект отказались от Криптопро и заменили его самописным дерьмом. Поэтому для осуществления сделки на рынке больше не нужен пароль, секретный сертификат теперь хранится на не флешке или рутокене, а на самом компьютере в реестре. Хранится без пароля… Установить пароль невозможно...

2) Все защиты строятся на СМС. Это касается и банка. Если у вас украли телефон или симку — вашим деньгам пиздец. Никакой двухфакторной авторизацией и не пахнет, украдут всё за 10 минут. Я задавал поддержке вопрос «какого х» — они ответили что это сделано специально, для «упрощения» работы.

3) Я им писал — не слушают советов и не воспринимают это всерьёз, поэтому улучшений не ждите

В связи с этим буду переходить к другому брокеру, айтишники Альфы идиоты, их руководство этого не понимает и становится только хуже.

PS: я сам айтишник и знаю о чем говорю, и такого пиздеца в банке/брокере с таким напревательским отношением к безопасности я терпеть не собираюсь и вам не советую

★12
Куда?
avatar

Jame Bonds

Ну да смешно будут спецом охотится за твоим баблом)))
avatar

Байкал

Байкал, умеешь же ты время от времени удивить!
Какая разница спецом или не спецом твои бабки уведут на раз?
Уводят даже при нормальной защите и даже прямо с банковского счета —
так зачем же им жизнь облегчать?
VladMih, а что у кого то с брокерского счета уже уводили?
Где примеры сколько таких человек?
Байкал, с банковских счетов статистика есть — это точно.
Даже из крутых банков.
С телефонного счета и с картсчетов вообще сплошь и рядом.

Ну а брокеры может скрывают, нет у меня такой статистики.
Может компенсируют потери, чтобы шума не было.
Куда бежать?

Если ты крутой айтишник, прийди к Фридману докажи, что ты прав и предложи свои услуги, дорого. Но думаю, что ты просто заблуждаешься…
попробуйте вынуть сим карту и вставьте ее в другой телефон и воля ваши канала доступы заблокированы, попробуйте перевести деньги в другой банк и вы засветили все счета, снимите в банкомате вас вычислят по камерам, нужно иметь огромный опыт что бы обойти все защиты службы безопастности банка
avatar

nikname

nikname, это все решается на раз.
Ну не пользуйтесь альфадиректом. У них еще есть Quick и мобильное приложение. Я вот снес альфадирект, надоело ради него держать здоровенную винду в виртуальной машине на маке…
Аркадий, А как Quick на маке?
Михаил Prozz, никак. Он под Windows только, либо для мобильных приложений.
nikname, оформить счёт на бомжа, вызвать такси, выйти в капюшоне и маске, снять деньги.
Уверен, есть и более продуманные схемы.
avatar

V.V.

nikname, проще завладеть счётом и лупануть по стакану в неликвиде, предварительно расставив заявки на счёте злоумышленника.Хотя то что вы описали не сработает потому что банкам просто плевать.
Да всё нормально в альфе )
А вот если они каждого «крутого» айтишника слушать начнут, вот тогда и наступит пиздецок )
Пишу так как наBarreло
avatar

YuryDok

В первые вижу человека который говорит что крипто про это круто...
очень старая ерунда и дико глючная
Заколебали из альфы.донимают из городского и из сотового.
avatar

nazarov ilya

Два поста и второй против Альфы… Лан, я сегодня с крипто торговал.
Не знаю что там у них за новации, у меня всё по-старому
дак ведь везде авторизация по смс  втб, сбер, открытие (давно правда не пользовался, может что поменялось).  Пожалуйста, звони, подавай заявки с голоса, подтверждайся по смс.
Надо найти какого нибудь богатенького буратину трейдера, отобрать у него телефон, и обогатиться...
хотя мне кажется, чем мудохаться с чужой сим картой и с авторизацией по смс, проще сразу полноценно ограбить несколько толстосумов…
Дмитрий К, Не нравится так… посылай письма с заявками ПОЧТОЙ РОССИИ… и будет тебе счастье… там где то
petr71, я не понял тебя. Что именно мне не нравится? Я нигде не написал, что мне что то не нравится.
Уточни, пожалуйста
Дмитрий К, да я продолжил твой пост… зачем в голос заявку давать — тогда уж письмом… чтобы по времени дольше в разы
petr71, При торговле внутри дня
что бы заменить сертификат нужно знать логин и пароль личного кабинета и уже оттуда только можно получить новый сертификат и подтвердить по смс
те это уже 2х факторная авторизация
то же самое если действовать с телефона, не попав в терминал сертификат не продлить

вот такие крутые айтишники пошли )

Дмитрий, вот дурачок...

reg export Hkey_local_Machine\Software\AlfaHyalfa C:\spizdili.txt

Spekyl, в аналы. 
Дмитрий, смс это не двухфакторная авторизация так как имея телефон можно восстановить и логин/пароль)
Алексей К [mozg], вот я зашел даже в альфа клик, через него восстанавливается все, что бы восстановить по телефону нужно еще и данные карты знать или счета

Наоборот, лучше стало.   Намного проще.
avatar

GenM

Хотел участвовать в ЛЧИ со своим счетом в Альфе.
Для этого надо подавать заявку и подписывать ее электронной подписью. 
Подать бумажную заявку в офисе Альфы? Неет, что вы, так нельзя...
Т.е. торговать со смартфона я могу, вводить и выводить со счета могу, а банальную заявку подать не могу.
Ради этого искать давно пролюбленную флэшку или восстанавливать подпись заново не стал. Минут за 20 открыл счет в ВТБ и подал заявку через них.

Норм там все. Пост ни о чем. В тинькофф лучше? Обвинения на пустом месте
avatar

TonyPi

Прав автор, или не прав в данном случае, я не хочу разбираться. Но Альфадирект — это АД. И то, что они тянут эту дрянь уже 15 лет, говорит о брокере плохо. А уж историю про их индексный ПИФ, в котором больные на всю голову юристы ввели выдачу и прием пая по вчерашним ценам когда-то не знал только ленивый. Там дошло до того, что СЧА выглядела как гребенка, настолько велики были однодневные вводы и выводы. Эффективные менеджеры окопались. чё!
avatar

SergeyJu

 Альфа -  уже авно ОТСТОЙ и разводилово на бабло. Что брокер, что банк, что страховая( не дай бог) и т.д.Сталкивался и еле уносил ноги… плетут чушь не сусветную и только бы обобрать и они не при чем всегда… Зарекся на всегда не связываться с ними, какие бы пряники не предлагали.
avatar

petr71

Криптопро тоже позволяет сертификат в реестра хранить. Для удобства. Что отказались- это понятно. Деньги за лицензии надо платить. Дешевле нанять программистов которые что то своё свают.  Как-т так. Это не идиотизм. Это экономия.
avatar

Gregori

Ой наконец убрали этот сраный и глючный криптопро! УРА!
Я Вам как айтишник говорю — захотят сп… здить ваши бабки — ничего не поможет...
Если у Вас вдруг есть мобил на андроиде — это хана — 99,999%, на иос — где-то 97% )))
Свой Мужик, кто ж в здравом уме такие вещи на смартфон ставит… для подтверждающих смс-ок обычно кнопочный используют, не?
Niktesla (бывш. Бабёр-Енот), криптопро — на компе ваапщето ))) смысл в нём особо нет, если туда доступ будет — то тоже хана )))
у альфа-директа есть квик. квик работает с ключами — велкам
обычно брокеры не дают выводить денежные средства на счет другого человека. т.е. надо, чтобы ФИО владельца счета совпадало с ФИО владельца брокерского счета.
в Альфе не так?
От директа отказался еще 2года назад. Перешел у них на квик. Директ какой то кривой.но я пока с флешкой. Сказали с 1января не будет. Поглядим
avatar

reglament

CharlesGeorgeBarrera, без пароля если идиот сам нажмет сохранить пароль. Но если нормальный, то пароль нужно вводить каждый раз.
«Все защиты строятся на СМС. Это касается и банка. Никакой двухфакторной авторизацией и не пахнет, украдут всё за 10 минут.»
______

1) разве можно с брокер.счета что-то списать на чужое лицо в вашем случае?

2) У многих онлайн-банков операции по СМС.
Есть ещё пароль при входе в личный кабинет онлайн-банка.
Вы что-то ещё предлагаете?
avatar

Tomm

Tomm, ещё по*абться с криптопро )))
Ушел из Альфы из-за поганной работы Quik — было несколько неприятных моментов, когда находясь в позе Quik зависал и разрывал связь с сервером, в поддержке так и не сумели мне помочь и пришлось отказаться от их услуг
avatar

Trident

У какого рф банка естт нормальный 2fa а не смс? Что то ни один в голову не приходит, при том что был клиентом пары десятков банков
avatar

ZizZz

CharlesGeorgeBarrera, но что бы получить смс надо указать данные карты, те надо и телефон своровать и карту, а Spekyl предлагает еще и комп свиснуть, что бы в реестре поковырять
Украсть деньги с брокерского счета — это еще постараться надо.

1. Вывести деньги с брокерского счета можно только на счет, принадлежащий владельцу брокерского счета.
2. Ценные бумаги — то же самое. 
3. Есть вариант совершить с захваченного брокерского счета сделки в неликвиде, подставив с другой стороны «своего» бенефициара. Но
   3.1. это требует подготовки, то есть запланированного захвата счета. Вряд ли после потери или кражи смартфона это можно сделать быстро, до блокировки телефонного номера хозяином. 
   3.2. Биржа записывает все ходы. Если речь идет о заметной сумме можно затеять расследование. В случае криминала сделки могут быть отменены. Но даже если не будут отменены, бенефициара все равно вычислят. Риски очень высоки. 

Не слышал пока ни о чем подобном. Сам не спец в IT, поэтому спорить о возможностях злоумышленников не буду. В своих делах исхожу из того, что технически злоумышленникам доступно всё. Защищаюсь юридически и некоторыми разумными простыми шагами:
— минимизирую количество фин.приложений и операций на смартфоне;
— внимательно слежу за смартфоном;
— держу активы на разных счетах у разных брокеров;
— выбираю крупных брокеров;
— периодически получаю выписки на бумаге;
— периодически меняю пароли;
— ни  с одного моего смартфона нельзя получить доступ к брокерскому и денежному счету — либо одно, либо другое;
— не использую плечи. 

Ни одна из этих мер не дает гарантий, но в совокупности снижает риски, на мой взгляд.
Максим Рябунин, 3.2 — всегда подставляется дроп, вычислят бомжа с утерянным паспортом, денег это не поможет вернуть )0
Максим Рябунин, 6-7 лет назад Альфадиркет на моём счет «сам собой» встал в позу шорт по неликвидным облигациям.  Еле прикрыл потом руками. И ниче, всё норм, сказали мол сбой был. То что вы там потеряли мы вам прощаем идите н@хрен. Так никто ничего и не компенсировал и даже не извинился. 
Неее альфа банк уже давно одермовился.  
Максим Рябунин, тут как раз челик жаловался что у него спиздили счет и шарахнули по неликвиду...

биржа конечно ходы записывает, но… анализировать и принимать меры вместе с цб и соответстующими органами они их будут несколько месяцев. 

тут представитель биржи правда говорил что если оперативно настучать брокеру, то тот свяжется с биржей, биржа свяжется с брокером контрагента и попросит блокирнуть ему счет пока будут разбираться...  но я подозреваю что красиво выглядит только на бумаге, а в реале это должна сработать цепочка из нескольких человек — а там либо кто-то трубку не берет, либо нахер посылает и требует ченить подтвердить, например от начальника который упилил на совещание и т.д.
Niktesla (бывш. Бабёр-Енот), проверочное слово бобр. Проверочное выражение добр бобр)
prntscr.com/q6n815
Григорий, было б производной от бобра, тогда б, да… тогда б да…
Простите, но все смешалось в посте: тип ключа (алгоритм шифрования), вариант создания ключа (офис или он-лайн) и место его хранения (любой ключ может хранится на токене).

Дмитрий ЕрМак, сертификат и приватный ключ генерится клиентом с помощью софта альфы, хранится в реестре без пароля, пароль установить невозможно.
бугага уже года 4 или 5 как сбежал. Да вы батенька слоупок! 
отличный пост. Из-за экономии они это сделали. Все-равно с них никто деньги не возьмет
CharlesGeorgeBarrera, 
ВТБ
Деньги можно вывести только по паспорту и письменному поручению
По всем трем пунктам писал в поддержку — в ответ — молчание… Подтверждаю статью полностью.
avatar

Виктор

Бомж с потерянным паспортом и прочие косяки на стороне бенефициара — это проблемы брокера. Не знаю, как раньше, а сейчас иметь работающий счет, записанный на «бомжа с потерянным паспортом», чревато большими проблемами для брокера. 

Вообще, в случае возникновения проблемы или даже намека на возникновение проблемы, которую брокер не хочет решать, НЕМЕДЛЕННО пишем  жалобу  в ЦБ. ЦБ рассматривает жалобы физ. лиц максимально жестко. Даже Открытие со Сбером просто так не соскочат.
Хорошо, спасибо что сказали, я закрою свой счет у этого брокера. Ведь это был такой кайф вставить флешку и торговать, а сейчас нас такой возможности лишили! Я обязательно найду другого брокера у которого все еще остались методы авторизации по флешке. Надеюсь, такие еще остались где-то! 
avatar

SNP13

CharlesGeorgeBarrera, любой другой банк назовите где по другому )))
CharlesGeorgeBarrera, почему вы уверены, что он что-то увидит? )))
CharlesGeorgeBarrera, а вы точно айтишнег? )))
CharlesGeorgeBarrera, не каждому проф. мошеннику повезет скомуниздить телефон, который можно удаленно заблокировать, все с него стереть и тд.
Да и про номер карты, как его щас узнать то, переводят люди по номеру телефона, платежи по эпл, самсунг и тд пей

CharlesGeorgeBarrera, я допускаю, что это так.
С другой стороны, мне не известны случаи, когда деньги списывались бы со счета в банке после дистанционного взлома без участия владельца счета. Я немного знаю об этом «изнутри». 
С брокерскими счетами сложнее. Изнутри ситуацией не владею. Вот и в этом обсуждении ссылаются на людей, которые якобы потерпели от внешнего вмешательства. Достоверными сведениями об этом также не располагаю. 
Смартфон — это удобно, черт возьми. Поэтому стараюсь действовать осторожно.

....все тэги
UPDONW