Перевыпускники, или Карт-бланш на воровство

Дата публикации: 23.09.2015 14:00
19 182
Время прочтения: 6 минут
Источник
Banki.ru

Если мобильная сеть внезапно стала недоступна – вы, возможно, потеряли не только связь, но и деньги. Портал Банки.ру разбирался в самой громкой российской истории «мобильной» кражи последнего времени и в том, как противостоять такому мошенничеству.

Дело Знаменской

История Анны Знаменской, экс-главы Tinkoff Digital, а ныне директора по цифровым технологиям агентства Mindshare, является сейчас едва ли не самым популярным постом в социальной сети Facebook*. Что, в общем-то, неудивительно: события больше напоминают театр абсурда.

По словам Анны, все началось с того, что какое-то время назад ее сим-карту выдали в салоне связи злоумышленникам, которые затем предприняли попытку взломать почтовые аккаунты и аккаунты платежных систем. Сотовый оператор «Билайн» провел по факту нарушения проверку и даже выдал пострадавшей в качестве компенсации 2 тыс. рублей.

На этом злоключения Знаменской не закончились. 19 сентября злоумышленники, действуя по той же схеме, еще раз «перевыпустили» сим-карту. На этот раз, по словам пострадавшей, им удалось вывести деньги из платежной системы «Яндекс.Деньги» (позже эта информация была опровергнута как самой Знаменской, так и представителями «Яндекса»). Абонент снова обратилась в салон связи и заменила сим-карту. Но уже на следующее утро та снова была перевыпущена в одном из салонов связи Екатеринбурга. А спустя 40 минут после очередной замены «симки» перевыпуск состоялся вновь, но на этот раз в Омске. При этом, по словам Анны, в системе оператора стоял запрет на выдачу сим-карты в других городах без ее личного присутствия.

Пресс-служба сотового оператора отреагировала достаточно быстро. Пресс-секретарь компании Анна Айбашева сообщила, что «замены сим-карты были произведены на основании предъявления нотариально оформленной доверенности. Так действуют все операторы: при операциях замены сим-карт в офисах «Билайна» всегда требуется личное присутствие владельца сим-карты с предъявлением паспорта либо его представителя с нотариально оформленной доверенностью. […] Скорее всего, доверенность, на основании которой была произведена замена сим-карты, была получена незаконным путем. Компания готова оказать максимальную поддержку правоохранительным органам, в случае если клиентка туда обратится и будет возбуждено дело».

Через некоторое время руководитель службы социальных медиа «Билайна» Олег Бармин опубликовал в Facebook* сообщение с извинениями в адрес Анны Знаменской, рассказав, что в одном из случаев получения сим-карты по поддельной доверенности участвовал бывший сотрудник салона «Билайн», воспользовавшийся доверием экс-коллег. Кроме того, Бармин сообщил: «Этот случай выявил серьезные проблемы в системе замены наших сим-карт, и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны».

На самом деле серьезные проблемы начались гораздо раньше. Возможностью перевыпуска карт по поддельной доверенности мошенники пользовались давно. А поскольку привязывать номер абонента к уникальному идентификатору сим-карты (IMSI) банки в массовом порядке (после распоряжения ЦБ РФ) начали лишь в марте 2015 года, проблема всегда стояла достаточно остро. При этом даже после ужесточения Центробанком правил по работе с удаленным банкингом количество мошеннических операций продолжает расти. Об этом, к примеру, ссылаясь на собственный источник, близкий к ЦБ, сообщали «Известия» еще в мае этого года.

Как это работает

Для начала злоумышленнику необходимо получить идентификационные данные пользователя, которые тот использует для доступа к платежным и банковским сервисам. Смартфон жертвы заражается вирусом, который сообщает все необходимое злоумышленнику. После этого остается получить доступ к номеру абонента для преодоления двухфакторной аутентификации.

Самый простой способ заполучить номер жертвы – прийти в салон связи мобильного оператора с поддельной доверенностью или поддельным паспортом. Так как сотрудники салонов вряд ли имеют должную квалификацию в распознавании подделок, шанс получения сим-карты крайне велик. Кроме этого, как показал описанный выше случай, в ход могут идти и старые связи.

Помимо «прямого» перевыпуска сим-карты, мошенники успешно используют еще одну «дыру» системы – номера, высвобождающиеся из-за бездействия абонента. Зачастую пользователи подключают услугу мобильного банкинга к номеру, которым впоследствии не пользуются. Оператор блокирует его и спустя какое-то время продает мошеннику. Этот метод требует гораздо более долгой подготовки и наличия «своих» людей как в банках, так и в салонах оператора. Плюс к этому с введением банками привязки по IMSI быстро вывести деньги на свой счет не получится. Для начала нужно «авторизовать» новую сим-карту.

Следует понимать, что подобного рода атаки требуют определенного времени на подготовку и, как в случае с Анной Знаменской, являются довольно рискованными. «Очевидно, что когда вы четыре раза выписываете «левую» доверенность, четыре раза получаете по ней сим-карту или четвертый раз пользуетесь этой «симкой» в телефоне для получения пароля, вы готовы к варианту, что вас прямо сейчас поймают. Есть еще один вариант, когда злоумышленники точно знают, что, откуда и в каком количестве можно забрать. Речь в таких случаях обычно не о двух и даже не о ста тысячах рублей», – говорит заместитель генерального директора компании в области информационной безопасности Zecurion Алексей Ковалев.

Под ударом не только банки

Абоненты хранят деньги не только в банках: получив даже на короткое время доступ к телефонному номеру, злоумышленник может опустошить счета платежных систем, где пользователи хранят деньги «на всякий случай». В случае с такими сервисами, как «Яндекс.Деньги», все, что необходимо – адрес электронной почты жертвы. После того как у мошенника появляется доступ к телефону пользователя, изменить пароль доступа можно в считаные минуты. Если же на руках у злоумышленника данные, предоставленные трояном, простор для действий открывается практически безграничный. Плюс к этому охота может идти не только за деньгами. Целью может быть информация: даже список встреч способен многое сказать конкурентам. Не говоря уже о переписке.

Что делать?

По мнению главного эксперта компании «Правовой сервис 48Prav.ru» Александра Трифонова, «сотовый оператор не имеет ровным счетом никакого отношения к данным мошенничествам в том смысле, что он не является выгодоприобретателем. Однако вина операторов мобильной связи в том, что они невольно создают условия для ситуаций, когда происходит потеря денег абонентов. «Связисты», с одной стороны, не могут официально признать «дыры» в своей инфраструктуре. С другой стороны, массовое устранение проблем абонентов – это дополнительные вливания в инфраструктуру, корректировка которой значительна по затратам. Я говорю не только о дополнительных инвестициях в софт и программное обеспечение, но и про повышение заработных плат сотрудникам, которые, например, имеют доступ к персональным данным абонентов.

Единственное, что можно посоветовать клиенту – моментально обратиться в офис компании оператора мобильной связи, в банк и в полицию с письменным заявлением, как только вам стало известно о каком-то финансовом мошенничестве в отношении вас».

Таким образом, подавать в суд на сотового оператора бессмысленно: «пропорционального результата не будет». «Единственный инструмент защиты – это страховка, покупаемая у самого банка, на операции по картам и счетам», — считает Трифонов.

Как показывает практика, на данный момент у операторов сотовой связи нет возможности на 100% оградить пользователя от мошенничества подобного рода. Остается надеяться, что рано или поздно правила перевыпуска карт будут ужесточены. С другой стороны, налицо несовершенство законов, приводящее к таким инцидентам. Решение проблемы станет возможным только при активном диалоге законодателей и мобильных операторов.

Как не стать жертвой мошенников

Учитывая все вышесказанное, безопасность абонента – в первую очередь дело самого абонента.

Проверьте, есть ли у вашего сотового оператора услуга, позволяющая запретить перевыпуск карты по доверенности, и подключите ее.

Внимательно следите за состоянием связи. Ее отсутствие по причине «сервис недоступен» или «не зарегистрирован в сети» – повод обратиться к оператору за разъяснением ситуации.

При смене номера обязательно измените данные в аккаунтах всех почтовых, платежных и банковских сервисов, к которым он был привязан, на актуальные.

Если на вас зарегистрирована сим-карта, которой вы не пользуетесь, самое время вспомнить, к каким аккаунтам она привязана, и «отвязать» ее от них.

Павел ШОШИН, Banki.ru

*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ

Читать в Telegram
telegram icon

Комментарии

0
Скрыть
Комментарии могут оставлять только зарегистрированные пользователи.

Очень своевременная статья. Почему? Потому что есть один банк, ликвидирующий в данный момент свою и без того скромную филиальную сеть в регионах и предлагающий клиентам по всем вопросам обращаться к его "партнёрам". Единственным "партнёром" на всю Волгоградскую область (население 2,5млн) выбран... нет, не другой банк, и даже не ООО или там ЗАО, нет. Выбран ИП! И угадайте чем занимается данный ИП? Правильно, сотовой связью. То есть у него в руках база клиентов банка со всеми их картами, вкладами, адресами, номерами телефонов и т.п. И тут же под рукой сим-карты в неограниченном количестве. Удобно.
6

Abbach
23.09.2015 14:20
Кошмар какой-то.
Так и до паранойи не далеко.
Вот говорят, чтобы не стать жертвой, нужно быть не таким как все, иметь нестандартное поведение и привычки.
Как ни крути, методы мошенников рассчитаны на стандартные алгоритмы поведения своей жертвы, т.е. на массового пользователя.

И как обычно, в статье ни слова про преимущества старых-добрых наличных денег.
Всё, их будто уже не существует. Вперёд в светлое будущее!!
3

ta-ik812
23.09.2015 14:32
Abbach пишет:
ни слова про преимущества старых-добрых наличных денег


Старые добрые наличные преступники отбирают на раз - еще и самого могут прибить или покалечить. Так что еще не известно, что лучше.
4

grfand
23.09.2015 15:31
что-то из советов только один - застраховаться, что попахивает джинсой.

но нет совета завести отдельный номер под авторизации с телефоном без выхода в инет и не светить его вообще никому.
Если есть способ иной авторизации, без смс - карты, токены, ЭЦП - то лучше пользоваться ими
и пр.
9

andrey386
23.09.2015 16:32
После смены сим-карты (предыдущая испортилась) Сбарбанк-онлайн не озадачился этим фактом. А Альфа-банк озадачился - звонил удостоверялся что это я. Хотел заблокировать Сбербанк-онлайн, но это можно сделать только после удаления всех пластиковых карт. В противном случае по телефону интернет-банк активируется оч легко - надо знать только паспортные данные. Пришлось отказаться от карт Сбера, теперь у меня нет их карт и нет их интернет-банка... не могу сказать что я этому сильно рад, но они меня вынудили.
3

Обучение

Материалы по теме