В России набирает обороты новый вид мошенничества с сим-картами, который позволяет хакерам получить доступ к номеру телефона и моментально переводить деньги из банковских приложений. В новой схеме скомбинированы несколько ранее известных, причем это тот случай, когда обман сложно доказать, следует из обзора компании ESET, занимающейся разработкой антивирусных решений (материалы распространило агентство «Пиархаб»).
Первый этап работы мошенников — создание фейкового аккаунта. «На черном рынке покупаются неживые аккаунты, которые на первый взгляд не отличаются от настоящих: созданы несколько лет назад, есть фото, не засвеченные в поиске по картинкам Google и «Яндекса», контент редко, но обновляется. Создается видимость принадлежности аккаунта живому человеку», — указывают в ESET.
На следующем этапе злоумышленники подбирают жертв атаки социальной инженерии с помощью рекламного кабинета и поиска в Facebook* и Instagram*, причем ищут они не пенсионеров или блогеров с большим количеством подписок, а предпринимателей, владельцев бизнеса. У этой группы жертв есть деньги, и они не избалованы вниманием, поясняют эксперты.
Третий этап — попытка выяснить номер телефона. Выглядит это так: «Жертве пишет красивая и обязательно одинокая девушка. Нередко она живет в другом городе, но имеет с объектом обмана немного общего (заканчивала тот же вуз, у них совпадают хобби и пр.). Далее мошенник под аккаунтом дружелюбной собеседницы пытается выяснить номер телефона вступившего в переписку. Например, пытается перевести общение в WhatsApp, где всегда виден номер мобильного. Это нужно ради изготовления дубликата сим-карты».
На четвертом этапе изготавливается дубликат сим-карты жертвы. Злоумышленник, получив номер телефона и определив, какому оператору он принадлежит, делает необходимую для этого поддельную доверенность, причем чаще всего заявление на получение дубликата сим-карты подается в небольшом филиале оператора в другом конце страны и часовом поясе.
Заключительный этап — перевод средств. «Получив сим-карту, мошенник сразу обращается в банк, чтобы восстановить пароль от банковского приложения — через кол-центр или в скачанном мобильном банке. Последний рубеж обороны — аутентификация по личному номеру — пройден. Далее происходит перевод всех денег на другой банковский счет», — предупреждают в ESET.
По данным компании, в дополнение аферисты нередко пишут в мессенджерах друзьям и родственникам жертвы, что срочно нужны деньги. Если кто-то переводит средства по привычному номеру на знакомую карту, то их списывают еще раз.
«С точки зрения банков — это даже не мошенничество. Потому что двухфакторные авторизации на сим-картах являются подтверждением личности. Если перевели деньги с помощью вашей сим-карты, значит, это сделали вы. Выходит, что современная сим-карта оказывается важнее и весомее паспорта, а ее кража — опаснее утери основного документа гражданина страны. Все ваши аккаунты, все социальные сети, мессенджеры, банки, сервисы доставки и такси — буквально все завязано на личный номер телефона», — комментирует обозреватель ESET Станислав Жураковский.
Эксперты ESET рекомендуют предпринять несколько шагов, чтобы избежать подобного обмана и не дать мошенникам шанса заполучить сим-карту.
Так, в приложении мобильного оператора необходимо выпустить второй виртуальный номер. «Этот номер будет привязан к основному. СМС будут приходить на основной номер, как и звонки. Стоимость услуги минимальная, но она позволяет получить секретный для всех номер телефона, к которому можно привязать чувствительные сервисы, такие как банки и социальные сети», — рассказывают специалисты.
Кроме того, рекомендуется переключить во всех банках СМС-авторизацию на пуши в приложении: такой способ безопаснее и позволяет получать коды для операций через Интернет, даже если нет самой сим-карты.
Также в ESET советуют подготовить «запрет передоверенности» в офисе мобильного оператора. Такой документ позволяет запретить выдавать дубликат сим-карты без личного присутствия по доверенности. «Это самая уязвимая брешь в персональной безопасности, и стоит устранить ее как можно скорее. Понадобится регулярно продлевать срок действия документа», — подчеркивают в антивирусной компании.
«Не стоит давать номера телефонов малознакомым людям. Лучше вести переписку в зашифрованных мессенджерах, а также давать ссылки на аккаунты или никнеймы, которые не привязаны к номеру личного мобильного телефона», — добавляют в ESET.
*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ
Комментарии
Пора завязывать с Facebook* и Instagram*?<p>*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ</p>
У Мегафона нет.
МТС тоже не желает ничего слушать о запрете выдачи сим-карты по доверенности - недавно сам проверил!
Только Tele2 соображает как опасно выдавать симку по доверенности. Видимо, остальным операторам выгоден обман их клиентов, позор! Возьмитесь за ум наконец, сотовые операторы - почему в Tele2 могут, а вы нет! Введите тоже у себя услугу как у Tele2 ниже и здесь, на банки.ру сообщите о ней всем людям - ну их же обманываются же и лишают денег! Доколе?
Услуга «Запрет обслуживания по доверенности» в Tele2!
На следующем этапе злоумышленники подбирают жертв атаки социальной инженерии с помощью рекламного кабинета и поиска в Facebook* и Instagram*, причем ищут они не пенсионеров или блогеров с большим количеством подписок, а предпринимателей, владельцев бизнеса.
Все базы и так слиты давно, какой то надуманный "этап"
У этой группы жертв есть деньги, и они не избалованы вниманием, поясняют эксперты.
Богатые не избалованы вниманием. Кого? Баб? "Эксперты" в ударе
Третий этап — попытка выяснить номер телефона. Выглядит это так: «Жертве пишет красивая и обязательно одинокая девушка. Нередко она живет в другом городе, но имеет с объектом обмана немного общего (заканчивала тот же вуз, у них совпадают хобби и пр.). Далее мошенник под аккаунтом дружелюбной собеседницы пытается выяснить номер телефона вступившего в переписку. Например, пытается перевести общение в WhatsApp, где всегда виден номер мобильного. Это нужно ради изготовления дубликата сим-карты».
Бред
рекомендуется переключить во всех банках СМС-авторизацию на пуши в приложении: такой способ безопаснее и позволяет получать коды для операций через Интернет, даже если нет самой сим-карты.
Пуши еще менее безопасны, привязаны вообще не номеру, почитайте форум, об этом говорили неоднократно
Также в ESET советуют подготовить «запрет передоверенности» в офисе мобильного оператора. Такой документ позволяет запретить выдавать дубликат сим-карты без личного присутствия по доверенности. «Это самая уязвимая брешь в персональной безопасности, и стоит устранить ее как можно скорее. Понадобится регулярно продлевать срок действия документа», — подчеркивают в антивирусной компании.
Если такого документа в принципе нет у большинства операторов, нет бланка официального, то каким образом его предлагают оформлять? И как регулярно "переоофрмлять", то, что не предусмотрено регламентом компании?
Чтобы сотрудник салона условный Азамат принял у вас заполненную в произвольной форме бумажку? А потом, если что, вам просто скажут, что он не имел ни малейших полномочий на это и вообще этой бумажкой вы можете подтереться.
Самое главное, почему один единственный параметр - номер телефона - стоит превыше всего? Зачем все эти игры со сложными длинными паролями и т.п. , если по номеру вы можете лишится всего? Банк должен ввести возможность трехфакторной аутентификации по коду на электронную почту, по желанию!
Или, главное! - Именно банк должен предоставлять клиенту право на полный запрет на дистанционное банковское обслуживание!!!
Если уж у нас такой дикий рынок.<p>*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ</p>
Это основная проблема. Операторы не несут никакой реальной ответственности за выдачу копии сим-карты по поддельной доверенности. Если бы законодательно была закреплена такая ответственность со значительными штрафами (многомиллионными или % от прибыли компании), операторы давно бы нашли способ решить проблему.
А вообще идея использовать номер телефона как своебразную цифровую подпись была недальновидна с самого начала. Но выбрали именно ее как наиболее простой и понятный метод. Таковым он стал и для мошенников.