Год назад Банки.ру публиковал историю о том, как за один день абонент сотового оператора трижды столкнулся с перевыпуском своей сим-карты. Тогда эта история получила резонанс, а операторы ввели ряд правил, которые должны были помешать мошенникам использовать выданную заново сим-карту. Однако, как показывает практика, ничто не мешает эксплуатировать эту уязвимость до сих пор.
Блокировка не помогла
Меры, принятые сотовыми операторами, нацелены на защиту от вывода денег со счета мобильного телефона и невозможность использовать в первое время после перевыпуска сервисы по переводу денег. Однако, как выяснилось, это может не спасти, если вы пользуетесь определенными платежными системами.
Вот как описывает ситуацию посетитель нашего портала AleksandrGan:
«14 июля 2016 года в 19:37 ко мне на телефон пришло СМС о замене сим-карты. В недоумении перезваниваю в службу поддержки, и в процессе разговора... связь прерывается, и дальнейшие звонки с моей сим-карты становятся невозможными! Благо под рукой был телефон жены, и, перезвонив в поддержку с другого телефона, я блокирую свой номер. В разговоре с оператором я объясняю, что замену своей сим-карты не санкционировал, это сделали мошенники, на что оператор заверил, что мой номер телефона на особый контроль возьмет служба безопасности».
По словам пострадавшего, сим-карту действительно заблокировали, что подтверждалось при звонке на телефонный номер. Однако служба безопасности сотового оператора не смогла помешать мошенникам: пока абонент шел в офис продаж, номер был разблокирован, а со счета в платежной системе WebMoney мошенники списали средства. Таким образом, мошенникам потребовался всего час, чтобы преодолеть «сопротивление» абонента и службы безопасности сотового оператора.
Код имеет значение
Во всей этой истории выделяются два ключевых момента: неспособность сотового оператора обеспечить надежную блокировку номера и проблемы с безопасностью платежного сервиса, до сих пор предлагающего двухфакторную аутентификацию в качестве одного из основных средств подтверждения при переводе денег.
Несмотря на то что банки также используют одноразовые коды, пересылаемые с помощью СМС, сейчас многие кредитные организации внедрили системы верификации телефонного номера пользователя по уникальному номеру сим-карты — IMSI. После замены сим-карты у клиента банка будет отключена возможность использовать телефон для подтверждения операций до обращения в банк. Платежная система WebMoney не обладает подобной функциональностью, и поэтому ее клиенты уязвимы для мошенничества такого рода.
Однако, по словам представителя WebMoney Transfer, еще недавно защита работала: «В WebMoney технология защиты от подмены сим-карты была реализована в 2013 году. С этого времени пользователю, заменившему сим-карту своего оператора, требовалось пройти дополнительную процедуру аутентификации для подтверждения личности […] Но в 2016 году проверка IMSI отключалась по инициативе операторов сотовой связи, в том числе МТС. В данный момент в WebMoney услуга по защите от несанкционированных замен карт предоставляется клиентам «МегаФона» и некоторых региональных операторов».
Стоит сказать, что, помимо авторизации с помощью СМС, WebMoney предлагает еще один способ — E-num. Это приложение защищает доступ пользователя с помощью автоматически генерируемых кодов: для авторизации пользователю необходимо получить уникальный код, скопировать его в приложение и получить от приложения код-ответ, с помощью которого и будет произведен процесс аутентификации. К сожалению, в нашем случае пользователь работал с привычными многим СМС-кодами.
Кому жаловаться
Хотя договор на оказание услуг связи абонент заключал с сотовым оператором, последний, как выяснилось, может не нести ответственности за проблемы, возникающие у абонентов в результате мошеннического перевыпуска сим-карты. Как следует из ответа ПАО «МТС», полученного на претензию абонента, компания тут ни при чем.
ПАО «МТС»
Со стороны ситуация может выглядеть немного странно: абонент заключает договор с сотовым оператором в салоне связи этого оператора, и кажется, что отвечать за любые проблемы должен непосредственно оператор. Но сам оператор отвечает лишь за оказание услуг связи. А вопросами перевыпуска карт занимается организация-партнер. И именно к нему необходимо обращаться с претензией.
По мнению представителя WebMoney Transfer, здесь речь идет о нарушении сразу двух законов — «О связи» и «О национальной платежной системе»: «Недостаточная безопасность процедур идентификации и доступ случайных лиц к персональной информации клиентов у операторов мобильной связи — это и есть главные факторы, позволяющие мошенникам и преступникам осуществлять свою деятельность. Кстати, в судах рассматривается достаточное число дел против операторов сотовой связи по возмещению ущерба из-за неправомерного доступа к номеру абонента».
Но у опрошенных нами юристов несколько другое мнение. «Зона ответственности ПАО «МТС» и иных операторов связи включает в себя количество, порядок и способы предоставления услуг связи, предусмотренных договором с абонентом. Единственное, что усматривается из данной ситуации, — это возможное нарушение представителем АО «РТК» (коммерческого партнера ПАО «МТС») порядка замены сим-карты», — говорит руководитель практики интеллектуального и информационного права Юридической группы «Яковлев и Партнеры» Анна Зорина.
«При смене сим-карты абонент обязан предоставить удостоверение личности либо нотариально заверенную доверенность от владельца номера, заполнить заявление на замену сим-карты. В ответе от ПАО «МТС» не указано, на каких основаниях была произведена замена сим-карты, что имеет существенное значение», — отмечает эксперт.
Можно ли вернуть деньги
Шансы вернуть деньги, уведенные мошенником, малы, считает Зорина. Ситуацию усугубляет то, что украдены они были со счета в WebMoney, которая, по словам юристов, весьма неохотно идет навстречу даже своим клиентам:
«Необходимо установить обстоятельства, при которых поступило обращение в АО «РТК» о замене сим-карты. Возможно, в салоне связи ведется видеонаблюдение и представится возможным получить видеозапись происшествия. При подобных переводах через WebMoney-кошельки достаточно проблематично впоследствии найти конечный счет. Но вполне логично требовать на основании доказанных обстоятельств мошенничества отмены трансакций».
Взыскание средств, потерянных в результате такого взлома, тоже не представляется возможным. Эксперт вспоминает историю 2011 года, когда абонент Валерий Колмаков подал в суд на «МегаФон» по похожей причине: мошенники перевели деньги с его банковского счета, воспользовавшись перевыпущенной сим-картой. «Мосгорсуд счел недоказанным, что переоформление «МегаФоном» договора могло привести к списанию денег с банковских карт. В компенсации Колмакову было отказано. Также, исходя из анализа позиции Мосгорсуда, следует, что оператор связи не осуществляет банковские трансакции и не является владельцем или получателем денег абонента».
Павел ШОШИН, Banki.ru