Перевыпускники, или Карт-бланш на воровство

Если мобильная сеть внезапно стала недоступна – вы, возможно, потеряли не только связь, но и деньги. Портал Банки.ру разбирался в самой громкой российской истории «мобильной» кражи последнего времени и в том, как противостоять такому мошенничеству.

Дело Знаменской

История Анны Знаменской, экс-главы Tinkoff Digital, а ныне директора по цифровым технологиям агентства Mindshare, является сейчас едва ли не самым популярным постом в социальной сети Facebook*. Что, в общем-то, неудивительно: события больше напоминают театр абсурда.

По словам Анны, все началось с того, что какое-то время назад ее сим-карту выдали в салоне связи злоумышленникам, которые затем предприняли попытку взломать почтовые аккаунты и аккаунты платежных систем. Сотовый оператор «Билайн» провел по факту нарушения проверку и даже выдал пострадавшей в качестве компенсации 2 тыс. рублей.

На этом злоключения Знаменской не закончились. 19 сентября злоумышленники, действуя по той же схеме, еще раз «перевыпустили» сим-карту. На этот раз, по словам пострадавшей, им удалось вывести деньги из платежной системы «Яндекс.Деньги» (позже эта информация была опровергнута как самой Знаменской, так и представителями «Яндекса»). Абонент снова обратилась в салон связи и заменила сим-карту. Но уже на следующее утро та снова была перевыпущена в одном из салонов связи Екатеринбурга. А спустя 40 минут после очередной замены «симки» перевыпуск состоялся вновь, но на этот раз в Омске. При этом, по словам Анны, в системе оператора стоял запрет на выдачу сим-карты в других городах без ее личного присутствия.

Пресс-служба сотового оператора отреагировала достаточно быстро. Пресс-секретарь компании Анна Айбашева сообщила, что «замены сим-карты были произведены на основании предъявления нотариально оформленной доверенности. Так действуют все операторы: при операциях замены сим-карт в офисах «Билайна» всегда требуется личное присутствие владельца сим-карты с предъявлением паспорта либо его представителя с нотариально оформленной доверенностью. […] Скорее всего, доверенность, на основании которой была произведена замена сим-карты, была получена незаконным путем. Компания готова оказать максимальную поддержку правоохранительным органам, в случае если клиентка туда обратится и будет возбуждено дело».

Через некоторое время руководитель службы социальных медиа «Билайна» Олег Бармин опубликовал в Facebook* сообщение с извинениями в адрес Анны Знаменской, рассказав, что в одном из случаев получения сим-карты по поддельной доверенности участвовал бывший сотрудник салона «Билайн», воспользовавшийся доверием экс-коллег. Кроме того, Бармин сообщил: «Этот случай выявил серьезные проблемы в системе замены наших сим-карт, и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны».

На самом деле серьезные проблемы начались гораздо раньше. Возможностью перевыпуска карт по поддельной доверенности мошенники пользовались давно. А поскольку привязывать номер абонента к уникальному идентификатору сим-карты (IMSI) банки в массовом порядке (после распоряжения ЦБ РФ) начали лишь в марте 2015 года, проблема всегда стояла достаточно остро. При этом даже после ужесточения Центробанком правил по работе с удаленным банкингом количество мошеннических операций продолжает расти. Об этом, к примеру, ссылаясь на собственный источник, близкий к ЦБ, сообщали «Известия» еще в мае этого года.

Как это работает

Для начала злоумышленнику необходимо получить идентификационные данные пользователя, которые тот использует для доступа к платежным и банковским сервисам. Смартфон жертвы заражается вирусом, который сообщает все необходимое злоумышленнику. После этого остается получить доступ к номеру абонента для преодоления двухфакторной аутентификации.

Самый простой способ заполучить номер жертвы – прийти в салон связи мобильного оператора с поддельной доверенностью или поддельным паспортом. Так как сотрудники салонов вряд ли имеют должную квалификацию в распознавании подделок, шанс получения сим-карты крайне велик. Кроме этого, как показал описанный выше случай, в ход могут идти и старые связи.

Помимо «прямого» перевыпуска сим-карты, мошенники успешно используют еще одну «дыру» системы – номера, высвобождающиеся из-за бездействия абонента. Зачастую пользователи подключают услугу мобильного банкинга к номеру, которым впоследствии не пользуются. Оператор блокирует его и спустя какое-то время продает мошеннику. Этот метод требует гораздо более долгой подготовки и наличия «своих» людей как в банках, так и в салонах оператора. Плюс к этому с введением банками привязки по IMSI быстро вывести деньги на свой счет не получится. Для начала нужно «авторизовать» новую сим-карту.

Следует понимать, что подобного рода атаки требуют определенного времени на подготовку и, как в случае с Анной Знаменской, являются довольно рискованными. «Очевидно, что когда вы четыре раза выписываете «левую» доверенность, четыре раза получаете по ней сим-карту или четвертый раз пользуетесь этой «симкой» в телефоне для получения пароля, вы готовы к варианту, что вас прямо сейчас поймают. Есть еще один вариант, когда злоумышленники точно знают, что, откуда и в каком количестве можно забрать. Речь в таких случаях обычно не о двух и даже не о ста тысячах рублей», – говорит заместитель генерального директора компании в области информационной безопасности Zecurion Алексей Ковалев.

Под ударом не только банки

Абоненты хранят деньги не только в банках: получив даже на короткое время доступ к телефонному номеру, злоумышленник может опустошить счета платежных систем, где пользователи хранят деньги «на всякий случай». В случае с такими сервисами, как «Яндекс.Деньги», все, что необходимо – адрес электронной почты жертвы. После того как у мошенника появляется доступ к телефону пользователя, изменить пароль доступа можно в считаные минуты. Если же на руках у злоумышленника данные, предоставленные трояном, простор для действий открывается практически безграничный. Плюс к этому охота может идти не только за деньгами. Целью может быть информация: даже список встреч способен многое сказать конкурентам. Не говоря уже о переписке.

Что делать?

По мнению главного эксперта компании «Правовой сервис 48Prav.ru» Александра Трифонова, «сотовый оператор не имеет ровным счетом никакого отношения к данным мошенничествам в том смысле, что он не является выгодоприобретателем. Однако вина операторов мобильной связи в том, что они невольно создают условия для ситуаций, когда происходит потеря денег абонентов. «Связисты», с одной стороны, не могут официально признать «дыры» в своей инфраструктуре. С другой стороны, массовое устранение проблем абонентов – это дополнительные вливания в инфраструктуру, корректировка которой значительна по затратам. Я говорю не только о дополнительных инвестициях в софт и программное обеспечение, но и про повышение заработных плат сотрудникам, которые, например, имеют доступ к персональным данным абонентов.

Единственное, что можно посоветовать клиенту – моментально обратиться в офис компании оператора мобильной связи, в банк и в полицию с письменным заявлением, как только вам стало известно о каком-то финансовом мошенничестве в отношении вас».

Таким образом, подавать в суд на сотового оператора бессмысленно: «пропорционального результата не будет». «Единственный инструмент защиты – это страховка, покупаемая у самого банка, на операции по картам и счетам», — считает Трифонов.

Как показывает практика, на данный момент у операторов сотовой связи нет возможности на 100% оградить пользователя от мошенничества подобного рода. Остается надеяться, что рано или поздно правила перевыпуска карт будут ужесточены. С другой стороны, налицо несовершенство законов, приводящее к таким инцидентам. Решение проблемы станет возможным только при активном диалоге законодателей и мобильных операторов.

Как не стать жертвой мошенников

Учитывая все вышесказанное, безопасность абонента – в первую очередь дело самого абонента.

Проверьте, есть ли у вашего сотового оператора услуга, позволяющая запретить перевыпуск карты по доверенности, и подключите ее.

Внимательно следите за состоянием связи. Ее отсутствие по причине «сервис недоступен» или «не зарегистрирован в сети» – повод обратиться к оператору за разъяснением ситуации.

При смене номера обязательно измените данные в аккаунтах всех почтовых, платежных и банковских сервисов, к которым он был привязан, на актуальные.

Если на вас зарегистрирована сим-карта, которой вы не пользуетесь, самое время вспомнить, к каким аккаунтам она привязана, и «отвязать» ее от них.

Павел ШОШИН, Banki.ru

*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ