Как мошенники крадут деньги с помощью припейд-SIM-карт

599

Многие сервисы сейчас авторизуют пользователя с помощью его смартфона: SMS, уведомлениями, QR-кодами и т.д. Если речь идет о финансовых сервисах, такой способ может быть довольно рискованным, как показывает случай с SIM-картой киевской IT-аналитика Анны Карачинцевой. Пока она была в зарубежной поездке, неизвестные воспользовались услугой онлайн-восстановления SIM-карты (предоплаченной связи), получили над ней контроль и опустошили все ее банковские карты, в общей сложности на 285 000 грн, не считая кредитных средств.
Это не единичный случай, когда припейд-абоненты сталкиваются с потерей контроля над картой и, как минимум, − над своими же деньгами.

Что случилось?
Карачинцева рассказала редакции AIN.UA, что на майские праздники была в зарубежной поездке. Она — абонент предоплаченной формы связи в сети «Vodafone Украина». В ночь с 8 на 9 мая Анне начали поступать cообщения от сервисов Google, Viber и других приложений, где используется авторизация с помощью телефонного номера. Утром вчитавшись в сообщения (на тот момент к ним добавились и уведомления от банка), Анна поняла, что у нее увели SIM-карту. По ее словам, услуга онлайн-восстановления SIM-карты была подключена у нее удаленно, а для припейд-абонентов она не требует идентификации пользователя по документам.

Анна предполагает, что мошенники через SIM-карту получили доступ к Google-аккаунту, где могли найти данные паспорта, в аккаунте и памяти карты нашли, какими банками она пользуется, и далее снимали деньги через онлайн-банкинг. В Google-аккаунте она видела IMEI-коды устройств, которые логинились с новой SIM-карты (позднее она указала их в заявлении в полицию).


Анна не понимает, откуда к ним попали данные для восстановления карты (к примеру, данные о номерах, на которые чаще всего звонит или пишет абонент). По распечаткам видно, когда произошла замена карты:

Она попыталась позвонить в банк, но смартфон уже не работал с текущей SIM-картой. У нее была вторая SIM-карта, поэтому Анна смогла начать обзванивать банки и блокировать счета. К 9:00 утра счета уже были «вычищены»: по словам пострадавшей, со счета в «Укрсиббанк» деньги ушли полностью, в «ПроКредит Банк» после определенной суммы сработала защита, счет в Monobank не пострадал, как и в ПУМБ (в последнем случае − поскольку досрочное снятие депозитных средств не предусмотрено).

Анна подала заявку на блокировку ворованной карты, ее создали в 11:47, но срок ее исполнения − 1 рабочий день (а 9 мая был выходным). Она обратилась к операторам поддержки, чтобы объяснить, что карту украли и сейчас используют ее для доступа к деньгам, но оперативного ответа получить не смогла, так же, как и добиться немедленной блокировки. Карту заблокировали через несколько часов.


«Не успела я расслабиться как мои родители пишут, что снова видят меня онлайн в вайбере. Я обращаюсь в колл-центр и, о чудо! Кто то разблокировал мою “симку” онлайн, без прихода в отделение после того, как я уведомила компанию Vodafone Ukraine о мошенничеств с ее помощью», − пишет она. Более того, после угона карты ее семье начали поступать странные звонки и сообщения, например, от ее имени спрашивали у родителей адрес ее донецкой прописки.

Как избежать подобной ситуации
Под постом Анны представители «Укрсиббанка» сообщили, что проверят информацию и попросили выйти на связь. Она говорит, что в банке ей советовали идти в полицию. «Была в банке лично – там вроде путем долгих созвонов выяснили, что они в курсе и занимаются… из рекомендаций: “Обратитесь в полицию, пусть они к нам придут с запросом в рамках расследования”», − говорит пострадавшая. Анна обратилась с заявлением в Киберполицию, и сейчас пытается вернуть свои деньги.

В «Vodafone Украина» на запрос редакции ответили, что сейчас проверяют ситуацию, и что заменить SIM-карту не так просто: «Нужно знать информацию, которая по идее должна быть известна только владельцу телефона, однако мошенники зачастую используют разные трюки, чтобы выведать эту персональную информацию». В компании отметили, что чтобы избежать подобной ситуации, нужно зарегистрироваться у оператора и установить замену SIM-карты только по паспорту, а также включить запрет на удаленную замену карты.

«Очевидно, что услугу нужно дорабатывать и повышать уровень ее защиты. Понимая, что с проблемой сталкиваются клиенты банков, которые также являются нашими клиентами, мы уже предложили банкам систему верификации… Нежелательно использовать номер, которым вы делитесь со всеми, как финансовый», − сообщили в компании.

По рекомендации телеком-эксперта Романа Химича, можно как минимум пройти процедуру персонификации, если пользователь − анонимный абонент припейда, перейти на контракт, или же пользоваться аппаратными токенами для всех критических операций, вроде работы с интернет-банкингом или смены пароля.

Почему так происходит?
По словам Химича, причина в том, что украинские сервисы часто используют идентификацию человека по номеру мобильного телефона. Но это проблема − мирового масштаба. К примеру, американский Bitcoin-предприниматель Майкл Терпин несколько раз терял сбережения, потому что у него уводили мобильный номер. Даже после того, как он заказал у своего оператора VIP-статус с усиленной безопасностью, у него опять украли номер и сняли со счетов криптовалюту, стоившую на тот момент $23 млн (подробнее о том, как это происходит в США, можно прочитать здесь).

«Идентификация по мобильному номеру в финансовых сервисах − глубоко порочная практика, которую отраслевые организации советуют не использовать уже года три, но это − удобно, привычно и дешево. Вспомните, как в Украину заходили зарубежные банки, предлагая пользователям аппаратные ключи по нереальной для украинских пользователей цене в $50. А потом “ПриватБанк” взял и ввел SMS-авторизацию».

Услуги мобильной связи сейчас просто не предназначены для обслуживания финансовых операций, отмечает он. В договоре оферты оператора написано, что компания не несет ответственность в подобных случаях, и у нее нет способов со 100% гарантией идентифицировать анонимного пользователя припейда, который пришел менять якобы свою SIM-карту. Ведь мошенники могут завладеть данными, по которым его проверяют (например, номера, на которые он чаще всего звонил).

Так что эта проблема может решиться либо со стороны пользователей, которые перестанут использовать анонимный припейд-номер для доступа к счетам, либо со стороны бизнеса, который откажется от этой модели, или же − со стороны регулятора, который запретит эту практику, либо пропишет ответственность за подобные случаи, считает эксперт.

Мнение юриста
Юристы согласны с этой оценкой. По словам Дениса Берегового, партнера Axon Partners, и оператор, и банки в данной ситуации работают в рамках закона.

«Сам по себе такой формат работы оператора с абонентами не запрещен, да и практического смысла в таком запрете нет – это удобно. Другое дело, что у нас достаточно долго весь припейд был условно анонимным», − говорит Береговой. Решением проблемы может стать «паспортизация» SIM-карт.

Или же уйти от такого мошенничества «здесь и сейчас» можно, только запретив SMS-авторизацию. Но надо учитывать, что приемлемых альтернатив − немного (ЭЦП не совсем удобна, авторизация через email, push или месенджеры не особо отличаются от SMS в плане безопасности). При этом и Visa, и Mastercard используют протокол 3-D Secure, который также заточен под авторизацию через сообщение/уведомление, отмечает эксперт.

«Чтобы обезопасить себя, советую все же пройти идентификацию у оператора, т.к. это довольно просто, а на уровне вашей приватности не особо отразится (ваши соцсети о вас знают больше, причем с вашего же согласия). И да, почитайте на досуге оферты ваших банков – узнаете много нового про 2FA и вообще. Например, что вы по договору с банком должны устанавливать антивирусы на смартфоны, исключительно лицензионное ПО (а не какие-то штуки с форумов), и даже не подключаться в открытым Wi-Fi-хотспотам для входа в интернет-банк», − говорит он.

По материалам: ain.ua