Ключ к чужим деньгам

Кража с банковских счетов с помощью замены сим-карт стала адресной

ЭкспертБизнес

Ключ к чужим деньгам

Кража с банковских счетов с помощью замены сим-карт стала адресной — теперь чаще всего так воруют у тех, у кого есть что украсть. И хотя банки и телекомы принимают превентивные меры, остановить мошенников вряд ли удастся

Любовь Маврина

Иллюстрация: Игорь Шапошников

По мере того как растет защита банковских счетов, изворотливость мошенников приобретает поистине дьявольские черты: взламывать защиту банка нет никакой нужды — часто пользователь сам помогает мошенникам получить доступ к своим счетам, переходя по опасной ссылке, открывая письмо с вредоносной программой или же сообщая все данные мошеннику, притворившемуся сотрудником банка. Яркий пример того, как работают мошенники, приводит Positive Technologies в своем отчете за третий квартал 2018 года: в сентябре злоумышленники сделали массовую СМС-рассылку, где предупреждали о клиентов банков о блокировке их средств. Для восстановления доступа к деньгам нужно было позвонить по указанному номеру телефона. Ущерб от этой кампании составил около двух миллионов рублей.

Но тут у нас хотя бы есть противоядие — можно не открывать сомнительных писем, не ходить по ссылкам и не сообщать ничего о себе и своих картах даже «сотрудникам банка». Гораздо опаснее другие случаи — когда мошенник получает доступ к деньгам жертвы с помощью третьих лиц. Яркий пример — проблема так называемого sim-swapping, когда мошенникам удается получить дубликат сим-карты, а уже через нее — доступ ко всем счетам и аккаунтам жертвы.

Доходное дело

Волна хищения средств со счетов физических лиц в банках с помощью sim-swapping поднялась пять лет назад — люди внезапно обнаруживали, что мобильная связь стала для них недоступной, а после восстановления доступа выяснялось, что деньги с банковских счетов выведены через онлайн-банк. Доступ к ним мошенники получили, запросив восстановление пароля по СМС. «Схема такова: по поддельным документам или копии паспорта, которую злоумышленники могли найти в даркнет-сетях, они обращались к сотовому оператору с целью замены сим-карты», — рассказывает Мария Воронова, директор по консалтингу ГК InfoWatch. Замена сим-карты происходит, как правило, в салоне оператора сотовой связи либо с использованием поддельных документов, либо в сговоре с сотрудником.

В 2016 году Банк России пытался обязать мобильных операторов предоставлять данные о замене сим-карт в банки, однако соответствующий законопроект так и не был принят.

«В октябре 2017 года вечером я обнаружил, что не работает телефон. Подумал: если к утру связь не восстановится — пойду в салон. Утром обратился в салон связи МТС, и там заявили, что была замена сим-карты. Я проверил счет в Почта-банке и выяснил, что он пуст: пропало около миллиона рублей. Списывали ночью, маленькими суммами и за три-четыре часа вывели все деньги», — рассказал «Эксперту» Олег Иванов, один их пострадавших от sim-swapping (имя изменено).

«Суть sim-swapping — незаконное получение личной информации пользователей мобильных устройств. Его причисляют к типу атак, осуществляемых с помощью социальной инженерии», — говорит руководитель группы исследований отдела безопасности телекоммуникационных систем компании Positive Technologies Павел Новиков. С помощью социальной инженерии совершается множество типов атак, и sim-swapping среди них не самая популярная, зато одна из самых прибыльных. «Sim-swapping встречается реже, чем прочие типы мошенничества, и направлен на конкретного человека. Поскольку атака таргетированная, потенциальные потери денежных средств могут быть значительно выше, чем в случае киберугроз, связанных с социальной инженерией», — пояснили в Тинькофф-банке.

Как мошенники находят себе цель? Иногда по неосторожным постам в соцсетях; не исключено, что порой данные может «сливать» недобросовестный сотрудник банка.

Превентивные меры

«Я написал претензии в банк и в МТС, заявление в полицию. По уголовному делу подвижек до сих пор никаких нет… После запросов прислали образец доверенности, по которой сим-карта была заменена, доверенность оказалась поддельной — отсутствуют необходимые реквизиты и выдана несуществующим нотариусом. Совсем недавно я выиграл суд первой инстанции. Ни одна из сторон не пожелала удовлетворить мои исковые требования. Сейчас подали апелляцию, будет суд второй инстанции. Я могу только гадать, кто и как украл мои деньги, но, скорее всего, без определенных лиц дело не обошлось», — продолжает Олег Иванов. «В связи с тем, что по данному случаю возбуждено уголовное дело в отношении неустановленных лиц и ведется расследование, банк вынужден воздержаться от комментариев, так как обязан соблюдать тайну следствия», — пояснили свою позицию в Почта-банке.

Действительно, банки и телеком-операторы как компании, которые имеют непосредственный доступ к личной и финансовой информации своих клиентов, должны тщательно следить за ее сохранностью. Но далеко не все готовы в это серьезно вкладываться. «Крупные компании в большинстве случаев не скупятся на информационную безопасность: к примеру, бюджет на информационную безопасность опрошенных нами банков в 2017 году в среднем составил 80150 миллионов в год. Наиболее продвинутые банки защищаются от атак sim-swapping, отслеживая изменения индивидуального номера абонента (IMSI, идентификатор сим-карты). Однако большинство финансовых учреждений в тратах на информационную безопасность ограничиваются суммами 2040 миллионов рублей», — рассказал Павел Новиков.

Почти все банки защищают свои приложения «банк — клиент» с помощью хорошо знакомой всем нам системы двухфакторной аутентификации. Она подразумевает введение двух паролей — пользовательского и одноразового банковского, который отправляется в СМС клиенту. Такая система защищает от множества угроз, уверены специалисты по кибербезопасности. «Только чрезвычайно плохо реализованная двухфакторная аутентификация может иметь худшие последствия, чем ее отсутствие, — говорит Артем Гавриченков, технический директор Qrator Labs. — В правильно реализованной процедуре двухфакторной аутентификации сим-карта должна выступать разве что в качестве подтверждающего критерия. Поэтому если с помощью sim-swapping злоумышленники получают доступ к тем или иным аккаунтам, то это повод задать вопрос ресурсам, где этот доступ был получен, об их политике безопасности».

Обычную двухфакторную аутентификацию можно усилить, заменив второй фактор аутентификации с СМС на другие источники — например, код, который приходит в приложение, или приложения-аутентификаторы от Google и Microsoft, которые генерируют такой код сами. При использовании таких идентификаторов негативное влияние проблем с безопасностью сотовых операторов будет стремиться к нулю, уверен Артем Гавриченков.

К сожалению, других более надежных способов защиты пока нет: «Отказ от двухфакторной идентификации (то есть подтверждение операции одноразовым паролем или то, что платежные системы называют 3D-Secure) никак не повлияет на случаи sim-swapping, но может серьезно увеличить другие способы хищения с использованием карт или дистанционного банковского обслуживания», — считают в Сбербанке.

Безопасность — это услуга

Пока же большинство банковских клиентов заходят в свои онлайн-банки с помощью одноразового пароля из СМС. Им необходимо быть начеку: ситуация с безопасностью сим-карт оставляет желать лучшего. По мнению специалистов в области кибербезопасности, с sim-swapping можно бороться двумя способами: либо повышать компетенции тех, кто имеет право выпускать сим-карты, то есть всех сотрудников местных отделений операторов связи (что практически невозможно), либо совершенствовать бизнес-процесс перевыпуска. «К сожалению, в “большой четверке” операторов мобильной связи тенденций, по крайней мере заметных извне, к активному улучшению процессов (то есть отслеживания перевыпусков сим-карт и борьбы с мошенничеством) пока не наблюдается, — уверен Артем Гавриченков. — Должен быть построен процесс дополнительных проверок личности человека, запрашивающего сим-карту, а также всех предоставленных документов, включая копии и оригиналы паспортов, доверенностей и так далее. На данный момент пока не видно, чтобы сотовые операторы предпринимали усилия к выстраиванию подобных процессов, поскольку работа эта сложная и тяжелая, сами они от этих угроз не страдают, да и противодействие мошенничеству не дает им никаких конкурентных преимуществ. Так что рыночных стимулов к исправлению ситуации также не наблюдается».

Возможно, отчасти для того, чтобы контролировать безопасность сим-карт, отдельные банки создают своих собственных телеком-операторов, как, например, Сбербанк и Тинькофф-банк. В Сбербанке уверяют, что «Сбербанк-телеком» полностью защищен. «Что касается мобильного оператора “Тинькофф мобайл”, то здесь мы также применяем широкий комплекс мер безопасности, чтобы минимизировать риски от несанкционированной смены сим-карты. Важно отметить, что онлайн-обслуживание также предотвращает клиентов от угрозы sim-swapping. На данный момент мы не зафиксировали ни одного случая sim-swapping у абонентов “Тинькофф мобайл”», — поделились опытом в Тинькофф банке.

Операторы связи, со своей стороны, уверяют, что делают все, что могут, и предлагают банкам покупать у них специальную услугу, которая защитит клиентов этого банка от sim-swapping. «“Мегафон” разработал и внедрил ряд инструментов защиты, также мы предлагаем банкам отдельную услугу “Статус”, которая позволяет на сто процентов защитить клиентов банка от потери средств в случае нелегитимной замены сим-карты. Дополнительно эта услуга позволяет банкам вовремя узнавать об изменениях по номеру абонента (смена владельца, расторжение и прочее), а также о признаках заражения оборудования абонента вредоносными программами (в том числе с функционалом хищения денежных средств абонента)», — пояснили «Эксперту» в пресс-службе «Мегафона». Получить комментарии от МТС, «Билайна» и «Теле2» не удалось.

На страже цифровой идентичности

Впрочем, риск при замене сим-карты заключается не только в потере денег. Страшнее может оказаться утрата своей цифровой идентичности, ведь номер мобильного телефона уже давно стал еще одним идентификатором человека наравне с паспортом и СНИЛС. Так, интересен мошенникам доступ к профилям в социальных сетях, который часто тоже открывается через код-подтверждение из СМС. «Все равно основная цель атакующих — получение доступа к финансовым ресурсам, — комментирует Артем Гавриченков. — Возможен “угон” раскрученных аккаунтов в социальных сетях или Telegram-каналов. Тем не менее все эти процессы так или иначе строятся вокруг денег, поскольку популярный паблик позволяет много зарабатывать на рекламе. И в редких случаях — вокруг желания получить доступ к некоторому “рупору”: каналу или паблику, являющемуся лидером мнений».

Получается, что телефон уже давно и незаметно стал ключом к доступу ко всем нашим финансовым документам (не забывайте о «Госуслугах»), а поэтому связка «телеком — банк» обязана быть безопасной для клиентов.

К сожалению, даже если вы придерживаетесь консервативной позиции, не используете телефон и мобильные банковские приложения и у вас нет онлайн-банка, это не значит, что ваши деньги в безопасности. Известны случаи создания онлайн-банка после подмены сим-карты — и вывода денег уже из этого нового онлайн-банка.

«Стоит отметить, что большинство операторов сотовой связи при замене сим-карты делают временной интервал, во время которого не доставляют на новую сим-карту финансовые сообщения от банков. В такой ситуации клиенту необходимо незамедлительно обратиться к своему оператору сотовой связи и в банк», — предупреждают в Сбербанке.

«Современные системы информационной безопасности банков и телеком-операторов содержат множество модулей и подсистем, которые образуют сложную многослойную систему, включающую в себя DLP (системы для предотвращения утечек информации), антифрод-решения и так далее, которые блокируют большую часть нелегитимных действий. Однако самое важное — бдительность. Если у вас телефон долгое время не находит сотовую сеть, а вы точно находитесь в зоне покрытия, важно связаться с оператором связи и уточнить, все ли в порядке», — обращает внимание Мария Воронова.

К счастью, суды часто становятся на сторону потерпевших граждан, виновными признаются либо телеком-оператор, который без достаточных законных оснований выпускал дубликат сим-карты, либо банк. Иногда банк сам признает вину и возмещает ущерб — известен случай, когда жертве sim-swapping, (клиенту МТС и Бинбанка) банк по собственной инициативе вернул все деньги и упущенную выгоду. Но так происходит далеко не всегда.

Авторизуйтесь и читайте статьи из популярных журналов

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

«Если у вас есть проблема — вы нормальный человек!» «Если у вас есть проблема — вы нормальный человек!»

В нашей культуре понятие «проблема» имеет негативный окрас

Psychologies, октябрь'19
Как подготовить автомобиль к путешествию: 4 главных правила и лайфхак от Datsun Как подготовить автомобиль к путешествию: 4 главных правила и лайфхак от Datsun

Несколько правил, которые следует соблюсти, прежде чем отправиться в путь

National Geographic, октябрь'19
Гарантия счастья: как выбрать супруга и не ошибиться Гарантия счастья: как выбрать супруга и не ошибиться

Как понять, что с этим человеком можно прожить всю жизнь?

Psychologies, октябрь'19
Искусство не быть Гретой: как России извлечь пользу из Парижского соглашения по климату Искусство не быть Гретой: как России извлечь пользу из Парижского соглашения по климату

Присоединение России к Парижскому соглашению может стать фактором модернизации

Forbes, октябрь'19
Три выставки, которые нужно увидеть в Лондоне этой осенью Три выставки, которые нужно увидеть в Лондоне этой осенью

Краткий гид на ноябрьские праздники и любой другой уик-энд

Vogue, октябрь'19
Тонировке дают сутки. Может ли инспектор заставить отрывать пленку Тонировке дают сутки. Может ли инспектор заставить отрывать пленку

Почему ГИБДД готова смягчить подход к владельцам тонированных автомобилей

РБК, октябрь'19
Названы самые востребованные направления для командировок в 2019 году Названы самые востребованные направления для командировок в 2019 году

Какие тренды наметились в командировках в страны ближнего зарубежья в 2019 году

National Geographic, октябрь'19
Транспортный Boeing C-17 пролетает между небоскребами: 360-видео Транспортный Boeing C-17 пролетает между небоскребами: 360-видео

Американский стратегический военно-транспортный самолет летит над Брисбеном

National Geographic, октябрь'19
Как восстановить вкладки в браузере Как восстановить вкладки в браузере

В наши дни редко у кого в браузере открыта всего одна страница

Популярная механика, октябрь'19
Лягушка пытается сбежать из пасти змеи: видео Лягушка пытается сбежать из пасти змеи: видео

В дикой природе побеждает сильнейший

National Geographic, октябрь'19
Вы просто обязаны знать историю успеха братьев Ефима и Семена Воиновых Вы просто обязаны знать историю успеха братьев Ефима и Семена Воиновых

Кто создал одну из самых популярных мобильных игр в мире – Cut the Rope

GQ, октябрь'19
Российские ученые создали биосенсор с рекордной чувствительностью Российские ученые создали биосенсор с рекордной чувствительностью

Направление наноплазмоники активно развивается последние 15-20 лет

Популярная механика, октябрь'19
Самые опасные авиакомпании мира Самые опасные авиакомпании мира

В 2019 году произошли две крупных авиакатастрофы

Forbes, октябрь'19
Здоровые инвестиции. Как усилия частного бизнеса меняют российскую медицину Здоровые инвестиции. Как усилия частного бизнеса меняют российскую медицину

Факт: большинство россиян недовольны системой здравоохранения в стране

Forbes, октябрь'19
Двойная награда: лауреатами Нобелевской премии по литературе стали Ольга Токарчук и Петер Хандке Двойная награда: лауреатами Нобелевской премии по литературе стали Ольга Токарчук и Петер Хандке

В Стокгольме объявили имена лауреатов Нобелевской премии по литературе

Forbes, октябрь'19
Карты, деньги, соленый огурец Карты, деньги, соленый огурец

Некоторые ученые уверены, что карты появились раньше письменности

Maxim, октябрь'19
Борьба с «врагами народа» Борьба с «врагами народа»

От древнеримских проскрипций до наших дней

Наука и жизнь, октябрь'19
На работу как на праздник На работу как на праздник

Актерам и телеведущим приходится осваивать три вида макияжа

OK!, октябрь'19
«Биохакеры торгуют своим телом» «Биохакеры торгуют своим телом»

Погоня за молодостью лишает человека права на полноценную старость

Огонёк, октябрь'19
Паранойя современности. Как страх стал нашим постоянным спутником Паранойя современности. Как страх стал нашим постоянным спутником

Мы живем в самое безопасное время в истории человечества

Forbes, октябрь'19
Попробуйте коктейль, вдохновленный картиной Джексона Поллока Попробуйте коктейль, вдохновленный картиной Джексона Поллока

Коктейль «Номер 11» в лучшем баре в Европе

GQ, октябрь'19
Обзор и тест жесткого диска Toshiba Surveillance S300: для видеонаблюдения и не только Обзор и тест жесткого диска Toshiba Surveillance S300: для видеонаблюдения и не только

Наш сегодняшний герой принадлежит к линейке жестких дисков Surveillance S300

CHIP, октябрь'19
Формула смазки: что объединяет гоночное и гражданское масла Формула смазки: что объединяет гоночное и гражданское масла

Существуют бренды, которые превратились в живых легенд мирового автоспорта

Популярная механика, октябрь'19
Как сделать производство шерсти более экологичным? Как сделать производство шерсти более экологичным?

И можно ли совместить традиции и технологические инновации на одной фабрике

GQ, октябрь'19
Светлане Прокопьевой инкриминируют нейтральность на грани позитива Светлане Прокопьевой инкриминируют нейтральность на грани позитива

Что заключила экспертиза по делу псковской журналистки об оправдании терроризма

РБК, октябрь'19
Экономия, ЗОЖ и виртуальный шопинг Экономия, ЗОЖ и виртуальный шопинг

Современные потребители стремятся к экономии, пользе и удобству

Эксперт, октябрь'19
Анджелина Джоли в платье с обнаженной спиной показала татуировки в Лондоне Анджелина Джоли в платье с обнаженной спиной показала татуировки в Лондоне

Актриса прилетела в Лондон на премьеру фильма «Малефисента: Владычица тьмы»

Cosmopolitan, октябрь'19
АСВ взяло на работу юриста из «списка Магнитского» АСВ взяло на работу юриста из «списка Магнитского»

АСВ начало избавляться от внешних юристов

Forbes, октябрь'19
Блестящая инвестиция: драгоценные камни выросли в цене на 110% за 10 лет Блестящая инвестиция: драгоценные камни выросли в цене на 110% за 10 лет

Цены на цветные камни за последние 10 лет росли быстрее, чем на белые бриллианты

Forbes, октябрь'19
Искать работу — не стыдно Искать работу — не стыдно

Российский человек панически боится признаться, что ищет работу

СНОБ, октябрь'19