Ключ к чужим деньгам
Кража с банковских счетов с помощью замены сим-карт стала адресной — теперь чаще всего так воруют у тех, у кого есть что украсть. И хотя банки и телекомы принимают превентивные меры, остановить мошенников вряд ли удастся
По мере того как растет защита банковских счетов, изворотливость мошенников приобретает поистине дьявольские черты: взламывать защиту банка нет никакой нужды — часто пользователь сам помогает мошенникам получить доступ к своим счетам, переходя по опасной ссылке, открывая письмо с вредоносной программой или же сообщая все данные мошеннику, притворившемуся сотрудником банка. Яркий пример того, как работают мошенники, приводит Positive Technologies в своем отчете за третий квартал 2018 года: в сентябре злоумышленники сделали массовую СМС-рассылку, где предупреждали о клиентов банков о блокировке их средств. Для восстановления доступа к деньгам нужно было позвонить по указанному номеру телефона. Ущерб от этой кампании составил около двух миллионов рублей.
Но тут у нас хотя бы есть противоядие — можно не открывать сомнительных писем, не ходить по ссылкам и не сообщать ничего о себе и своих картах даже «сотрудникам банка». Гораздо опаснее другие случаи — когда мошенник получает доступ к деньгам жертвы с помощью третьих лиц. Яркий пример — проблема так называемого sim-swapping, когда мошенникам удается получить дубликат сим-карты, а уже через нее — доступ ко всем счетам и аккаунтам жертвы.
Доходное дело
Волна хищения средств со счетов физических лиц в банках с помощью sim-swapping поднялась пять лет назад — люди внезапно обнаруживали, что мобильная связь стала для них недоступной, а после восстановления доступа выяснялось, что деньги с банковских счетов выведены через онлайн-банк. Доступ к ним мошенники получили, запросив восстановление пароля по СМС. «Схема такова: по поддельным документам или копии паспорта, которую злоумышленники могли найти в даркнет-сетях, они обращались к сотовому оператору с целью замены сим-карты», — рассказывает Мария Воронова, директор по консалтингу ГК InfoWatch. Замена сим-карты происходит, как правило, в салоне оператора сотовой связи либо с использованием поддельных документов, либо в сговоре с сотрудником.
В 2016 году Банк России пытался обязать мобильных операторов предоставлять данные о замене сим-карт в банки, однако соответствующий законопроект так и не был принят.
«В октябре 2017 года вечером я обнаружил, что не работает телефон. Подумал: если к утру связь не восстановится — пойду в салон. Утром обратился в салон связи МТС, и там заявили, что была замена сим-карты. Я проверил счет в Почта-банке и выяснил, что он пуст: пропало около миллиона рублей. Списывали ночью, маленькими суммами и за три-четыре часа вывели все деньги», — рассказал «Эксперту» Олег Иванов, один их пострадавших от sim-swapping (имя изменено).
«Суть sim-swapping — незаконное получение личной информации пользователей мобильных устройств. Его причисляют к типу атак, осуществляемых с помощью социальной инженерии», — говорит руководитель группы исследований отдела безопасности телекоммуникационных систем компании Positive Technologies Павел Новиков. С помощью социальной инженерии совершается множество типов атак, и sim-swapping среди них не самая популярная, зато одна из самых прибыльных. «Sim-swapping встречается реже, чем прочие типы мошенничества, и направлен на конкретного человека. Поскольку атака таргетированная, потенциальные потери денежных средств могут быть значительно выше, чем в случае киберугроз, связанных с социальной инженерией», — пояснили в Тинькофф-банке.
Как мошенники находят себе цель? Иногда по неосторожным постам в соцсетях; не исключено, что порой данные может «сливать» недобросовестный сотрудник банка.
Превентивные меры
«Я написал претензии в банк и в МТС, заявление в полицию. По уголовному делу подвижек до сих пор никаких нет… После запросов прислали образец доверенности, по которой сим-карта была заменена, доверенность оказалась поддельной — отсутствуют необходимые реквизиты и выдана несуществующим нотариусом. Совсем недавно я выиграл суд первой инстанции. Ни одна из сторон не пожелала удовлетворить мои исковые требования. Сейчас подали апелляцию, будет суд второй инстанции. Я могу только гадать, кто и как украл мои деньги, но, скорее всего, без определенных лиц дело не обошлось», — продолжает Олег Иванов. «В связи с тем, что по данному случаю возбуждено уголовное дело в отношении неустановленных лиц и ведется расследование, банк вынужден воздержаться от комментариев, так как обязан соблюдать тайну следствия», — пояснили свою позицию в Почта-банке.
Действительно, банки и телеком-операторы как компании, которые имеют непосредственный доступ к личной и финансовой информации своих клиентов, должны тщательно следить за ее сохранностью. Но далеко не все готовы в это серьезно вкладываться. «Крупные компании в большинстве случаев не скупятся на информационную безопасность: к примеру, бюджет на информационную безопасность опрошенных нами банков в 2017 году в среднем составил 80150 миллионов в год. Наиболее продвинутые банки защищаются от атак sim-swapping, отслеживая изменения индивидуального номера абонента (IMSI, идентификатор сим-карты). Однако большинство финансовых учреждений в тратах на информационную безопасность ограничиваются суммами 2040 миллионов рублей», — рассказал Павел Новиков.
Почти все банки защищают свои приложения «банк — клиент» с помощью хорошо знакомой всем нам системы двухфакторной аутентификации. Она подразумевает введение двух паролей — пользовательского и одноразового банковского, который отправляется в СМС клиенту. Такая система защищает от множества угроз, уверены специалисты по кибербезопасности. «Только чрезвычайно плохо реализованная двухфакторная аутентификация может иметь худшие последствия, чем ее отсутствие, — говорит Артем Гавриченков, технический директор Qrator Labs. — В правильно реализованной процедуре двухфакторной аутентификации сим-карта должна выступать разве что в качестве подтверждающего критерия. Поэтому если с помощью sim-swapping злоумышленники получают доступ к тем или иным аккаунтам, то это повод задать вопрос ресурсам, где этот доступ был получен, об их политике безопасности».
Обычную двухфакторную аутентификацию можно усилить, заменив второй фактор аутентификации с СМС на другие источники — например, код, который приходит в приложение, или приложения-аутентификаторы от Google и Microsoft, которые генерируют такой код сами. При использовании таких идентификаторов негативное влияние проблем с безопасностью сотовых операторов будет стремиться к нулю, уверен Артем Гавриченков.
К сожалению, других более надежных способов защиты пока нет: «Отказ от двухфакторной идентификации (то есть подтверждение операции одноразовым паролем или то, что платежные системы называют 3D-Secure) никак не повлияет на случаи sim-swapping, но может серьезно увеличить другие способы хищения с использованием карт или дистанционного банковского обслуживания», — считают в Сбербанке.
Безопасность — это услуга
Пока же большинство банковских клиентов заходят в свои онлайн-банки с помощью одноразового пароля из СМС. Им необходимо быть начеку: ситуация с безопасностью сим-карт оставляет желать лучшего. По мнению специалистов в области кибербезопасности, с sim-swapping можно бороться двумя способами: либо повышать компетенции тех, кто имеет право выпускать сим-карты, то есть всех сотрудников местных отделений операторов связи (что практически невозможно), либо совершенствовать бизнес-процесс перевыпуска. «К сожалению, в “большой четверке” операторов мобильной связи тенденций, по крайней мере заметных извне, к активному улучшению процессов (то есть отслеживания перевыпусков сим-карт и борьбы с мошенничеством) пока не наблюдается, — уверен Артем Гавриченков. — Должен быть построен процесс дополнительных проверок личности человека, запрашивающего сим-карту, а также всех предоставленных документов, включая копии и оригиналы паспортов, доверенностей и так далее. На данный момент пока не видно, чтобы сотовые операторы предпринимали усилия к выстраиванию подобных процессов, поскольку работа эта сложная и тяжелая, сами они от этих угроз не страдают, да и противодействие мошенничеству не дает им никаких конкурентных преимуществ. Так что рыночных стимулов к исправлению ситуации также не наблюдается».
Возможно, отчасти для того, чтобы контролировать безопасность сим-карт, отдельные банки создают своих собственных телеком-операторов, как, например, Сбербанк и Тинькофф-банк. В Сбербанке уверяют, что «Сбербанк-телеком» полностью защищен. «Что касается мобильного оператора “Тинькофф мобайл”, то здесь мы также применяем широкий комплекс мер безопасности, чтобы минимизировать риски от несанкционированной смены сим-карты. Важно отметить, что онлайн-обслуживание также предотвращает клиентов от угрозы sim-swapping. На данный момент мы не зафиксировали ни одного случая sim-swapping у абонентов “Тинькофф мобайл”», — поделились опытом в Тинькофф банке.
Операторы связи, со своей стороны, уверяют, что делают все, что могут, и предлагают банкам покупать у них специальную услугу, которая защитит клиентов этого банка от sim-swapping. «“Мегафон” разработал и внедрил ряд инструментов защиты, также мы предлагаем банкам отдельную услугу “Статус”, которая позволяет на сто процентов защитить клиентов банка от потери средств в случае нелегитимной замены сим-карты. Дополнительно эта услуга позволяет банкам вовремя узнавать об изменениях по номеру абонента (смена владельца, расторжение и прочее), а также о признаках заражения оборудования абонента вредоносными программами (в том числе с функционалом хищения денежных средств абонента)», — пояснили «Эксперту» в пресс-службе «Мегафона». Получить комментарии от МТС, «Билайна» и «Теле2» не удалось.
На страже цифровой идентичности
Впрочем, риск при замене сим-карты заключается не только в потере денег. Страшнее может оказаться утрата своей цифровой идентичности, ведь номер мобильного телефона уже давно стал еще одним идентификатором человека наравне с паспортом и СНИЛС. Так, интересен мошенникам доступ к профилям в социальных сетях, который часто тоже открывается через код-подтверждение из СМС. «Все равно основная цель атакующих — получение доступа к финансовым ресурсам, — комментирует Артем Гавриченков. — Возможен “угон” раскрученных аккаунтов в социальных сетях или Telegram-каналов. Тем не менее все эти процессы так или иначе строятся вокруг денег, поскольку популярный паблик позволяет много зарабатывать на рекламе. И в редких случаях — вокруг желания получить доступ к некоторому “рупору”: каналу или паблику, являющемуся лидером мнений».
Получается, что телефон уже давно и незаметно стал ключом к доступу ко всем нашим финансовым документам (не забывайте о «Госуслугах»), а поэтому связка «телеком — банк» обязана быть безопасной для клиентов.
К сожалению, даже если вы придерживаетесь консервативной позиции, не используете телефон и мобильные банковские приложения и у вас нет онлайн-банка, это не значит, что ваши деньги в безопасности. Известны случаи создания онлайн-банка после подмены сим-карты — и вывода денег уже из этого нового онлайн-банка.
«Стоит отметить, что большинство операторов сотовой связи при замене сим-карты делают временной интервал, во время которого не доставляют на новую сим-карту финансовые сообщения от банков. В такой ситуации клиенту необходимо незамедлительно обратиться к своему оператору сотовой связи и в банк», — предупреждают в Сбербанке.
«Современные системы информационной безопасности банков и телеком-операторов содержат множество модулей и подсистем, которые образуют сложную многослойную систему, включающую в себя DLP (системы для предотвращения утечек информации), антифрод-решения и так далее, которые блокируют большую часть нелегитимных действий. Однако самое важное — бдительность. Если у вас телефон долгое время не находит сотовую сеть, а вы точно находитесь в зоне покрытия, важно связаться с оператором связи и уточнить, все ли в порядке», — обращает внимание Мария Воронова.
К счастью, суды часто становятся на сторону потерпевших граждан, виновными признаются либо телеком-оператор, который без достаточных законных оснований выпускал дубликат сим-карты, либо банк. Иногда банк сам признает вину и возмещает ущерб — известен случай, когда жертве sim-swapping, (клиенту МТС и Бинбанка) банк по собственной инициативе вернул все деньги и упущенную выгоду. Но так происходит далеко не всегда.
Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl