Пока банки и мобильные операторы указывают пальцем друг на друга, проблема с “перехватом” чужих SIM-карт пока только заостряется.
В стране набирает обороты разновидность мошенничества, основанная на незаконном получении дубликата чужой SIM-карты. Поскольку мобильный телефон зачастую используется банками как средство идентификации пользователя, одноразовые пароли и коды подтверждения, отправляемые банками в виде SMS-сообщений, представляют собой интерес для изобретательных мошенников. Как выяснил корреспондент “proIT”, банки и операторы в этой схеме заботятся только о собственной выгоде, а безопасность данных абонента фактически никем не гарантирована.
Изначально услуга по восстановлению испорченных или украденных SIM-карт была призвана облегчить жизнь абоненту, попавшему в неприятную ситуацию, и избавить его он волокиты, связанной с восстановлением контактов. В МТС утверждают, что выдачу дубликатов SIM-карт операторы ввели в ответ на запросы рынка — ежегодно украинцы теряют или ломают до 500 тыс телефонов.
Как считает Александр Галкин, эксперт по кибербезопасности из PGP Innovative Consulting, из-за простоты процедуры получения SIM-дубликата, в последние месяцы он становится все более популярным объектом охоты злоумышленников. Во-первых, зная номер банковской карточки жертвы, дубликат дает возможность проводить платежи до $100. Во-вторых, можно попросту звонить с дублированной карты за счет жертвы. Причем, во втором случае мошенники для своего “удобства” записывают специальные SIM-карты, содержащие до 10 похищенных номеров.
Масла в огонь подлил “ПриватБанк”, позволив с недавних пор своим клиентам снимать деньги с карточных счетов, не имея “на руках” собственно карточки. Для авторизации в таких случаях используется код подтверждения, отправляемый клиенту на номер его мобильного телефона — чем и стали промышлять “находчивые умы” по всей Украине.
В МТС считают, сам механизм замены SIM-карты в “популярности” преступной схемы не виноват. “Получать доступ к персональной информации, в т.ч. к банковскому счету человека, мошенникам позволяет несовершенство банковской услуги. Подобная схема появилась не с запуском услуги по замене SIM-карточки, а лишь когда появилась банковская услуги”, — отметила Виктория Рубан, начальник отдела по связям с общественностью “МТС-Украина”.
С этой точкой зрения согласны и в “Киевстар”. Как пояснили в пресс-службе крупнейшего оператора, “на рынке появляются новые случаи мошенничества с использованием банковских карт и мобильных телефонов. Эти риски спровоцированы существенным упрощением некоторыми банками процесса обналичивания денег через терминалы. Мошеннику достаточно заполучить номер банковской карты жертвы и доступ к его сим-карте, “связанной” с номером банковского счета”.
В МТС опровергают версию о возможности легко завладеть SIM-картой жертвы, но настаивают на том, что процедура выдачи дубликата должна быть максимально облегчена. “Для идентификации нужно будет ответить на несколько вопросов о восстанавливаемом номере, ответы на которые может знать лишь сам абонент. Процедура восстановления SIM -карты должна быть простой и быстрой. Представьте — вы потеряли телефон, а для восстановления “симки” с вас требуют пакет документов, как для оформления кредита или выдачи шенгенской визы. Вряд ли это обрадует абонентов”, — подчеркнули в пресс-службе компании.
По сути, процедура идентификации абонента при обращении в сервисный центр — единственный механизм, которым оператор может хоть как-то защитить prepaid-абонента от противоправных посягательств на его SIM-карту. Юридически даже контрактные абоненты не защищены от “перехвата”, поскольку в договоре не предусмотрен соответствующий раздел.
Тот факт, что с юридической точки зрения вопросы безопасности лежат исключительно на плечах самого абонента отмечает и А. Галкин: “Если ваш номер подвергся взлому — нет смысла идти в суд. Договора операторов прописаны так, что вся ответственность ложится на абонента. Также и в договоре с банком — клиент никак не защищен договором”. В целом в “Киевстар” подтверждают такое положение дел. “Оператор мобильной связи не уполномочен ловить и привлекать к ответу злоумышленников”, — говорится в комментарии крупнейшего оператора.
Тезис о беззащитности банковского клиента подтверждает и Роман Химич, эксперт Netton Consulting Group. “Банк в одностороннем порядке, без консультаций с мобильными операторами, построил один из ключевых элементов своего сервиса — процедуру аутентификации пользователей — на операторских сервисах. Тем самым надёжность и устойчивость к попыткам взлома банковских продуктов оказалась привязана к политикам и внутренним процедурам третьих лиц, которые об этом даже не были предупреждены. Не говоря уже о том, что у операторов мобильной связи нет никаких правовых обязательств перед своими абонентами в части защиты их права на SIM-карты”.
По словам эксперта, с технической точки зрения идентификация абонента предоплаченной связи не предполагается вовсе. Если человек утратил свою SIM-карту, он может попытаться доказать своё право на ассоциированный с нею номер. Но конечный итог зависит только от сотрудников операторской компании, которые полагаются на ряд предположений и допущений, что категорически неуместно, когда речь идёт об инструменте доступа к банковскому счёту.
“Операторы и не ставят перед собой задачу обеспечить надёжную идентификацию абонентов предоплаченных услуг. Им, попросту говоря, всё равно, кто именно пользуется тем или иным номером. Если человек потерял “симку” и просит выдать ему дубликат, операторы готовы ему помочь, но в виде одолжения. Обязательств на этот счет у них нет. Операторы резонно исходят из того, что если для абонента критически важно закрепить своё право пользования номером, он может перейти на контрактную форму обслуживания”, — отметил Р. Химич.
По мнению эксперта, “ПриватБанк” руководствуется исключительно своим корыстным интересом — максимально упростить людям доступ к деньгам, как к своим, так и к заёмным. “Устойчивость SMS-аутентификации к злонамеренным посягательствам, видимо, не рассматривается в банке как значимый фактор. Главное, чтобы деньги и связанные с ними обязательства были записаны на конкретного человека. А уж взыскать своё в этом банке умеют, как нигде. Даже если окажется, что под видом клиента деньги получили мошенники. Банк такие подробности не интересуют”, — подытожил он.
На сегодняшний день абонентам остается рассчитывать только на собственную сознательность и надеяться, что диалог между банкирами и “мобильщиками” когда-нибудь состоится. Однако, в этом, похоже, никто не заинтересован. Как отметила В. Рубан: “мы неоднократно обращались к банку с просьбой предоставлять нам номера телефонов клиентов без указания других персональных данных (фамилий и пр.), которые подключили услугу SMS-аутентификации. К сожалению, на сегодняшний день вопрос так и не решен”.
