В Украине набирает популярность новая мошенническая схема, связанная с "угоном" мобильных номеров, которые, как правило, являются единственным идентификатором пользователя финансовых услуг и разнообразных аккаунтов. Простота процедуры перевыпуска SIM-карт уже стала причиной тысяч финансовых преступлений по всей стране. Получая доступ к номеру жертвы, злоумышленники с легкостью сбрасывают пароли в мобильных банковских приложениях и опустошают счета.
"На меня взяли 14 кредитов"
"В один момент у меня неожиданно пропала мобильная связь в телефоне, — рассказывает харьковчанка Александра, попросившая не называть свою фамилию в прессе. — Поскольку в это время я отдыхала за городом на даче, то не придала этому факту особого значения, посчитав это технической неисправностью телефона, и обратилась с этой проблемой в магазин Vodafon только через несколько дней. Оператор мобильной связи, не разобравшись, предположила, что нужно заменить SIM-карту, и попросила назвать три номера телефона, по которым я звонила в последнее время. После проверки оператор продала мне новую SIM-карту и сказала, что связь в ближайшее время будет восстановлена".
Но связь так и не появилась.
"Спустя еще пару дней я отправилась в сервисный центр Vodafon, где выяснилось, что кто-то переназначил мой номер на другую SIM-карту и установил запрет на дальнейшее изменение. Оператор уточнила, что при предыдущем обращении мне должны были рассказать об этом. В итоге номер мне удалось восстановить только через семь дней", — добавляет Александра.
В первый же день после включения телефона девушка начала получать SMS от различных финорганизаций о наличии у нее онлайн-кредитов, которые были выданы как раз тогда, когда у нее не работал телефон. Все кредиты были выплачены на неизвестные ей банковские карты. Увидев это, Александра отправилась писать заявление в полицию. И, как выяснило следствие, всего кредитов было 14 на сумму более 62 тыс. грн.
"Но самое интересное началось, когда мне и моим членам семьи начали звонить коллекторы и в грубой форме требовать деньги", — рассказывает Александра.
На сегодня следствие продолжается, и, по словам Александры, вся эта ситуация настолько выбила ее из колеи, что она даже вынуждена была обратиться за лечением к психотерапевту.
Жертвой может стать каждый
Впрочем, как свидетельствуют данные реестра судебных решений, жертвой аферистов может стать абсолютно каждый. Схема достаточно распространена и называется SIM-свопинг или подмена SIM-карты. Злоумышленники узнают телефонный номер жертвы и обращаются к мобильному оператору, выдавая себя за собственника номера с просьбой повторно выпустить SIM-карту. Таким образом мошенники обретают возможность получать коды безопасности, которые банки и другие финансовые сервисы присылают на номер телефона. А значит и контроль над привязанными к SIM-карте аккаунтами и банковскими картами.
Как говорит исполнительный директор Лаборатории компьютерной криминалистики CyberLab Сергей Денисенко, мошенники пользуются относительной простотой перевыпуска SIM-карт.
"Все, что нужно знать злодеям при смене SIM-карты, это три номера, с которыми чаще всего были созвоны, баланс счета и секретное слово, если оно есть. Вот и все. Иногда для этого даже приходить в сервисный центр не нужно. Все можно сделать онлайн, если есть немного больше информации. Подобная ситуация как-то произошла и с моей семьей. Номер украли у моей сестры. Сотрудник мобильного оператора подала заявку об утрате SIM-карты, при этом назвала три входящих, три исходящих и дату последнего пополнения счета", — сказал Денисенко.
Такая простота процедуры перевыпуска карт уже стала причиной тысяч преступлений по всей стране. И, как правило, главной целью являются деньги. Так, по данным реестра судебных решений, в одном случае неустановленный гражданин просто позвонил по номеру поддержки телефонного оператора и убедил работника контакт-центра перевыпустить SIM. Весь процесс занимает около часа. Номер был привязан к счетам ПриватБанка и Monobank, с которых мошенник снял 26 тыс. грн.
В другом случае замену SIM-карты выполнил сотрудник оператора, сняв со счетов жертвы почти 9 тыс. грн. Еще один случай произошел в середине прошлого года в Славянске. Там мошенники похитили 50 тыс. грн с благотворительного счета мужчины, который в соцсетях собирал деньги на лечение онкологии у своей дочери. Как говорится в материалах дела, мошенник, используя данные, которые разместил мужчина в объявлении в соцсетях, а также выяснив перечень последних или часто используемых номеров, обратился к оператору "Киевстар", где, под вымышленными анкетными данными, собственноручно написал заявление о закрытии и перевыпуске SIM-карты с номером телефона, который фактически принадлежит другому человеку. Преступника вычислили и приговорили к трем годам тюрьмы. Но это скорее исключение из правил.
Восстановить справедливость удается не всегда
Как объясняет Сергей Денисенко, с технической точки зрения раскрыть такие преступления не представляет особого труда.
"Операторы, согласно законодательству, хранят данные о разговорах, переписках, IMEI, геолокации и прочее на протяжение трех лет. Это необходимо для того, чтобы, в случае какого-нибудь преступления, правоохранители могли обратиться к оператору и получить необходимые для следствия данные. Вот как раз по IMEI телефона, на который привязали клонированную SIM-карту, геолокации и вышкам сотовой связи можно идентифицировать личность преступника. Механизм не очень сложный, с одной стороны. Но дело в том, что данная процедура требует снятия информации с каналов связи. А для этого обязательно нужно решение суда. Как показывает практика, решение суда дается только на тяжкие и особо тяжкие преступления. Если взять мошенничество, то суд может даже не дать нужное решение. И, конечно, нельзя недооценивать человеческий фактор. Ведь судьба дела очень сильно зависит от квалификации и загруженности конкретного следователя", — отмечает Денисенко.
При этом, как говорит эксперт рынка телекоммуникаций Роман Химич, в подобных ситуациях мобильные операторы и финансовые учреждения всеми силами пытаются переложить вину на жертву.
"Корень проблемы лежит в том, что в Украине номер мобильного телефона стал основным идентификатором пользователя финансовых услуг. То есть финучреждения исходят из того, что номер мобильного намертво привязан к человеку. Но это совершенно не так. Первыми эту порочную практику внедрил ПраватБанк. Они прекрасно знали все риски и сознательно на них пошли, просто потому, что им так было выгодно. Следом за ними подтянулся и весь остальной финансовый сектор. Это насквозь порочная практика, на которую, к сожалению, закрывают глаза в НБУ, стараясь не замечать проблемы", — сказал Химич.
Даже если принять как факт, что украинцы используют номер мобильного для идентификации, то, по словам эксперта, как минимум следует минимизировать риск угона номера.
"Все, что для этого нужно, это использовать только контрактное или персонифицированное подключение. Теоретически это означает, что перевыпуск или другие операции c SIM-картой могут происходить только при личном присутствии человека. Но финансовые учреждения абсолютно не заинтересованы в донесении этой информации до человека. Максимум, что они сделают, это напишут об этом где-то у себя на сайте. Хотя они имеют возможность проверить любой номер на предмет персонификации. Если описать ситуацию в двух словах, то в Украине имеет место массовая практика игнорирования участниками рынка интересов своих клиентов. Поэтому в нынешней ситуации хорошим решением было бы специальное постановление НБУ, чтобы поставщик финансовых услуг, взаимодействуя с оператором мобильной связи, обязательно выяснял, персонифицирован ли номер", — сказал Роман Химич.
Как не стать жертвой
Единственным способом обезопасить себя от подобных неприятностей — это защищаться самому. Многие эксперты уверены, что основной угрозой потери данных остается сам пользователь.
"К сожалению, люди часто сами оставляют все персональные данные направо и налево, чем охотно пользуются злодеи", — говорит Денисенко.
А дальше в ход вступает социальная инженерия, когда человек сам предоставляет злоумышленникам интересующую их информацию. Это может быть телефонный звонок от якобы сотрудника банка, переход по непроверенным гиперссылкам и т. д.
Как говорят в киберполиции, чтобы минимизировать риски "угона" средств с банковского счета, следует использовать отдельный финансовый номер телефона и не передавать его третьим лицам.
"Самая распространенная из мошеннических схем выглядит так: абоненту звонят несколько раз (представляясь такси, организациями и т. д.) и склоняют абонента, чтобы тот перезвонил. Дальше заказывают у оператора услугу восстановления сим-карты, используя для идентификации абонента номера телефона, с которых ранее сами и звонили. Иногда злоумышленники даже перечисляют незначительные суммы средств на мобильный счет жертвы, чтобы точно знать дату последнего пополнения счета, необходимую для получения доступа к номеру", — отмечают в киберполции.
К тому же, как рассказали в одном из столичных отделений оператора lifecell, если человек боится, что его номер могут "угнать", он может обратиться в один из центров поддержки клиентов с письменным заявлением, в котором установит запрет на перевыпуск сим-карты без его личного присутствия. Также практически все украинские операторы мобильной связи дают возможность подключить услугу дополнительного пароля для осуществления операций с сим-картой. В комплексе все эти действия значительно снижают риски перевыпуска вашей карты.
Некоторые операторы пошли еще дальше. Например, как говорят в "Киевстаре", в конце прошлого года они запустили новую услугу для бизнеса SIM Check, которая обеспечивает дополнительную защиту от мошенничества финансовым, банковским организациям и их клиентам.
"Суть услуги заключается в следующем: финансовые учреждения, с которыми сотрудничает "Киевстар", направляют запросы по номерам телефонов, по которым оформляется онлайн-кредит, или проводится другая финансовая операция. "Киевстар" проверяет, перевыпускалась ли сим-карта по этому номеру телефона, и за какой период. Таким образом банк или МФО получает информацию о том, менялась ли сим-карта или нет, и на основании этой информации может принимать решения", — говорят в "Киевстаре".
Но учитывая, что услуга платная, далеко не все организации ей пользуются.