Атаки на SIM-карты. Как мошенники уводят деньги со счетов жертв

Мошенничество с использованием персональных данных на наших глазах превратилось в чрезвычайно доходный криминальный бизнес. Готовы ли участники рынка и нормативная база Украины защищать наши интересы в этой сфере?

Не так давно коллеги прислали мне ссылку на описание совершенно безумной истории из жизни американских операторов мобильной связи. Знатный Bitcoin-предприниматель Майкл Терпин последние годы не терял времени зря. Судя по тому, что на его счету свыше 75 успешных ICO, в которых он выступал в роли «фаундера» или консультанта, чувак знает за жизнь и в совершенстве овладел искусством напарить простакам что-нибудь остромодное.

Майкл Терпин 

Однако и на старуху бывает проруха. Осенью 2017 года у него впервые украли номер мобильного телефона. Для этого мошенникам пришлось обойти одиннадцать салонов мобильной связи, пока они не нашли сотрудника, готового проигнорировать инструкции. Используя номер как ключевой элемент двухфакторной идентификации, они взломали принадлежавшие Терпину учётные записи финансовых сервисов и вывели всё, что смогли. По словам самого пострадавшего — «не очень много». На тот момент его цифровая наличность была защищена разного рода аппаратными средствами вроде Trezor и Ledger.

• Взлом SIM—карты: чего стоит опасаться

М-р Терпин понял этот знак правильным образом и запросил у своего оператора AT&T максимальный уровень защиты. Компания предоставила ему VIP-статус, который подразумевает, среди прочего, использование специального пароля либо личное присутствие для любых действий с номером. Всё выглядело солидно и абсолютно надёжно. Этот шаг был очень важным для бизнесмена, поскольку он начал активно работать с новыми, не очень популярными токенами. Производители аппаратных средств банально не успевали адаптировать свои продукты к стремительно расширяющемуся ассортименту криптовалют, поэтому использование программных и сетевых кошельков не имело (да и не имеет сейчас) альтернатив.

А в январе 2018 года неизвестные снова завладели тем же самым номером и немедленно избавили бедолагу от «крипты» на сумму примерно в 23 млн. USD по курсу на момент подачи им иска, т.е. в августе этого года. На момент кражи стоимость украденного составляла баснословные 216 млн. USD, которые впоследствии обесценились из-за обвального падения курса криптовалют.

Примечательно, что когда Терпин прочитал договор на VIP-обслуживание, который, видимо, подписал, не вникая в детали, там обнаружилось классическое отсутствие ответственности компании за любые действия или бездействие, совершённое ею или её сотрудниками.

Наиболее вероятной причиной этого криминального дива и сам потерпевший, и многочисленные комментаторы считают участие в преступном сговоре сотрудника AT&T, который выдал мошенникам SIM-карту с номером VIP-клиента. Без проверки пароля или удостоверения личности, вопреки всем правилам и процедурам. Мне стало интересно выяснить подробности, я погрузился в чтение ссылок и передо мною, фигурально выражаясь, распахнулись врата ада. Никогда, никогда я не мог представить, что всё настолько запущенно.

Ежемесячно в сети одного лишь Verizon фиксируются десятки, если не сотни попыток кражи телефонного номера. Ничего удивительного, поскольку средней руки мошенник имеет послужной список в сотни успешных краж, в том числе осуществлённых во время отбытия наказания. Криминалитет активно вербует сотрудников операторских компаний, предлагая ничтожные по американским меркам 80-100 USD за каждый переоформленный на них номер.

Столь низкие цены неудивительны, поскольку оборот украденных номеров может исчисляться десятками тысяч. В результате наиболее известного инцидента три сотрудника всё той же AT&T слили преступникам 280 тыс. номеров. Компании это обошлось в 25 млн. USD штрафов, которые она заплатила в 2015 году. Однако, как видим, проблема не решена до сих пор.

• Поліція попереджає про новий вид шахрайства!

Несмотря на то, что данный вид преступной деятельности известен уже много лет, первые аресты по обвинению в краже номеров произошли только в этом году. Катализатором проблемы, судя по всему, стал феномен фантастического роста криптовалют в 2016-17 годах. Чудовищная шумиха, множество возникших из ниоткуда толстосумов с детским пушком на щеках и такой же детской уверенностью в себе, хлипкие процедуры безопасности написанных на коленке сервисов по работе с «криптой», наконец, сама природа криптовалют, исключительно удобных для их кражи — всё это не могло не привлечь внимание множества мошенников самого разного уровня.

Обращает внимание дилетантизм людей, которые успешно «доили» криптотусовку, пока не попали в руки правосудия. Чуваки, покупавшие Lamborghini за 200 тыс. USD и сумки Gucci, использовали одни и те же смартфоны (!) и даже адреса (!!!) электронной почты, что позволило посредством банального сопоставления IMEI и перлюстрации выявить целые преступные сообщества. Одни дети, не имеющие представления о конспирации и элементарной осторожности, грабили других, так же бестолковых детей.

Чему учит нас американский опыт?

Во-первых, в деле защиты персональных данных абонентов на передний план выходит человеческий фактор. Операторы мобильной связи США оказались не в состоянии создать эффективную систему защиты своих абонентов от тривиальных, по сути, противоправных посягательств. Стоит признать, что эта задача вряд ли может быть решена в рамках существующей модели организации работы, когда критически важные операции с данным абонентов осуществляются вручную.

Ничего удивительного — при «наваре» в сотни тысяч и миллионы долларов соучастие в преступном бизнесе становится слишком выгодным. Невозможно без смеха читать об инициативе четвёрки крупнейших операторов США создать стандартизованное решение для идентификации абонентов. Как можно доверять компаниям, которые не в состоянии контролировать собственных сотрудников и принципиально отказываются отвечать за свои косяки?

• Атака на карты «ПриватБанка»

Во-вторых, масштабы распространения SMS-идентификации таковы, что требуют вмешательства регулирующих органов. Полагаться на пользователей не стоит — против них играют многолетние усилия множества рыночных игроков, которые успешно создали миф о надёжности и безопасности такого механизма. Налицо классическая проблема, я бы даже сказал проклятие массового рынка — асимметрия информации. Невозможно быть экспертом во всех сферах жизни, с которыми ты сталкиваешься.

Глупо, а то и подло требовать от населения достаточного уровня знаний для осознанного и компетентного выбора по великому множеству вопросов.

Наконец, в-третьих, ещё раз (уже в который) подтверждена обоснованность и уместность отказа от SMS-авторизации, о необходимости которого Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) заявил ещё в 2016 году. В документе (см. полную версию) содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). Причём без упомянутых в п.2 регулирующих органов вряд ли можно обойтись, поскольку за SMS-авторизацию играют не только неосведомлённость и лень пользователей, но и поставщики услуг, которым страшно не хочется усложнять доступ к своим продуктам.

• Мошенники снова и снова лишают денег доверчивых украинцев

Какое отношение всё это имеет к Украине? К сожалению, самое непосредственное.

Автор:  Роман Химич; , эксперт  рынка телекоммуникаций, Mediasat

Как мошенники увели SIM-карту у киевской IT-аналитика и украли 285 000 грн

Многие сервисы сейчас авторизуют пользователя с помощью его смартфона: SMS, уведомлениями, QR-кодами и т.д. Если речь идет о финансовых сервисах, такой способ может быть довольно рискованным, как показывает случай с SIM-картой киевской IT-аналитика Анны Карачинцевой.

Пока она была в зарубежной поездке, неизвестные воспользовались услугой онлайн-восстановления SIM-карты (предоплаченной связи), получили над ней контроль и опустошили все ее банковские карты, в общей сложности на 285 000 грн, не считая кредитных средств.

Это не единичный случай, когда припейд-абоненты сталкиваются с потерей контроля над картой и, как минимум, − над своими же деньгами, поэтому редакция издания AIN.UA разобрала этот случай детальнее и опросила экспертов, что делать в подобных ситуациях.

Что случилось?

Карачинцева рассказала редакции AIN.UA, что на майские праздники была в зарубежной поездке. Она — абонент предоплаченной формы связи в сети «Vodafone Украина». В ночь с 8 на 9 мая Анне начали поступать cообщения от сервисов Google, Viber и других приложений, где используется авторизация с помощью телефонного номера. Утром вчитавшись в сообщения (на тот момент к ним добавились и уведомления от банка), Анна поняла, что у нее увели SIM-карту. По ее словам, услуга онлайн-восстановления SIM-карты была подключена у нее удаленно, а для припейд-абонентов она не требует идентификации пользователя по документам.

Анна предполагает, что мошенники через SIM-карту получили доступ к Google-аккаунту, где могли найти данные паспорта, в аккаунте и памяти карты нашли, какими банками она пользуется, и далее снимали деньги через онлайн-банкинг. В Google-аккаунте она видела IMEI-коды устройств, которые логинились с новой SIM-карты (позднее она указала их в заявлении в полицию).

Анна не понимает, откуда к ним попали данные для восстановления карты (к примеру, данные о номерах, на которые чаще всего звонит или пишет абонент). По распечаткам видно, когда произошла замена карты:

Она попыталась позвонить в банк, но смартфон уже не работал с текущей SIM-картой. У нее была вторая SIM-карта, поэтому Анна смогла начать обзванивать банки и блокировать счета. К 9:00 утра счета уже были «вычищены»: по словам пострадавшей, со счета в «Укрсиббанк» деньги ушли полностью, в «ПроКредит Банк» после определенной суммы сработала защита, счет в Monobank не пострадал, как и в ПУМБ (в последнем случае − поскольку досрочное снятие депозитных средств не предусмотрено).

• Мошенники снова и снова лишают денег доверчивых украинцев

Анна подала заявку на блокировку ворованной карты, ее создали в 11:47, но срок ее исполнения − 1 рабочий день (а 9 мая был выходным). Она обратилась к операторам поддержки, чтобы объяснить, что карту украли и сейчас используют ее для доступа к деньгам, но оперативного ответа получить не смогла, так же, как и добиться немедленной блокировки. Карту заблокировали через несколько часов.

«Не успела я расслабиться как мои родители пишут, что снова видят меня онлайн в вайбере.  Я обращаюсь в колл-центр и, о чудо! Кто то разблокировал мою “симку” онлайн, без прихода в отделение после того, как я уведомила компанию Vodafone Ukraine о мошенничеств с ее помощью», − пишет она. Более того, после угона карты ее семье начали поступать странные звонки и сообщения, например, от ее имени спрашивали у родителей адрес ее донецкой прописки.

Как избежать подобной ситуации

Под постом Анны представители «Укрсиббанка» сообщили, что проверят информацию и попросили выйти на связь. Она говорит, что в банке ей советовали идти в полицию. «Была в банке лично – там вроде путем долгих созвонов выяснили, что они в курсе и занимаются… из рекомендаций: “Обратитесь в полицию, пусть они к нам придут с запросом в рамках расследования”», − говорит пострадавшая. Анна обратилась с заявлением в Киберполицию, и сейчас пытается вернуть свои деньги.

В «Vodafone Украина» на запрос редакции ответили, что сейчас проверяют ситуацию, и что заменить SIM-карту не так просто: «Нужно знать информацию, которая по идее должна быть известна только владельцу телефона, однако мошенники зачастую используют разные трюки, чтобы выведать эту персональную информацию». В компании отметили, что чтобы избежать подобной ситуации, нужно зарегистрироваться у оператора и установить замену SIM-карты только по паспорту, а также включить запрет на удаленную замену карты.

«Очевидно, что услугу нужно дорабатывать и повышать уровень ее защиты. Понимая, что с проблемой сталкиваются клиенты банков, которые также являются нашими клиентами, мы уже предложили банкам систему верификации… Нежелательно использовать номер, которым вы делитесь со всеми, как финансовый», − сообщили в компании.

По рекомендации телеком-эксперта Романа Химича, можно как минимум пройти процедуру персонификации, если пользователь − анонимный абонент припейда, перейти на контракт, или же пользоваться аппаратными токенами для всех критических операций, вроде работы с интернет-банкингом или смены пароля.

Почему так происходит?

По словам Химича, причина в том, что украинские сервисы часто используют идентификацию человека по номеру мобильного телефона. Но это проблема − мирового масштаба. К примеру, американский Bitcoin-предприниматель Майкл Терпин несколько раз терял сбережения, потому что у него уводили мобильный номер. Даже после того, как он заказал у своего оператора VIP-статус с усиленной безопасностью, у него опять украли номер и сняли со счетов криптовалюту, стоившую на тот момент $23 млн (подробнее о том, как это происходит в США, можно прочитать в статье «Атаки на SIM-карты. Как мошенники уводят деньги со счетов жертв«).

«Идентификация по мобильному номеру в финансовых сервисах − глубоко порочная практика, которую отраслевые организации советуют не использовать уже года три, но это − удобно, привычно и дешево. Вспомните, как в Украину заходили зарубежные банки, предлагая пользователям аппаратные ключи по нереальной для украинских пользователей цене в $50. А потом “ПриватБанк” взял и ввел SMS-авторизацию».

Услуги мобильной связи сейчас просто не предназначена для обслуживания финансовых операций, отмечает он. В договоре оферты оператора написано, что компания не несет ответственность в подобных случаях, и у нее нет способов со 100% гарантией идентифицировать анонимного пользователя припейда, который пришел менять якобы свою SIM-карту. Ведь мошенники могут завладеть данными, по которым его проверяют (например, номера, на которые он чаще всего звонил).

Так что эта проблема может решиться либо со стороны пользователей, которые перестанут использовать анонимный припейд-номер для доступа к счетам, либо со стороны бизнеса, который откажется от этой модели, или же − со стороны регулятора, который запретит эту практику, либо пропишет ответственность за подобные случаи, считает эксперт.

Мнение юриста

Юристы согласны с этой оценкой. По словам Дениса Берегового, партнера Axon Partners, и оператор, и банки в данной ситуации работают в рамках закона.

«Сам по себе такой формат работы оператора с абонентами не запрещен, да и практического смысла в таком запрете нет – это удобно. Другое дело, что у нас достаточно долго весь припейд был условно анонимным», − говорит Береговой. Решениеv проблемы может стать «паспортизация» SIM-карт.

Или же уйти от такого мошенничества «здесь и сейчас» можно, только запретив SMS-авторизацию. Но надо учитывать, что приемлемых альтернатив − немного (ЭЦП не совсем удобна, авторизация через email, push или месенджеры не особо отличаются от SMS в плане безопасности). При этом и Visa, и Mastercard используют протокол 3-D Secure, который также заточен под авторизацию через сообщение/уведомление, отмечает эксперт.

«Чтобы обезопасить себя, советую все же пройти идентификацию у оператора, т.к. это довольно просто, а на уровне вашей приватности не особо отразится (ваши соцсети о вас знают больше, причем с вашего же согласия). И да, почитайте на досуге оферты ваших банков – узнаете много нового про 2FA и вообще. Например, что вы по договору с банком должны устанавливать антивирусы на смартфоны, исключительно лицензионное ПО (а не какие-то штуки с форумов), и даже не подключаться в открытым Wi-Fi-хотспотам для входа в интернет-банк», − говорит он.

Автор:  Ольга Карпенко; AIN.UA