Мошенники угнали припейд-SIM-карту у киевской IT-аналитика и украли 285 000 грн. Оператор и банк пока помочь не могут

26426
11

Многие сервисы сейчас авторизуют пользователя с помощью его смартфона: SMS, уведомлениями, QR-кодами и т.д. Если речь идет о финансовых сервисах, такой способ может быть довольно рискованным, как показывает случай с SIM-картой киевской IT-аналитика Анны Карачинцевой. Пока она была в зарубежной поездке, неизвестные воспользовались услугой онлайн-восстановления SIM-карты (предоплаченной связи), получили над ней контроль и опустошили все ее банковские карты, в общей сложности на 285 000 грн, не считая кредитных средств.

Это не единичный случай, когда припейд-абоненты сталкиваются с потерей контроля над картой и, как минимум, − над своими же деньгами, поэтому редакция AIN.UA разобрала этот случай детальнее и опросила экспертов, что делать в подобных ситуациях.  

Что случилось? 

Карачинцева рассказала редакции AIN.UA, что на майские праздники была в зарубежной поездке. Она — абонент предоплаченной формы связи в сети «Vodafone Украина». В ночь с 8 на 9 мая Анне начали поступать cообщения от сервисов Google, Viber и других приложений, где используется авторизация с помощью телефонного номера. Утром вчитавшись в сообщения (на тот момент к ним добавились и уведомления от банка), Анна поняла, что у нее увели SIM-карту. По ее словам, услуга онлайн-восстановления SIM-карты была подключена у нее удаленно, а для припейд-абонентов она не требует идентификации пользователя по документам.

Анна предполагает, что мошенники через SIM-карту получили доступ к Google-аккаунту, где могли найти данные паспорта, в аккаунте и памяти карты нашли, какими банками она пользуется, и далее снимали деньги через онлайн-банкинг. В Google-аккаунте она видела IMEI-коды устройств, которые логинились с новой SIM-карты (позднее она указала их в заявлении в полицию). 

Анна не понимает, откуда к ним попали данные для восстановления карты (к примеру, данные о номерах, на которые чаще всего звонит или пишет абонент). По распечаткам видно, когда произошла замена карты: 

Она попыталась позвонить в банк, но смартфон уже не работал с текущей SIM-картой. У нее была вторая SIM-карта, поэтому Анна смогла начать обзванивать банки и блокировать счета. К 9:00 утра счета уже были «вычищены»: по словам пострадавшей, со счета в «Укрсиббанк» деньги ушли полностью, в «ПроКредит Банк» после определенной суммы сработала защита, счет в monobank не пострадал, как и в ПУМБ (в последнем случае − поскольку досрочное снятие депозитных средств не предусмотрено). 

Анна подала заявку на блокировку ворованной карты, ее создали в 11:47, но срок ее исполнения − 1 рабочий день (а 9 мая был выходным). Она обратилась к операторам поддержки, чтобы объяснить, что карту украли и сейчас используют ее для доступа к деньгам, но оперативного ответа получить не смогла, так же, как и добиться немедленной блокировки. Карту заблокировали через несколько часов. 

«Не успела я расслабиться как мои родители пишут, что снова видят меня онлайн в вайбере.  Я обращаюсь в колл-центр и, о чудо! Кто то разблокировал мою «симку» онлайн, без прихода в отделение после того, как я уведомила компанию Vodafone Ukraine о мошенничеств с ее помощью», − пишет она. Более того, после угона карты ее семье начали поступать странные звонки и сообщения, например, от ее имени спрашивали у родителей адрес ее донецкой прописки. 

Как избежать подобной ситуации

Под постом Анны представители «Укрсиббанка» сообщили, что проверят информацию и попросили выйти на связь. Она говорит, что в банке ей советовали идти в полицию. «Была в банке лично — там вроде путем долгих созвонов выяснили, что они в курсе и занимаются… из рекомендаций: «Обратитесь в полицию, пусть они к нам придут с запросом в рамках расследования»», − говорит пострадавшая. Анна обратилась с заявлением в Киберполицию, и сейчас пытается вернуть свои деньги.

В «Vodafone Украина» на запрос редакции ответили, что сейчас проверяют ситуацию, и что заменить SIM-карту не так просто: «Нужно знать информацию, которая по идее должна быть известна только владельцу телефона, однако мошенники зачастую используют разные трюки, чтобы выведать эту персональную информацию». В компании отметили, что чтобы избежать подобной ситуации, нужно зарегистрироваться у оператора и установить замену SIM-карты только по паспорту, а также включить запрет на удаленную замену карты. 

«Очевидно, что услугу нужно дорабатывать и повышать уровень ее защиты. Понимая, что с проблемой сталкиваются клиенты банков, которые также являются нашими клиентами, мы уже предложили банкам систему верификации… Нежелательно использовать номер, которым вы делитесь со всеми, как финансовый», − сообщили в компании.

По рекомендации телеком-эксперта Романа Химича, можно как минимум пройти процедуру персонификации, если пользователь − анонимный абонент припейда, перейти на контракт, или же пользоваться аппаратными токенами для всех критических операций, вроде работы с интернет-банкингом или смены пароля. 

Почему так происходит? 

По словам Химича, причина в том, что украинские сервисы часто используют идентификацию человека по номеру мобильного телефона. Но это проблема − мирового масштаба. К примеру, американский Bitcoin-предприниматель Майкл Терпин несколько раз терял сбережения, потому что у него уводили мобильный номер. Даже после того, как он заказал у своего оператора VIP-статус с усиленной безопасностью, у него опять украли номер и сняли со счетов криптовалюту, стоившую на тот момент $23 млн (подробнее о том, как это происходит в США, можно прочитать здесь). 

«Идентификация по мобильному номеру в финансовых сервисах − глубоко порочная практика, которую отраслевые организации советуют не использовать уже года три, но это − удобно, привычно и дешево. Вспомните, как в Украину заходили зарубежные банки, предлагая пользователям аппаратные ключи по нереальной для украинских пользователей цене в $50. А потом «ПриватБанк» взял и ввел SMS-авторизацию».

Услуги мобильной связи сейчас просто не предназначены для обслуживания финансовых операций, отмечает он. В договоре оферты оператора написано, что компания не несет ответственность в подобных случаях, и у нее нет способов со 100% гарантией идентифицировать анонимного пользователя припейда, который пришел менять якобы свою SIM-карту. Ведь мошенники могут завладеть данными, по которым его проверяют (например, номера, на которые он чаще всего звонил).

Так что эта проблема может решиться либо со стороны пользователей, которые перестанут использовать анонимный припейд-номер для доступа к счетам, либо со стороны бизнеса, который откажется от этой модели, или же − со стороны регулятора, который запретит эту практику, либо пропишет ответственность за подобные случаи, считает эксперт.

Мнение юриста

Юристы согласны с этой оценкой. По словам Дениса Берегового, партнера Axon Partners, и оператор, и банки в данной ситуации работают в рамках закона. 

«Сам по себе такой формат работы оператора с абонентами не запрещен, да и практического смысла в таком запрете нет – это удобно. Другое дело, что у нас достаточно долго весь припейд был условно анонимным», − говорит Береговой. Решением проблемы может стать «паспортизация» SIM-карт.

Или же уйти от такого мошенничества «здесь и сейчас» можно, только запретив SMS-авторизацию. Но надо учитывать, что приемлемых альтернатив − немного (ЭЦП не совсем удобна, авторизация через email, push или месенджеры не особо отличаются от SMS в плане безопасности). При этом и Visa, и Mastercard используют протокол 3-D Secure, который также заточен под авторизацию через сообщение/уведомление, отмечает эксперт. 

«Чтобы обезопасить себя, советую все же пройти идентификацию у оператора, т.к. это довольно просто, а на уровне вашей приватности не особо отразится (ваши соцсети о вас знают больше, причем с вашего же согласия). И да, почитайте на досуге оферты ваших банков – узнаете много нового про 2FA и вообще. Например, что вы по договору с банком должны устанавливать антивирусы на смартфоны, исключительно лицензионное ПО (а не какие-то штуки с форумов), и даже не подключаться в открытым Wi-Fi-хотспотам для входа в интернет-банк», − говорит он.

Оставить комментарий

Комментарии | 11

  • У киевской Айти-аналитикини вы хотели сказать?

  • Тоесть, если у тебя финансовый номер на контракте, то проблем нет?

  • Не совсем. В раше все на контракте и все равно уводят сим-ки. Один из вариантов решения это делать сервис check imsi — перед отправкой ОТП пароля делается проверка на замену сим-ки и повторную идентификацию.

    • ну поки що в українських операторів відповідь така: «для заміни сім з контрактом потрібен власник контракту з паспортом»
      Але поміняти сім карту можна будь-кому, що доводить кейс з VIP клієнтом в Америці

  • угон сим карт это обычное дело……это как раз та самая тема что удаляетсья Гуглом…..ни сим карта ни почта не защищает актаунт,а делають его уязвимым,я это знаю так как когда я планировала свою соц сеть — это первое от чего нужно было отказатсья…Единственое назначение сбора телефона и почты — это установление слежки….шпионаж…..спам расылка для рекламы и так далее …..имено по этому я придумала схему как заработать на ,Гугл, на любой компании которая занимаетсья сбором такой информации вот решение вы можете сделать так же…..https://drive.google.com/file/d/1hklpbi_lRkiMq8LoBx7Ns2Yk1xJXFdpe/view?usp=sharing

    персональные данные как видно из того что их продають — это товар , но это ваш товар потому вы праве ставить на него цену самостоятельно……вы можете смело судитсья с любой компаниеей по этому поводу привлекать или к уголовной отвествености за шпионаж или требовать оплатить вам сбор по вашим расценкам..

  • ни сим карта ни почта — не являютсья защитой ,ее нельзя доработать потому что цель — это не защита пользователя…..а получение информации о контактах польхователя о его место нахождении о том кто находитсья рядом с пользователем то есть цель шпионаж -а не защита……за это утверждение гугл всегда удалял мои темы когда я это начинала обсуждать ,но это бесполезно так как я готовлю книгу , маленькую книгу которая показывает что ни телефон не почта изначально не чего не защищають, да еще и создають трехсторонее соглашение вместо двух сторонего при чем договра изначально никчемны…..

  • >> Анна не понимает, откуда к ним попали данные для восстановления карты (к примеру, данные о номерах, на которые чаще всего звонит или пишет абонент)

    Дык, это ж самая известная схема. Они просто звонят несколько раз и сбрасывают. Мне вот сегодня так звонили мошенники (пробил номер по гуглу)

  • Только у меня финансовый номер на кнопочнике, который ни к чему кроме банка больше не привязан и нигде больше не светится?
    Оказывается есть ещё кретины, которые на одну симку привязывают всю жизнь.
    И пусть не выдумывает схему про супер хакеров которые её сломали.. скорее всего её номер узнали на OLX, потом ей 3 раза кинули вызов — она перезвонила и таким образом хлопцы узнали три исходящие с её номера, т.е. инфу, которую спрашивает оператор для замены сим-карты) Элементарно.

  • Учитывая, сумму, которая была на счетах, кто-то явно знал что есть деньги и что используется, какой то явно «хороший друг» решил помочь потратить деньги….

Поиск