Банки и операторы сотовой связи делают крайним абонента и клиента

В стране набирает обороты разновидность мошенничества, основанная на незаконном получении дубликата чужой SIM-карты. Поскольку мобильный телефон зачастую используется банками как средство идентификации пользователя, одноразовые пароли и коды подтверждения, отправляемые банками в виде SMS-сообщений, представляют собой интерес для изобретательных мошенников. Как выяснил корреспондент «proIT», банки и операторы в этой схеме заботятся только о собственной выгоде, а безопасность данных абонента фактически никем не гарантирована.

 

Изначально услуга по восстановлению испорченных или украденных SIM-карт была призвана облегчить жизнь абоненту, попавшему в неприятную ситуацию, и избавить его он волокиты, связанной с восстановлением контактов. В МТС утверждают, что выдачу дубликатов SIM-карт операторы ввели в ответ на запросы рынка — ежегодно украинцы теряют или ломают до 500 тыс телефонов.

 

Как считает Александр Галкин, эксперт по кибербезопасности из PGP Innovative Consulting, из-за простоты процедуры получения SIM-дубликата, в последние месяцы он становится все более популярным объектом охоты злоумышленников. Во-первых, зная номер банковской карточки жертвы, дубликат дает возможность проводить платежи до $100. Во-вторых, можно попросту звонить с дублированной карты за счет жертвы. Причем, во втором случае мошенники для своего «удобства» записывают специальные SIM-карты, содержащие до 10 похищенных номеров.

 

Масла в огонь подлил «ПриватБанк», позволив с недавних пор своим клиентам снимать деньги с карточных счетов, не имея «на руках» собственно карточки. Для авторизации в таких случаях используется код подтверждения, отправляемый клиенту на номер его мобильного телефона — чем и стали промышлять «находчивые умы» по всей Украине.

 

В МТС считают, сам механизм замены SIM-карты в «популярности» преступной схемы не виноват. «Получать доступ к персональной информации, в т.ч. к банковскому счету человека, мошенникам позволяет несовершенство банковской услуги. Подобная схема появилась не с запуском услуги по замене SIM-карточки, а лишь когда появилась банковская услуги», — отметила Виктория Рубан, начальник отдела по связям с общественностью «МТС-Украина».

 

С этой точкой зрения согласны и в «Киевстар». Как пояснили в пресс-службе крупнейшего оператора, «на рынке появляются новые случаи мошенничества с использованием банковских карт и мобильных телефонов. Эти риски спровоцированы существенным упрощением некоторыми банками процесса обналичивания денег через терминалы. Мошеннику достаточно заполучить номер банковской карты жертвы и доступ к его сим-карте, «связанной» с номером банковского счета».

 

В МТС опровергают версию о возможности легко завладеть SIM-картой жертвы, но настаивают на том, что процедура выдачи дубликата должна быть максимально облегчена. «Для идентификации нужно будет ответить на несколько вопросов о восстанавливаемом номере, ответы на которые может знать лишь сам абонент. Процедура восстановления SIM -карты должна быть простой и быстрой. Представьте — вы потеряли телефон, а для восстановления «симки» с вас требуют пакет документов, как для оформления кредита или выдачи шенгенской визы. Вряд ли это обрадует абонентов», — подчеркнули в пресс-службе компании.

 

По сути, процедура идентификации абонента при обращении в сервисный центр — единственный механизм, которым оператор может хоть как-то защитить prepaid-абонента от противоправных посягательств на его SIM-карту. Юридически даже контрактные абоненты не защищены от «перехвата», поскольку в договоре не предусмотрен соответствующий раздел.

 

Тот факт, что с юридической точки зрения вопросы безопасности лежат исключительно на плечах самого абонента отмечает и А. Галкин: «Если ваш номер подвергся взлому — нет смысла идти в суд. Договора операторов прописаны так, что вся ответственность ложится на абонента. Также и в договоре с банком — клиент никак не защищен договором». В целом в «Киевстар» подтверждают такое положение дел. «Оператор мобильной связи не уполномочен ловить и привлекать к ответу злоумышленников», — говорится в комментарии крупнейшего оператора.

 

Тезис о беззащитности банковского клиента подтверждает и Роман Химич, эксперт Netton Consulting Group. «Банк в одностороннем порядке, без консультаций с мобильными операторами, построил один из ключевых элементов своего сервиса — процедуру аутентификации пользователей — на операторских сервисах. Тем самым надёжность и устойчивость к попыткам взлома банковских продуктов оказалась привязана к политикам и внутренним процедурам третьих лиц, которые об этом даже не были предупреждены. Не говоря уже о том, что у операторов мобильной связи нет никаких правовых обязательств перед своими абонентами в части защиты их права на SIM-карты».

 

По словам эксперта, с технической точки зрения идентификация абонента предоплаченной связи не предполагается вовсе. Если человек утратил свою SIM-карту, он может попытаться доказать своё право на ассоциированный с нею номер. Но конечный итог зависит только от сотрудников операторской компании, которые полагаются на ряд предположений и допущений, что категорически неуместно, когда речь идёт об инструменте доступа к банковскому счёту.

 

«Операторы и не ставят перед собой задачу обеспечить надёжную идентификацию абонентов предоплаченных услуг. Им, попросту говоря, всё равно, кто именно пользуется тем или иным номером. Если человек потерял «симку» и просит выдать ему дубликат, операторы готовы ему помочь, но в виде одолжения. Обязательств на этот счет у них нет. Операторы резонно исходят из того, что если для абонента критически важно закрепить своё право пользования номером, он может перейти на контрактную форму обслуживания», — отметил Р. Химич.

 

По мнению эксперта, «ПриватБанк» руководствуется исключительно своим корыстным интересом — максимально упростить людям доступ к деньгам, как к своим, так и к заёмным. «Устойчивость SMS-аутентификации к злонамеренным посягательствам, видимо, не рассматривается в банке как значимый фактор. Главное, чтобы деньги и связанные с ними обязательства были записаны на конкретного человека. А уж взыскать своё в этом банке умеют, как нигде. Даже если окажется, что под видом клиента деньги получили мошенники. Банк такие подробности не интересуют», — подытожил он.

 

На сегодняшний день абонентам остается рассчитывать только на собственную сознательность и надеяться, что диалог между банкирами и «мобильщиками» когда-нибудь состоится. Однако, в этом, похоже, никто не заинтересован. Как отметила В. Рубан: «мы неоднократно обращались к банку с просьбой предоставлять нам номера телефонов клиентов без указания других персональных данных (фамилий и пр.), которые подключили услугу SMS-аутентификации. К сожалению, на сегодняшний день вопрос так и не решен».