Интернет снимает номера на час
Анонимная верификация атакует онлайн-сервисы
Требование обязательной идентификации пользователей мессенджеров по номеру телефона спровоцировало рост сервисов анонимной верификации, обнаружили эксперты по информационной безопасности. Подобные ресурсы могут использоваться для распространения вредоносного софта или другого мошенничества. Онлайн-ресурсы блокируют пользователей, которые верифицируются с помощью арендованных номеров, но их пул быстро обновляется.
Опрошенные “Ъ” эксперты по информационной безопасности обратили внимание на рост в сети числа сервисов, предоставляющих услуги анонимной верификации пользователей в социальных сетях, мессенджерах и на других ресурсах. Такие сервисы передают мобильные номера во временное пользование клиентам. В их числе, например, sms-reg.com, getsms.online, smska.net, simsms.org и др. (их представители по указанным на сайтах контактам не ответили на запросы).
Подобные сервисы фактически предоставляют мобильный номер в аренду на срок от 20 минут до нескольких часов, это стоит от 3 до 300 руб., поясняет технический директор Qrator Labs Артем Гавриченков. При этом используются мобильные емкости мобильных операторов нескольких стран, но, судя по ошибкам в англоязычных версиях сайтов, сервисы направлены на русскоязычную аудиторию, отмечает эксперт. В числе сервисов, на которых можно верифицироваться анонимно, указаны Mail.ru, «ВКонтакте», «Одноклассники», Avito, «Юла», WhatsApp, Viber, Telegram, Facebook, Twitter, «Яндекс», Gett, «Ситимобил», Badoo, Mamba и др.
Сервисы используют пробелы в утвержденных правительством правилах идентификации пользователей мессенджеров и социальных сетей по номеру телефона, считает господин Гавриченков. Эти правила вступили в силу 5 мая, по ним мессенджер должен направить уведомление о регистрации нового пользователя сотовому оператору, а тот в течение 20 минут дать ответ, есть ли номер этого пользователя в его базе. Если номера в базе нет или ответ от оператора не приходит, мессенджер обязан отказать в приеме и передаче сообщений.
Александр Жаров, глава Роскомнадзора, 19 сентября 2018 года («Интерфакс»)
Есть закон, подписанный президентом, о том, что нельзя неавторизованные сим-карты использовать. Сейчас ведем работу с операторским сообществом
Возможные риски такой схемы касаются в первую очередь пользователей социальных сетей и магазинов приложений, считает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. «При помощи сгенерированных аккаунтов могут накручивать лайки у постов, чем заманивают пользователей. При этом в таких постах могут, например, продавать несуществующий товар. Аналогичная ситуация с накручиванием лайков у зловредных приложений»,— поясняет он.
Арендованные номера также могут использовать создатели групп для распространения противоправного контента или продажи наркотиков в социальных сетях и мессенджерах, считает господин Гавриченков.
В Минкомсвязи сообщили, что не сталкивались с деятельностью подобных ресурсов, но допускают, что они могут использоваться для противоправной деятельности. В Роскомнадзоре на ответили на запрос “Ъ”.
Как пояснили “Ъ” собеседники в нескольких крупных операторах связи, как правило, такие ресурсы используют сим-карты, массово закупленные на физических или юридических лиц. В МТС, «МегаФоне» и «Вымпелкоме» от комментариев отказались, в Tele2 настаивают, что не сталкивались с подобными прецедентами. Формально человек, зарегистрировавший сим-карту на свое имя и передавший ее другому лицу, не нарушает закон, но злоупотребление таким правом противоречит духу закона о регулировании продажи сим-карт, отмечают в Tele2.
Сервисы анонимной верификации — огромная проблема всех онлайн-ресурсов, где регистрация осуществляется по мобильному телефону, подтверждают в Avito. Проблема существует уже несколько лет, решить ее можно только по линии правоохранительных органов и регуляторов, считает исполнительный директор сервиса знакомств Mamba Ярослав Сергеев. «У нас есть черный список, который собирается из номеров заблокированных анкет. Повторная верификация номером из черного списка невозможна»,— говорит он. По его словам, другие сервисы также имеют аналогичные базы, обмен ими позволил бы усложнить работу мошенников.
«Ситимобил» также известны подобные ресурсы и риски, которые они влекут. «В текущих реалиях, увы, полностью решить проблему анонимной верификации нельзя»,— уверены в компании. При вбросе очередного пула таких номеров команда сервиса определяет их по косвенным признакам и блокирует, говорит представитель компании. В Mail.ru Group не советуют пользоваться подобными сервисами. «Доступ к мобильному телефону остается у постороннего человека, в ряде случаев он может сбросить пароль и завладеть вашим аккаунтом»,— пояснил представитель компании.
Действующее законодательство в сфере связи и персональных данных не регулирует деятельность таких ресурсов, констатирует источник “Ъ” на рынке. «В силу того, что никто из клиентов не становится владельцем номера, такие сервисы не являются операторами связи или лицами, действующими от их имени, не обязаны обеспечивать идентификацию пользователей и не могут быть привлечены к административной ответственности»,— говорит он. Решить проблему можно законодательно, считает собеседник, то есть обязав такие сервисы заключать договор возмездного оказания услуг, проводить идентификацию абонента и соблюдать требования в части хранения и передачи информации.