Симка с деньгами

Как грабят по телефону

Номер мобильного телефона теперь не только главный идентификатор личности в интернете, но и ключ к банковскому счету, где деньги лежат. А те, кто по-прежнему считает свой мобильник просто средством связи, легко становятся жертвами мошенников.

Фото: Дмитрий Лебедев, Коммерсантъ

АЛЕКСЕЙ БОЯРСКИЙ

"Это не ваш номер"

"По вашему номеру проходит замена сим-карты. Если вы не заказывали данную услугу, то срочно обратитесь в наш контактный центр..." — такое СМС-сообщение получил 2 марта московский юрист Чермен Дзотов. Это было последнее СМС на его мобильный номер от МТС — через несколько минут сим-карта отключилась.

А дальше Чермен обнаружил, что не может зайти на свои страницы в Facebook и "ВКонтакте", в почтовый ящик на "Яндексе". "Последние три года я развивал в Facebook разные группы, например "Найдем адвоката", "Международный клуб журналистов", всего больше десятка,— рассказывает Чермен Дзотов.— Воспользовавшись привязанным номером телефона, злоумышленники сменили там пароли. Во всех группах меня лишили прав администратора. А одну из групп вообще закрыли".

Чермену Дзотову, по незнанию купившему сим-карту на уличном лотке, теперь предстоит доказывать свои права на аккаунты администрациям Facebook, «ВКонтакте» и «Яндекса»

Фото: Дмитрий Лебедев, Коммерсантъ

Единственное, что успел сделать Дзотов,— связаться с банками и заблокировать счета, к которым также был привязан номер мобильного. Но самое обидное, что восстановить доступ к своему телефонному номеру Дзотов вряд ли сможет, ведь формально он ему никогда и не принадлежал.

"В 2010 году я приехал в Москву из Осетии поступать в аспирантуру Высшей школы экономики,— рассказывает Дзотов.— В первый же день, выйдя из метро "Чистые пруды", на ближайшем лотке сотовой связи приобрел московскую сим-карту МТС. Продавец сказал, что регистрировать ее не нужно. Что я тогда понимал? Вставил симку в мобильный и начал пользоваться".

А через семь лет, согласно версии компании МТС, в офис оператора пришел некий гражданин, который сообщил, что является владельцем номера, и, показав удостоверяющий личность документ, написал заявление о перевыпуске сим-карты.

"Это не ваш номер",— сказали Дзотову, когда он пришел в офис МТС. После запроса "Денег" в МТС начали внутреннюю проверку по этому случаю, однако при любом ее исходе вернуть номер Чермену Дзотову не удастся, так как формально владельцем изначально являлся другой человек.

Если мобильный номер зарегистрирован не на вас, то разбираться с возможными проблемами вам придется без помощи сотового оператора

Фото: Дмитрий Лебедев, Коммерсантъ

Хитрый дилер

Согласно договорам с сотовыми операторами, продавшие сим-карты дилеры в течение определенного периода получают до 50% средств, внесенных пользователями на счета номеров. Формально дилер обязан при продаже сим-карты попросить у клиента паспорт, переписать его данные и зарегистрировать покупателя как владельца номера.

Человеческий фактор — самое слабое звено в защите абонентов сотовых операторов от мошенников

Фото: Дмитрий Лебедев, Коммерсантъ

На практике же купить симку без паспорта можно и в интернете, и в каждом втором киоске на "Горбушке". Вариантов, на кого она будет записана, лично мне предлагалось несколько. Например, дилер готов был указать мои паспортные данные с моих же слов, "на память" — и мне ничто не мешало "вспомнить" настоящие данные другого человека. Второй вариант — симка уже зарегистрирована на юридическое лицо, на компанию-продавца. И третий: "мы зарегистрируем сим-карту на нашего сотрудника". Иногда дилеры для увеличения сбыта просто раздают всем желающим сим-карты, уже зарегистрированные на неизвестного владельца.

Приобрести сим-карту, зарегистрированную на другого владельца, и сегодня можно буквально на каждом углу

Фото: Александр Артеменков / PhotoXPress.ru

Абоненту достаточно пополнить счет номера. "Никакой регистрации — положи от 100 руб. и пользуйся",— пояснил мне человек, раздававший симки "Билайн" у входа в метро "Славянский бульвар".

Впрочем, возможность легализоваться — зарегистрировать на себя некогда приобретенный "анонимный" номер — имеется. "У нас в компании такая процедура существует,— рассказал "Деньгам" сотрудник клиентского офиса МТС.— Фактическому пользователю номера необходимо прийти в офис с сим-картой, написать заявление и предъявить доказательства пользования номером: квитанции о пополнении счета и т. п. После проверки номер может быть записан на него".

Симка с сюрпризом

Приобретая сим-карту у дилера, который игнорирует ее регистрацию, пользователь автоматически попадает в зону риска. Например, симка может содержать вредоносную программу — троян, который попытается украсть деньги либо со счета мобильного номера, либо с привязанного к номеру банковского счета. То есть программа будет вместо пользователя отправлять соответствующие СМС и прочие запросы, попутно стирая из памяти устройства их следы.

Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно.

Номер мобильного телефона сегодня не просто канал связи: у многих, как у Чермена Дзотова, на него завязана буквально вся жизнь.

И эта связь сохраняется, даже если номер уже ушел другому владельцу (оператор может повторно продать номер, который известное время не подает признаков жизни).

Именно на этом обстоятельстве основан относительно новый вид мошенничества.

"Известны случаи, когда злоумышленники приходили в офис сотового оператора и совершенно законно заключали договора и регистрировали на себя несколько десятков сим-карт. Потом проверяли, не осталась ли привязка номера к банковскому счету прежнего владельца,— рассказал "Деньгам" представитель управления "К" МВД РФ Александр Вураско.— Для этого просто отправляли СМС на сервисные номера популярных банков и смотрели, пришел ли ответ. Именно по такому принципу "пробивания" по списку банков действует и троян на смартфоне".

Большинство абонентов даже не подозревают, как короток путь от их телефонного номера до банковского счета

Фото: Дмитрий Лебедев, Коммерсантъ

В интернете полно предложений об оптовой купле-продаже сим-карт без регистрации — такие используют хакеры для выхода в интернет, также они нужны для анонимной регистрации в соцсетях, на досках объявлений и т. д. Но для чего вывешиваются запросы на покупку действующих сим-карт — б/у, "зарегистрированных не менее трех месяцев назад"?

В марте этого года в Пермской области было завершено расследование по уголовному делу в отношении мошенницы-рецидивистки Аллы Федосеевой. Разместив объявления в соцсетях, она скупала у граждан ненужные им действующие сим-карты.

Новые симки стоят в опте 15-30 руб. Сколько предлагала гражданка Федосеева за карты б/у, неизвестно, но, видимо, для откликнувшихся жителей Татарстана, Удмуртии, Хакасии, Челябинской и Тюменской областей, а также Краснодарского края сумма оказалась интересной. Получив симку, мошенница проверяла привязку номера к банковским картам. И, если привязка обнаруживалась, через систему "мобильный банк" выводила деньги. Таким образом ей удалось похитить 9,5 млн руб. у 44 человек.

Слабое звено

Сейчас сим-карты продаются без предустановленного запирания на пин-код. А сами пользователи теперь пин на симку чаще всего не ставят, ограничиваясь общим паролем для доступа в смартфон. Казалось бы, элементарная вещь, но про нее все забыли.

"Когда села в электричку, обнаружила, что у меня пропал телефон,— рассказывает москвичка А.— Но я особо не волновалась — ни позвонить, ни отправить СМС вор не сможет, так как вход в смартфон защищен паролем". К тому моменту, когда А. добралась до дома и все-таки позвонила в свой банк, преступники уже успели увести деньги с ее счета: просто переставив незащищенную пином сим-карту в другой телефон.

Установив пароль на смартфон, потребитель уверен, что защитил свои данные от мошенников, забывая о том, что незащищенную сим-карту из украденного аппарата легко переставить в другой

Фото: Ольга Кирсанова, Коммерсантъ

Но даже самый осторожный и предусмотрительный пользователь абсолютно не защищен от риска, связанного с человеческим фактором: у сотового оператора сотни офисов по всей стране, и где-нибудь обязательно найдется слабое звено.

Известна масса случаев, когда у абонента блокировался номер, потому что где-то в другом городе в офис оператора поступило заявление на перевыпуск симки — якобы от самого владельца номера.

Пока человек разбирается, почему у него отключена сотовая связь, пока связывается с банком, преступники успевают похитить деньги. Причем симки с некоторыми номерами перевыпускались многократно — мошенники обращались с заявлениями в офисы в разных городах.

Порой здесь не обходилось без преступного сговора с сотрудником компании-оператора — симки выдавались, хотя личность владельца номера никак не удостоверялась. "Было такое,— подтвердил сотрудник "Билайна", пожелавший остаться неизвестным.— Наши с этим очень жестко разбирались — даже уголовные дела на сотрудников офисов заводили". А бывали истории, когда мошенник являлся в офис оператора с липовой доверенностью, якобы выданной хозяином сим-карты.

Список документов, удостоверяющих личность владельца номера, у крупнейших операторов ("Билайн", МТС, "МегаФон") примерно одинаковый. Помимо паспорта это военный билет (только для военнослужащих срочной службы) и удостоверение личности моряка. Заменой паспорта может служить "временное удостоверение личности гражданина РФ по форме 2П" — справка, выдающаяся на время переоформления паспорта.

Эту справку легко подделать, и именно ее предъявляли мошенники при запросе на перевыпуск карты в большинстве известных случаев.

С недавних пор процедура идентификации усложнилась. Например, у МТС к справке 2П необходимо приложить "дополнительный документ с фотографией (загранпаспорт, водительское удостоверение, социальную карту, УЭК, пенсионное удостоверение, удостоверение личности моряка, удостоверение личности военнослужащего, военный билет)".

Остановит ли это мошенников? Изготовление поддельных водительских прав, то есть ламинированной карточки с фото, обходится не дороже 1 тыс. руб. Не говоря уже о липовой социальной карте — куске пластика с фотографией. Кстати, именно по этой причине сами по себе водительские права не внесены сотовыми операторами в список документов, удостоверяющих личность.

Однако соблюдают ли сотрудники компаний эти внутренние инструкции? "Хочу обменять симку на новую, с поддержкой 4G. Паспорт дома, но есть водительские права" — с этой легендой я обошел несколько офисов мобильных операторов в крупном торговом центре. Почти во всех мне наотрез отказали — лишь в одной точке менеджер согласился помочь.

Но и он подстраховался — проверил, совпадает ли регион выдачи водительского удостоверения с регионом регистрации абонента, сверил дату рождения.

Однако заметим, что эти сведения далеко не секретные для того, кто подделает права конкретного гражданина.

Допускаю — если бы я еще погулял по столице, нашел бы и другие слабые звенья. А уж в провинции, думаю, проблем бы вообще не было.

Операторы против мошенников

Чтобы снизить риски мошенничества при перевыпуске сим-карт, сотовые операторы внедряют специальные регламенты. "Для гарантированного предотвращения хищения средств с банковского счета "МегаФон" разработал и предлагает банкам специальную услугу "Статус", которая позволяет любому банку осуществлять ряд проверок: была ли замена сим-карты, где находится клиент, менял ли он телефонный аппарат и т. п. И по итогам этих проверок подтверждать или не подтверждать операции перевода средств",— рассказала "Деньгам" руководитель пресс-службы "МегаФона" Юлия Дорохина.

"В 2014 году у нас запущено СМС-уведомление на новую и старую сим-карты при замене последней, блокировка на одни сутки входящих и исходящих СМС-сообщений при замене сим-карты по доверенности, а также блокировка на двое суток на вывод денежных средств с лицевого счета в рамках сервиса мобильной коммерции при замене сим-карты. Такие сроки позволяют реальным владельцам сим-карт принять меры для блокировки своих счетов и ставят заслон мошенникам, которые, как правило, выводят денежные средства в первые часы после подмены сим-карты",— говорит пресс-секретарь группы МТС Дмитрий Солодовников.

В "Билайне" сообщили об аналогичной суточной блокировке СМС, а также о суточном запрете на оплату товаров и услуг с баланса перевыпущенной сим-карты.

По словам Солодовникова, с целью борьбы с мошенничеством компания МТС технически готова предоставлять информацию о смене сим-карты напрямую банку — уже разработан специальный продукт. Однако действующее законодательство о персональных данных содержит ограничения для предоставления подобной информации банкам.

Пресс-секретарь группы МТС Дмитрий Солодовников (справа) обещал Чермену Дзотову провести проверку

Фото: Дмитрий Лебедев, Коммерсантъ

Что касается пользователей, им рекомендуется сразу при заключении договора с оператором установить ограничения на перевыпуск сим-карты: запретить действия по доверенности и замену паспорта любым иным документом, включая справку 2П.

Интимный момент

Но самая лучшая защита, хотя тоже не стопроцентная,— завести для финансовых операций отдельный номер. Соответственно, если он не будет использоваться для звонков, не засветится в интернете, потенциальные злодеи вряд ли узнают о его существовании.

Установить сим-карту с этим интимным номером необходимо в отдельный аппарат, который ни для чего иного, кроме мобильного банкинга, использоваться не будет.

И если для СМС-сервисов не требуется специальное приложение в смартфоне, лучше всего выбрать самый простой кнопочный телефон — в нем вирусы точно не поселятся.

"В связи с массовым распространением смартфонов и активным использованием их для интернет-банкинга фактически была разрушена идея двухфакторной идентификации,— рассказал "Деньгам" эксперт, пожелавший остаться неизвестным.— Раньше один пароль приходил по e-mail на компьютер, а второй в виде СМС — на телефон, каналы были полностью независимы. Сейчас же, когда и e-mail, и СМС приходят на одно устройство, их перехватит один и тот же троян".

По данным компании Group-IB, с апреля 2015 по март 2016 года при помощи троянов для ОС Android со счетов российских пользователей было похищено около 350 млн руб.

Разумеется, трояны, прячущиеся на сим-картах,— редкость по сравнению с теми, что скачиваются вместе с непроверенными приложениями из интернета. Например, в 2016 году подобная вредоносная программа распространялась вместе с фальшивой версией прошлогоднего хита — игры Pokemon Go. К моменту разоблачения мошенничества это приложение было скачано на более чем 500 тыс. устройств, существенная часть которых находилась в России.

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...