Атаки на SIM-карты. Как мошенники уводят деньги со счетов жертв

Атаки на SIM-карты. Как мошенники уводят деньги со счетов жертв

Мошенничество с использованием персональных данных на наших глазах превратилось в чрезвычайно доходный криминальный бизнес. Готовы ли участники рынка и нормативная база Украины защищать наши интересы в этой сфере?

Не так давно коллеги прислали мне ссылку на описание совершенно безумной истории из жизни американских операторов мобильной связи. Знатный Bitcoin-предприниматель Майкл Терпин последние годы не терял времени зря. Судя по тому, что на его счету свыше 75 успешных ICO, в которых он выступал в роли «фаундера» или консультанта, чувак знает за жизнь и в совершенстве овладел искусством напарить простакам что-нибудь остромодное.

  Michael Terpin

Майкл Терпин 

Однако и на старуху бывает проруха. Осенью 2017 года у него впервые украли номер мобильного телефона. Для этого мошенникам пришлось обойти одиннадцать салонов мобильной связи, пока они не нашли сотрудника, готового проигнорировать инструкции. Используя номер как ключевой элемент двухфакторной идентификации, они взломали принадлежавшие Терпину учётные записи финансовых сервисов и вывели всё, что смогли. По словам самого пострадавшего — «не очень много». На тот момент его цифровая наличность была защищена разного рода аппаратными средствами вроде Trezor и Ledger.

М-р Терпин понял этот знак правильным образом и запросил у своего оператора AT&T максимальный уровень защиты. Компания предоставила ему VIP-статус, который подразумевает, среди прочего, использование специального пароля либо личное присутствие для любых действий с номером. Всё выглядело солидно и абсолютно надёжно. Этот шаг был очень важным для бизнесмена, поскольку он начал активно работать с новыми, не очень популярными токенами. Производители аппаратных средств банально не успевали адаптировать свои продукты к стремительно расширяющемуся ассортименту криптовалют, поэтому использование программных и сетевых кошельков не имело (да и не имеет сейчас) альтернатив.

А в январе 2018 года неизвестные снова завладели тем же самым номером и немедленно избавили бедолагу от «крипты» на сумму примерно в 23 млн. USD по курсу на момент подачи им иска, т.е. в августе этого года. На момент кражи стоимость украденного составляла баснословные 216 млн. USD, которые впоследствии обесценились из-за обвального падения курса криптовалют.

Примечательно, что когда Терпин прочитал договор на VIP-обслуживание, который, видимо, подписал, не вникая в детали, там обнаружилось классическое отсутствие ответственности компании за любые действия или бездействие, совершённое ею или её сотрудниками.

Наиболее вероятной причиной этого криминального дива и сам потерпевший, и многочисленные комментаторы считают участие в преступном сговоре сотрудника AT&T, который выдал мошенникам SIM-карту с номером VIP-клиента. Без проверки пароля или удостоверения личности, вопреки всем правилам и процедурам. Мне стало интересно выяснить подробности, я погрузился в чтение ссылок и передо мною, фигурально выражаясь, распахнулись врата ада. Никогда, никогда я не мог представить, что всё настолько запущенно.

Ежемесячно в сети одного лишь Verizon фиксируются десятки, если не сотни попыток кражи телефонного номера. Ничего удивительного, поскольку средней руки мошенник имеет послужной список в сотни успешных краж, в том числе осуществлённых во время отбытия наказания. Криминалитет активно вербует сотрудников операторских компаний, предлагая ничтожные по американским меркам 80-100 USD за каждый переоформленный на них номер.

Столь низкие цены неудивительны, поскольку оборот украденных номеров может исчисляться десятками тысяч. В результате наиболее известного инцидента три сотрудника всё той же AT&T слили преступникам 280 тыс. номеров. Компании это обошлось в 25 млн. USD штрафов, которые она заплатила в 2015 году. Однако, как видим, проблема не решена до сих пор.

Несмотря на то, что данный вид преступной деятельности известен уже много лет, первые аресты по обвинению в краже номеров произошли только в этом году. Катализатором проблемы, судя по всему, стал феномен фантастического роста криптовалют в 2016-17 годах. Чудовищная шумиха, множество возникших из ниоткуда толстосумов с детским пушком на щеках и такой же детской уверенностью в себе, хлипкие процедуры безопасности написанных на коленке сервисов по работе с «криптой», наконец, сама природа криптовалют, исключительно удобных для их кражи — всё это не могло не привлечь внимание множества мошенников самого разного уровня.

Обращает внимание дилетантизм людей, которые успешно «доили» криптотусовку, пока не попали в руки правосудия. Чуваки, покупавшие Lamborghini за 200 тыс. USD и сумки Gucci, использовали одни и те же смартфоны (!) и даже адреса (!!!) электронной почты, что позволило посредством банального сопоставления IMEI и перлюстрации выявить целые преступные сообщества. Одни дети, не имеющие представления о конспирации и элементарной осторожности, грабили других, так же бестолковых детей.

Чему учит нас американский опыт?

Во-первых, в деле защиты персональных данных абонентов на передний план выходит человеческий фактор. Операторы мобильной связи США оказались не в состоянии создать эффективную систему защиты своих абонентов от тривиальных, по сути, противоправных посягательств. Стоит признать, что эта задача вряд ли может быть решена в рамках существующей модели организации работы, когда критически важные операции с данным абонентов осуществляются вручную.

Ничего удивительного — при «наваре» в сотни тысяч и миллионы долларов соучастие в преступном бизнесе становится слишком выгодным. Невозможно без смеха читать об инициативе четвёрки крупнейших операторов США создать стандартизованное решение для идентификации абонентов. Как можно доверять компаниям, которые не в состоянии контролировать собственных сотрудников и принципиально отказываются отвечать за свои косяки?

Во-вторых, масштабы распространения SMS-идентификации таковы, что требуют вмешательства регулирующих органов. Полагаться на пользователей не стоит — против них играют многолетние усилия множества рыночных игроков, которые успешно создали миф о надёжности и безопасности такого механизма. Налицо классическая проблема, я бы даже сказал проклятие массового рынка — асимметрия информации. Невозможно быть экспертом во всех сферах жизни, с которыми ты сталкиваешься.

Глупо, а то и подло требовать от населения достаточного уровня знаний для осознанного и компетентного выбора по великому множеству вопросов.

Наконец, в-третьих, ещё раз (уже в который) подтверждена обоснованность и уместность отказа от SMS-авторизации, о необходимости которого Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) заявил ещё в 2016 году. В документе (см. полную версию) содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). Причём без упомянутых в п.2 регулирующих органов вряд ли можно обойтись, поскольку за SMS-авторизацию играют не только неосведомлённость и лень пользователей, но и поставщики услуг, которым страшно не хочется усложнять доступ к своим продуктам.

Какое отношение всё это имеет к Украине? К сожалению, самое непосредственное.

Автор:  Роман Химич; , эксперт  рынка телекоммуникаций, Mediasat

You may also like...