Кража номеров мобильных телефонов: как это бывает и для чего
Вопросы о масштабах злонамеренного завладения номерами мобильной связи в современном мире как никогда актуальны. В англоязычной среде эту практику обычно обозначают как SIM swap fraud, поскольку для этого используется процедура замены SIM-карт оператором по заявке самого абонента.
SIM swap fraud рассматривается как частный случай identity theft.
В богоспасаемых США творится Б-г знает что: «In 2018, mobile account takeovers increased even more. There were 679,000 mobile account takeovers, versus 380,000 in 2017. (Source: Javelin Strategy)». Рост едва ли не на 100% в год, отличные показатели. Впрочем, абсолютные цифры тоже шокируют. Надо бы глянуть методику их получения, возможно, в них учитывают слишком многое.
При всём при этом, чтобы вы понимали, the very first ever судебный приговор по такому делу был вынесен только этой зимой, т.е. в 2019 году, против чуваков, которые крали миллионы долларов у «криптанов» прямо во время их тусовочек. Рекордный улов — 5 миллионов за один вечер.
Кстати, помните Майкла Терпина, знатного криптовалютного спекулянта, который поставил абсолютный рекорд в этой области? В прошлом году он потерял крипты на 216 млн. долларов в ценах на момент кражи. Дядька был вне себя от бешенства, поскольку его оператор наглейшим образом злоупотребил всем, чем только можно было. Впрочем, подробности я уже описывал, ограничусь сообщением об относительно счастливом финале. Мистер Терпин выиграл суд против AT&T, получив 75.8 млн. долларов. Не 220, конечно, но тоже неплохо, учитывая, что подписанный им договор на VIP-обслуживание вообще не предусматривал ответственность оператора за что-либо.
Подозреваю, что история с Терпином стала катализатором публичного интереса к этой проблеме, заставив почтенную публику навести, в конце концов, резкость на происходящие в индустрии бардак и беспредел. Ещё год назад буквально в каждой публикации речь шла о «сотнях, может быть тысячах» пострадавших. Никаких агрегированных данных, никакой национальной статистики я не встречал.
Чудовищность истории, приключившейся с уважаемым человеком, произвела на американцев впечатление. Теперь в публикациях мелькают разного рода инициативные группы, которые ищут справедливости, ссылаясь, в том числе, на злоключения знатного криптоинвестора.
В Австралии, насколько могу судить по нескольким попавшимся на глаза публикациям, дела обстоят примерно так же, как это было в Штатах до конца прошлого года. С одной стороны, газеты сообщают о десятках жертв, допуская возможность их общего числа в размере сотен и даже тысяч. С другой стороны, операторы и банки на голубом глазу утверждают о соблюдении ими «лучших мировых практик». Fuck off, короче, дорогие клиенты.
В старой доброй Англии пресса пошла заметно дальше. Ещё в 2016 году журналисты одной из радиостанций, входящих BBC наглядно продемонстрировали, как с помощью перевыпуска SIM-карты можно установить контроль над чужим банковским счётом. Сразу два банка, ставшие полигоном для публичной демонстрации уязвимостей, признали наличие проблемы и пообещали изменить процедуры аутентификации. Представил, как Дубилету-старшему предлагают отказаться от SMS-аутентификации из-за того, что у кого-то украли деньги со счёта.
Два года спустя другая команда журналистов с помощью скрытой камеры зафиксировала как сотрудники салонов мобильной связи нарушают процедуры замены SIM-карт. Причём нарушения затрагивали и абонентов контрактной формы подключения, и предоплаченных услуг. Эти факты использовались ими для передачи, посвящённой всё той же проблеме кражи денег с банковских счетов.
Мне до сих пор не удалось найти хоть какую-то статистику по такого рода преступлениями в ЕС. Возможно, её просто нет. Было бы интересно сравнить ЕС и США по этому показателю.
В Бразилии много не только диких обезьян, но и крутых инноваторов. Финтех-стартапы далёкой прекрасной страны обожают использовать номер мобильного как фактор аутентификации. Восстановить «забытый» пароль? Нет проблем! Результат — эпидемия мошеннических действий, жертвами которой стало много представителей «высших слоёв» общества.
На родине нашумевшей в своё время финансовой системы mPesa, в Кении ситуация выглядит не лучше: «SIM swap fraud has plagued mobile users across Africa for years, with Myriad Connect’s recent survey in Kenya revealing that over 90 percent of Kenyan banking leaders see it as an issue for their organisations and over 25 percent of respondents had been victims of SIM swap fraud«. 25% OMG
Зато именно в Африке обнаружился пример успешного решения проблемы кражи денег с банковских счетов посредством угона «финансового» номера. Причём решения радикального, обеспечившего практически полное искоренение проблемы. Случилось это, внезапно, в Мозамбике.
Все мобильные операторы страны реализовали для банковских учреждений приватный API, который позволяет проверить не происходила ли в указанный период времени замена SIM-карты для данного номера. Банки блокируют любые транзакции для номеров, которые были перенесены за последние 48-72 часа. Этот период был признан достаточным, чтобы жертва кражи номера нашла время обратиться к оператору и восстановить контроль над ним. В случае если замена карты производилась законным владельцем, он может воспользоваться услугами банка при личном визите в отделение.
Достоинством этой схемы является то, что она не предполагает распространение персональной информации. Банк отправляет запрос, на который получает один-единственный ответ «правда» или «ложь».
В этом месте стоит сделать одно важное неприятное замечание. Информация о мозамбикском кейсе почёрпнута мною из материала Kaspersky Lab. Не знаю, как это трактовать, но эта статья оказалась наиболее профессиональным материалом по данной теме. Причём таких материалов я встретил всего ничего, мизер.
Скажу больше, и проблему SS7-уязвимостей в сетях мобильной связи наиболее глубоко копают в российской Positive Technologies. Если к этой тёплой компании присоединятся китайцы, имея целью заделаться лучшим (а то и единственным) проводником интересов абонентов мобильной связи в США и ЕС, будет вообще вызывающая ситуация. Получится, что защитой жителей Свободного Мира от произвола операторов и банкиров занимаются только оного мира Исконные Враги. Идеологическая диверсия, товарищи!
Кстати, с защитой граждан Первого Мира от этих самых связаны привлекательные бизнес-возможности. В конце прошлого года по приглашению организаторов Nonamecon я выступил с докладом об уязвимостях в сетях мобильной связи. Именно в сетях, а не в абонентских устройствах.
После доклада была возможность пообщаться и на конференции, и по её окончании. Обнаружился поразительный факт — ваш покорный слуга оказался, кажется, первым и единственным человеком за много лет, который говорил об этих вещах. На сегодняшний день проблематика специфических рисков и угроз в сетях мобильной связи оказалась в слепой зоне профессионального сообщества. В Украине мне до сих пор не удалось найти ни одного специалиста, ни одной команды, которые специализируются на подобных вопросах.
Это вполне себе ниша, в которой можно найти немало денег и других ништяков. Главное не лениться.
Автор: Роман Химич, эксперт рынка телекоммуникаций; Mediasat
Tweet