Недавний инцидент, произошедший с жительницей Львова Ириной Илык, взволновал многих украинских пользователей, которые в соцсетях обсуждают нашумевшую историю о мошенничестве. При помощи перевыпущенной SIM-карты и данных, возможно, добытых из приложения “Дія”, злоумышленники смогли оформить кредиты на имя Ирины.
Как мошенники крадут деньги и получают кредиты на имена жертв, зная лишь их номера мобильных телефонов, и смогут ли украинцы защитить свои данные, привязав SIM-карты к паспорту, рассказывает издание Фокус.
История кражи цифровой личности Ирины Илык
По словам Ирины, все началось 06 января 2022 года в 13-00: “мой телефон деактивировали, сразу после этого на “Дія” начали приходить запросы от УКБИ (Украинское бюро кредитных историй, — ред.) касательно моей кредитной истории. В 14:08 мой номер телефона был мной восстановлен в отделении “Киевстара” и привязан к моему паспорту. После восстановления номера мне пришло сообщение от “Маневео”, я перезвонили туда и мне подтвердили, что на имя открыт кредит на сумму 1500 грн. Я сразу поехала в отделение полиции на Мартовича (сейчас там ремонт, поэтому никого я не застала) сразу не отходя от отделения полиции я позвонила по телефону 112, мое заявление приняли и посоветовали обратиться в действующее отделение полиции на Романовича,18. Я приехала туда, мы начали оформлять заявление (в участке мне посоветовали позвонить по телефону в киберполицию)”, — написала пострадавшая.
Позже Илык узнала, что 06 января в 11:57 в компанию “Киевстар” поступило обращение о восстановлении ее SIM-карты, которое было сделано по телефону. В итоге, оператор перевыпустил карту — таким образом все данные Ирины Илык, привязанные к “симке” оказались в руках у мошенников.
“Откуда локационно поступивший звонок мне не сообщили, поскольку эту информацию предоставить не могут, посоветовали обратиться в полицию”, — прокомментировала Ирина.
После этого Ирина связалась с “Манивео”, чтобы уточнить определенные детали, и ей сообщили, что сумма кредита составляет уже 6200 грн. Седьмого января женщина получила уведомление о кредитах, оформленных на ее имя в “Быстрозайме” и “Форза”, а 10 января ей подтвердили, что взяты кредиты на ее имя.
“По факту сумма моего кредита за то время в “Манивео” составляла уже 11 200 грн”, — сообщила Ирина.
Илык сообщила УКБИ о том, что были совершены мошеннические действия и попросила деактивировать возможности предоставления информации для кредиторов и установить статус “Контроль” и опцию “Фриз”, которая уведомляет заинтересованные стороны о том, что она не желает получать кредиты. Параллельно женщина обратилась в киберполицию.
В отличие от “Киевстара”, компания “Манивео” предоставила Илык некоторые данные: ей сообщили номер телефона, с которого поступило обращение о предоставлении кредита на ее имя, а также несколько цифр банковской карты, на которую были перечислены взятые средства. Ирина утверждает, что у нее нет такого счета, но он оформлен на ее имя, банк при этом не известен.
“По состоянию на данный момент (10 января, — ред.) кто-то от моего имени набрал солидную сумму по всем возможным “предприятиям”, я вообще не понимаю как так можно, но этого я уже никогда не узнаю. Поэтому, будьте осторожны, привязывайте свой телефон к паспорту!”, — подытожила Илык.
Фокус обратился к эспертам, которые объяснили, что такое подмена SIM-карты и можно ли обезопасить себя от этого вида мошенничества, привязав свою SIM-карту к паспорту.
Что такое SIM-свопинг и почему он популярен в Украине
Мошенники прибегают к SIM-свопингу (подмена SIM-карты, — ред.) довольно часто, а все потому, что в Украине до недавнего времени “симки” никак не были защищены. Узнав ваш номер телефона, злоумышленник может просто позвонить оператору мобильной связи, убедить его, что он — это вы и что ему необходима такая услуга, как перевыпуск SIM-карты. Если сотрудник мобильного оператора (МО) соглашается это сделать, то буквально в считанные минуты аферист может получить доступ к вашему номеру телефона и ко всем данным, которые к нему привязаны. А в это время ваша настоящая “симка” будет заблокирована.
По словам телеком-эксперта Романа Химича, можно получить доступ к номеру телефона любого человека, даже если он имеет статус VIP-клиента. В комментарии Фокусу Роман поделился таким случаем: у американского предпринимателя Майкла Терпина украли на $213 млн криптовалюты, несмотря на его абонентский VIP-статус. Преступникам удалось подкупить сотрудника сервисного центра МО, который предоставил им номер телефона бизнесмена.
В случае Ирины Илык неизвестно, как именно мошенники получили ее номер, но судя по ее словам, перевыпустить “симку” они смогли, просто позвонив в компанию “Киевстар” и оставив голосовой запрос. Хотя, например, в компании Vodafone Украина сделали недоступной возможность удаленного восстановления SIM-карты.
В компании Киевстар свалили всю вину на пострадавшую. В компании уверяют, что мошенники “предоставили подробную информацию по пользованию номером телефона”, поэтому у сотрудника Киевстара не возникло никаких подозрений и он произвел замену SIM-карты.
“Злоумышленник, обратившийся в магазин компании за услугой замены анонимной SIM-карты, предоставил специалисту подробную информацию по пользованию номером телефона, как того требуют действующие процедуры компании. Поэтому у сотрудника, осуществившего замену SIM-карты (перевод номера телефона на новую SIM-карту), не было оснований отказать в предоставлении услуги и замена была выполнена в соответствии с действующим законодательством и внутренними процедурами”, — говорится в комментарии, предоставленном пресс-службой мобильного оператора.
Специалист в области кибербезопасности Андрей Баранович говорит, что узнать номер мобильного относительно несложно. Самыми популярными являются такие методы:
- социальная инженерия (когда человека вынуждают позвонить со своего смартфона по определенному номеру)
- доступ к телефонным книгам родственников и друзей,
- подкуп сотрудников салонов мобильной связи,
- предоставление поддельных документов с целью перезапуска симки (часто в салонах мобильной связи просто нет устройств для проверки подлинности документов).
Роман Химич указывает на важную деталь: не все салоны принадлежат самим операторам сотовой связи — это, как правило, партнеры. Сотрудники таких салонов отвечают перед владельцем, а не перед мобильным оператором, поэтому и в Украине не исключен подкуп мошенниками с целью перезапуска сим-карт.
- Історія з фейковим кредитом через Дію
- Продовження історії з фейковим кредитом через Дію, який шахраї повісили на киянку
Специалист по кибербезопасности Кир Важницкий очень доступно описывает схему, по которой, возможно, действовали мошенники в отношении Ирины Илык:
- С помощью сим-свопинга (восстановления чужой карточки) перехватывается BankID. Нет, ни привязка к паспорту, ни контракт не помогает, а лишь незначительно увеличивают (или нет) стоимость.
- Т.к. BankID, в нарушение логики, является единственным необходимым средством аутентификации в “Дии” — у мошенника на руках появляется полноценный экземпляр “документов”, законодательно приравненных к настоящим […]
- С помощью уведенного BankID нельзя взять кредит, нельзя открыть счет. Максимум — слить деньги с текущей карточки в банке, который не очень заботит ваша (и его) безопасность. А вот с помощью “Дии” — можно. Минцифры может сколько угодно рассказывать о том, что они запретили это делать. Факты свидетельствуют об обратном. Да и Национальный банк Украины ничего не менял в своей инструкции (см. фото — ред.) и полагается на ту же модель удаленной идентификации, доверяя “Дии”.
Почему не стоит привязывать свои данные к номеру мобильного
Как поясняет Роман Химич, абоненты мобильных операторов, то есть обычные граждане, не являются ни владельцами, ни распорядителями собственных номеров. И это большая проблема, считает эксперт, ведь получив номер, мошенник получает “ключ от квартиры, где деньги лежат”.
“В Украине владельцем номеров мобильной связи являются органы власти в лице НКРСИ (Национальная комиссия, осуществляющая государственное регулирование в сфере связи и информатизации, — ред.). Они передают номера в пользование операторам, которые являются первичными распорядителями и пользователями. А мы номерами пользуемся на вторичной основе, то есть, на птичьих правах. Именно поэтому использовать мобильный номер в качестве аутентификатора просто противопоказано“, — говорит Роман.
Специалист утверждает, что система аутентификации по номеру телефона была предложена много лет назад, и что авторами такой идеи выступил топ-менеджмент “ПриватБанка”, который на тот момент принадлежал бизнесмену Игорю Коломойскому. По словам Химича, эта идея была принята финучреждениями повсеместно, поскольку была незатратной и, что еще более важно, — позволяла переложить ответственность на МО и клиентов как раз в таких случаях, как с Ириной Илык.
“Финучреждениям вообще ничего не стоит ввести новые правила, внести в свои договоры новые условия и обязать клиентов регистрировать свои финансовые номера, а еще лучше — использовать полноценные средства аутентификации”, — рассуждает Химич.
Защитит ли привязка SIM-карты к паспорту от мошенников
С 1 января 2022 года в Украине вступили в силу изменения к “Закону об электронных коммуникациях”, согласно которому украинцы могут привязать свои сим-карты к паспорту, однако делать это не обязательно. Согласно ст.104 п.5 Закона, “конечный пользователь, не идентифицированный поставщиком электронных коммуникационных услуг, имеет право осуществить идентификацию в порядке, установленном регуляторным органом, в том числе дистанционную с применением в соответствии с законодательством об электронных доверительных услугах любых средств электронной идентификации среднего и высокого уровней доверия, предусмотренных указанным порядком идентификации”.
Как поясняет эксперт по кибербезопасности Константин Корсун, в Украине ни одно средство электронной идентификации не защищено должным образом, потому что в основе защиты е-паспорта лежит не слишком хорошо защищенный BankID — а все потому, что BankID привязан к и вовсе незащищенной СИМ-карте.
“Угнав “симку”, преступники получают контроль над нашими документами. Фактически – угоняют цифровую личность, которая, согласно Закону Украины, приравнена к подлинным документам. То есть доказать, что “я – это я” – становится довольно непростой задачей. Пока мошенники используют угнанные “Дії” только для “левых” кредитов, но имея цифровые документы, можно ими и петицию подписать, и на выборах проголосовать, и в здание на улице Банковой зайти, между прочим“, — пишет Константин в Facebook.
Константин Корсун насчитал уже четыре случая “кредита через Дію”.
Роман Химич рекомендует украинцам ознакомиться с Законом “О платежных услугах”, основанном на второй версии Директивы ЕС о платежных услугах (PSD 2), которая вообще выводит из правового поля телефонный номер как идентификатор. Дело в том, что PSD 2 требует усиленной аутентификации, и украинский закон, соответственно, тоже.
“Это означает, что при аутентификации и идентификации должна использоваться комбинация нескольких, не менее двух, факторов разной природы”, — поясняет телеком-эксперт.
Многофакторная идентификация/аутентификация должна быть комбинацией:
- пароля, пин-кода, секретного слова, известных только клиенту,
- биометрических данных: отпечатки пальцев, сканирование сетчатки глаз, FaceID, распознавание голоса,
- фактора владения материальным объектом.
“Как видите, номер мобильной связи не соответствует этим требованием. Как я пояснил ранее, мы им не владеем, он не является материальным, он не является уникальным и секретным”, — подытоживает Роман. “А вот SIM-картой мы владеем, она уникальна и материальна”.
Телеком-эксперт, однако, не уверен, что привязка SIM-карты к паспорту оградит от мошенников.
“Дело в том, что в lifecell можно проходить регистрацию по BankID, который, как мы уже выяснили, не проблема украсть или купить. Более того, имея чужой BankID от “ПриватБанка” можно без проблем получить полнофункциональную ЭЦП, чтобы впоследствии использовать для регистрации чужого номера на свое имя. В общем, процедуры онлайн-регистрации всех операторов имеют изъян, поскольку опираются на дефектную систему BankID”, — резюмирует Химич.
Как привязать SIM-карту к паспорту
Отметим, что по сути к паспорту привязывается не сама “симка”, а номер телефона, но при регистрации вам нужно подтвердить, что именно вы ею владеете, то есть ее необходимо предъявить сотруднику фирменного магазина МО. Такой метод в большей степени может защитить от SIM-свопинга, ведь, чтобы перевыпустить СИМ-карту, нужно будет лично прийти в магазин оператора и показать документы.
Примите во внимание: эксперты по кибербезопасности рекомендуют показывать физические документы, а не е-паспорт в “Дія” и процедуру регистрации SIM-карты проводить в живую, а не удаленно.
Абонентам “Киевстар”
МО дает возможность провести процесс регистрации СИМ-карты либо в фирменном салоне-магазине, либо онлайн. В первом случае нужно будет прийти в салон, заполнить соответствующее заявление, предъявить оригинальный паспорт и оригинальный ИНН.
В случае онлайн-регистрации:
- зайдите в личный кабинет “Мой Киевстар”,
- выберите номер своего мобильного,
- перейдите на вкладку “Пользователь”,
- выберите способ регистрации “с помощью ЭЦП” (электронная цифровая подпись),
- скачайте ключ ЭЦП и введите пароль,
- проверьте правильность ваших данных и подтвердите регистрацию.
Для абонентов “Vodafone Украина”
При регистрации онлайн следует:
- перейти на registration.vodafone.ua,
- ввести свой номер,
- подтвердить введенные данные по коду в СМС,
- подтвердить личность с помощью ЭЦП,
- заполнить анкету,
- подтвердить данные.
Также вы можете прийти в магазин МО, предъявить SIM-карту и свой физический паспорт и пройти процедуру регистрации.
Для абонентов lifecell
В онлайновом режиме необходимо:
- зайти на my.lifecell.ua, либо — в приложение “Мой lifecell”,
- зайти в свой кабинет,
- перейти в “Основная информация” — “Персональные данные” — “Регистрация”.
В офлайновом режиме:
- посетить салон МО,
- оформить заявление для физического лица,
- предъявить оригинальный паспорт,
- подтвердить, что вы являетесь пользователем SIM-карты.
Если вы хотите еще больше обезопасить свой BankID, то приобретите новую СИМ-карту, привяжите ее к паспорту, а полученным новым номером ни с кем, кроме финучреждения, не делитесь. Желательно также завести для этих целей другой смартфон.
Автор: Ирина Рефаги; ФОКУС