SIM-карты украинцев привяжут к паспортам: спасет ли это от мошенников
Как не стать жертвой мошенников.
Как мошенники крадут деньги и получают кредиты на имена жертв, зная лишь их номера мобильных телефонов, и смогут ли украинцы защитить свои данные, привязав SIM-карты к паспорту, пишет АГРИМПАСА ссылаясь на Фокус.
Недавний инцидент, произошедший с жительницей Львова Ириной Илык, взволновал многих украинских пользователей, которые в соцсетях обсуждают нашумевшую историю о мошенничестве. При помощи перевыпущенной SIM-карты и данных, возможно, добытых из приложения «Дія», злоумышленники смогли оформить кредиты на имя Ирины.
Фокус обратился к эспертам, которые объяснили, что такое подмена SIM-карты и можно ли обезопасить себя от этого вида мошенничества, привязав свою SIM-карту к паспорту.
Что такое SIM-свопинг и почему он популярен в Украине
Мошенники прибегают к SIM-свопингу (подмена SIM-карты, — ред.) довольно часто, а все потому, что в Украине до недавнего времени «симки» никак не были защищены. Узнав ваш номер телефона, злоумышленник может просто позвонить оператору мобильной связи, убедить его, что он — это вы и что ему необходима такая услуга, как перевыпуск SIM-карты. Если сотрудник мобильного оператора (МО) соглашается это сделать, то буквально в считанные минуты аферист может получить доступ к вашему номеру телефона и ко всем данным, которые к нему привязаны. А в это время ваша настоящая «симка» будет заблокирована.
По словам телеком-эксперта Романа Химича, можно получить доступ к номеру телефона любого человека, даже если он имеет статус VIP-клиента. В комментарии Роман поделился таким кейсом: у американского предпринимателя Майкла Терпина украли на $213 млн криптовалюты, несмотря на его абонентский VIP-статус. Преступникам удалось подкупить сотрудника сервисного центра МО, который предоставил им номер телефона бизнесмена.
В случае Ирины Илык неизвестно, как именно мошенники получили ее номер, но судя по ее словам, перевыпустить «симку» они смогли, просто позвонив в компанию «Киевстар» и оставив голосовой запрос.
Специалист в области кибербезопасности Андрей Баранович говорит, что узнать номер мобильного относительно несложно. Самыми популярными являются такие методы:
- социальная инженерия (когда человека вынуждают позвонить со своего смартфона по определенному номеру)
- доступ к телефонным книгам родственников и друзей,
- подкуп сотрудников салонов мобильной связи,
- предоставление поддельных документов с целью перезапуска симки (часто в салонах мобильной связи просто нет устройств для проверки подлинности документов).
Роман Химич указывает на важную деталь: не все салоны принадлежат самим операторам сотовой связи — это, как правило, партнеры. Сотрудники таких салонов отвечают перед владельцем, а не перед мобильным оператором, поэтому и в Украине не исключен подкуп мошенниками с целью перезапуска сим-карт.
Специалист по кибербезопасности Кир Важницкий очень доступно описывает схему, по которой, возможно, действовали мошенники в отношении Ирины Илык:
- С помощью сим-свопинга (восстановления чужой карточки) перехватывается BankID. Нет, ни привязка к паспорту, ни контракт не помогает, а лишь незначительно увеличивают (или нет) стоимость.
- Т.к. BankID, в нарушение логики, является единственным необходимым средством аутентификации в «Дии» — у мошенника на руках появляется полноценный экземпляр «документов», законодательно приравненных к настоящим […]
- С помощью уведенного BankID нельзя взять кредит, нельзя открыть счет. Максимум — слить деньги с текущей карточки в банке, который не очень заботит ваша (и его) безопасность. А вот с помощью «Дии» — можно. Минцифры может сколько угодно рассказывать о том, что они запретили это делать. Факты свидетельствуют об обратном. Да и Национальный банк Украины ничего не менял в своей инструкции (см. фото — ред.) и полагается на ту же модель удаленной идентификации, доверяя «Дии».
Кстати, Vodafone Украина сделал недоступной возможность удаленного восстановления SIM-карты.
Почему не стоит привязывать свои данные к номеру мобильного
Как поясняет Роман Химич, абоненты мобильных операторов, то есть обычные граждане, не являются ни владельцами, ни распорядителями собственных номеров. И это большая проблема, считает эксперт, ведь получив номер, мошенник получает «ключ от квартиры, где деньги лежат».
«В Украине владельцем номеров мобильной связи являются органы власти в лице НКРСИ (Национальная комиссия, осуществляющая государственное регулирование в сфере связи и информатизации, — ред.). Они передают номера в пользование операторам, которые являются первичными распорядителями и пользователями. А мы номерами пользуемся на вторичной основе, то есть, на птичьих правах. Именно поэтому использовать мобильный номер в качестве аутентификатора просто противопоказано«, — говорит Роман.
Специалист утверждает, что система аутентификации по номеру телефона была предложена много лет назад, и что авторами такой идеи выступил топ-менеджмент «ПриватБанка», который на тот момент принадлежал бизнесмену Игорю Коломойскому. По словам Химича, эта идея была принята финучреждениями повсеместно, поскольку была незатратной и, что еще более важно, — позволяла переложить ответственность на МО и клиентов как раз в таких случаях, как с Ириной Илык.
«Финучреждениям вообще ничего не стоит ввести новые правила, внести в свои договоры новые условия и обязать клиентов регистрировать свои финансовые номера, а еще лучше — использовать полноценные средства аутентификации», — рассуждает Химич.
Защитит ли привязка SIM-карты к паспорту от мошенников
С 1 января 2022 года в Украине вступили в силу изменения к «Закону об электронных коммуникациях», согласно которому украинцы могут привязать свои сим-карты к паспорту, однако делать это не обязательно. Согласно ст.104 п.5 Закона, «конечный пользователь, не идентифицированный поставщиком электронных коммуникационных услуг, имеет право осуществить идентификацию в порядке, установленном регуляторным органом, в том числе дистанционную с применением в соответствии с законодательством об электронных доверительных услугах любых средств электронной идентификации среднего и высокого уровней доверия, предусмотренных указанным порядком идентификации».
Как поясняет эксперт по кибербезопасности Константин Корсун, в Украине ни одно средство электронной идентификации не защищено должным образом, потому что в основе защиты е-паспорта лежит не слишком хорошо защищенный BankID — а все потому, что BankID привязан к и вовсе незащищенной СИМ-карте.
«Угнав «симку», преступники получают контроль над нашими документами. Фактически – угоняют цифровую личность, которая, согласно Закону Украины, приравнена к подлинным документам. То есть доказать, что «я – это я» – становится довольно непростой задачей. Пока мошенники используют угнанные «Дії» только для «левых» кредитов, но имея цифровые документы, можно ими и петицию подписать, и на выборах проголосовать, и в здание на улице Банковой зайти, между прочим«, — пишет Константин в Facebook.
Роман Химич рекомендует украинцам ознакомиться с Законом «О платежных услугах», основанном на второй версии Директивы ЕС о платежных услугах (PSD 2), которая вообще выводит из правового поля телефонный номер как идентификатор. Дело в том, что PSD 2 требует усиленной аутентификации, и украинский закон, соответственно, тоже.
«Это означает, что при аутентификации и идентификации должна использоваться комбинация нескольких, не менее двух, факторов разной природы», — поясняет телеком-эксперт.
Многофакторная идентификация/аутентификация должна быть комбинацией:
- пароля, пин-кода, секретного слова, известных только клиенту,
- биометрических данных: отпечатки пальцев, сканирование сетчатки глаз, FaceID, распознавание голоса,
- фактора владения материальным объектом.
«Как видите, номер мобильной связи не соответствует этим требованием. Как я пояснил ранее, мы им не владеем, он не является материальным, он не является уникальным и секретным», — подытоживает Роман. «А вот SIM-картой мы владеем, она уникальна и материальна».
Телеком-эксперт, однако, не уверен, что привязка SIM-карты к паспорту оградит от мошенников.
«Дело в том, что в lifecell можно проходить регистрацию по BankID, который, как мы уже выяснили, не проблема украсть или купить. Более того, имея чужой BankID от «ПриватБанка» можно без проблем получить полнофункциональную ЭЦП, чтобы впоследствии использовать для регистрации чужого номера на свое имя. В общем, процедуры онлайн-регистрации всех операторов имеют изъян, поскольку опираются на дефектную систему BankID», — резюмирует Химич.
Как привязать SIM-карту к паспорту
Отметим, что по сути к паспорту привязывается не сама «симка», а номер телефона, но при регистрации вам нужно подтвердить, что именно вы ею владеете, то есть ее необходимо предъявить сотруднику фирменного магазина МО. Такой метод в большей степени может защитить от SIM-свопинга, ведь, чтобы перевыпустить СИМ-карту, нужно будет лично прийти в магазин оператора и показать документы.
Примите во внимание: эксперты по кибербезопасности рекомендуют показывать физические документы, а не е-паспорт в «Дія» и процедуру регистрации SIM-карты проводить в живую, а не удаленно.
Абонентам «Киевстар»
МО дает возможность провести процесс регистрации СИМ-карты либо в фирменном салоне-магазине, либо онлайн. В первом случае нужно будет прийти в салон, заполнить соответствующее заявление, предъявить оригинальный паспорт и оригинальный ИНН.
В случае онлайн-регистрации:
- зайдите в личный кабинет «Мой Киевстар»,
- выберите номер своего мобильного,
- перейдите на вкладку «Пользователь»,
- выберите способ регистрации «с помощью ЭЦП» (электронная цифровая подпись),
- скачайте ключ ЭЦП и введите пароль,
- проверьте правильность ваших данных и подтвердите регистрацию.
Для абонентов «Vodafone Украина»
При регистрации онлайн следует:
- перейти на registration.vodafone.ua,
- ввести свой номер,
- подтвердить введенные данные по коду в СМС,
- подтвердить личность с помощью ЭЦП,
- заполнить анкету,
- подтвердить данные.
Также вы можете прийти в магазин МО, предъявить SIM-карту и свой физический паспорт и пройти процедуру регистрации.
Для абонентов lifecell
В онлайновом режиме необходимо:
- зайти на my.lifecell.ua, либо — в приложение «Мой lifecell»,
- зайти в свой кабинет,
- перейти в «Основная информация» — «Персональные данные» — «Регистрация».
В офлайновом режиме:
- посетить салон МО,
- оформить заявление для физического лица,
- предъявить оригинальный паспорт,
- подтвердить, что вы являетесь пользователем SIM-карты.
Если вы хотите еще больше обезопасить свой BankID, то приобретите новую СИМ-карту, привяжите ее к паспорту, а полученным новым номером ни с кем, кроме финучреждения, не делитесь. Желательно также завести для этих целей другой смартфон.
Підписуйтесь на наш Телеграм канал, там багато шокуючого контенту 18+