Сайт сетевого СМИ «Банки Сегодня» был угнан через перевыпуск сим-карты. Специалисты Роскачества спросили комментарии экспертов по кибербезопасности, банков и операторов связи и составили важные правила, которые нужно соблюдать всем, у кого подключен мобильный банк.
На кону – наши деньги, которые мы храним на банковских картах, а значит, недооценивать этот риск нельзя.
Для совершения онлайн-покупок и получения смс-уведомлений обо всех операциях, которые происходят по банковским картам, любой клиент может подключить мобильный банк.
Для этого необходимо привязать номер телефона к банковскому счету. Эта процедура значительно облегчает нам жизнь, однако открывает широкие возможности для мошенничества.
На черном рынке в Сети можно найти и купить разнообразную информацию о пользователях – начиная с данных об имуществе и заканчивая паспортными данными и номерами телефонов.
Мошенник может обратиться с этими сведениями и фиктивной доверенностью в отдаленный салон связи, например, в другом регионе, и перевыпустить сим-карту жертвы. Предлог обращения может быть любой – от выдуманной потери телефона до такого же мифического повреждения сим-карты.
После перевыпуска сим-карты одноразовые пароли для мобильного банка перестанут приходить жертве, а начнут приходить на неё.
Когда банк видит, что уникальный идентификатор сим-карты (IMSI) поменялся, он блокирует операции до момента подтверждения перевыпуска симки.
Чтобы снять блокировку, злоумышленникам нужно получить кодовое слово, которое знает только владелец карты. Для этого они могут прибегнуть к телефонному мошенничества — вишингу: злоумышленники, используя телефонную коммуникацию и играя определенную роль (например, сотрудника банка), под разными предлогами выманивают у держателя банковской карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим счетом или картой).
Если этот шаг успешно пройден, злоумышленники получают возможность распоряжаться денежными средствами жертвы.
Илья Рожнов, Менеджер по развитию Group-IB Brand Protection в Сингапуре:
– Сим-карта остаётся одним из самых уязвимых мест в защите персональных данных – клонирование сим-карты открывает широкий доступ злоумышленникам почти ко всем сервисам, мессенджерам, мобильному банкингу и пр. Киберпреступники могут охотиться не только за аккаунтами звезд в социальных сетях для дальнейшего шантажа и вымогательства, в последнее время они также часто используют копию сим-карты для получения доступа в онлайн-банки и хищения денег. Мы рекомендуем сработать на опережение: написать в отделении связи заявление-запрет на перевыпуск сим-карты без доверенности — заказать выдачу можно будет только в одном, заранее установленном отделении сотового оператора и только лично вам в руки.
Никогда и никому не сообщайте CVV, кодовое слово или код из смс — ни по телефону, ни в чате с «сотрудником банка». Обращайте внимание на смс: они могут содержать информацию о том, что сим-карту перевыпустили, или о попытках получения доступа в онлайн-банк — в этом случае нужно немедленно связаться с сотовым оператором и банком».
Даниил Чернов, руководитель направления Solar appScreener компании «Ростелком-Солар»:
– К сожалению, от мошеннического переоформления сим-карт путем сговора с сотрудниками салонов мобильной связи пользователю защититься невозможно. Но мы постараемся дать пару рекомендаций, как обезопасить себя в случае реализации данного риска.
Ведь для чего «угоняют» сим-карты? В подавляющем большинстве случаев это делается, чтобы получить доступ ко второму фактору аутентификации в платежные приложения. В связи с этим мы бы посоветовали пользователям следующее. Во-первых, в большинстве банков можно выбрать в качестве второго фактора аутентификации не смс, а push-уведомления, которые передаются по зашифрованному каналу связи. Таким образом пользователь страхуется от того, что в случае «угона» сим-карты кто-то получит второй фактор аутентификации. Во-вторых, для банковских операций можно завести отдельную сим-карту, которую использовать только для этих целей.
Желательно оформить симку на кого-то из родственников или знакомых, чтобы нельзя было связать номер телефона с клиентом, чей банковский аккаунт злоумышленники хотят взломать через переоформление сим-карты.
Роскачество совместно с экспертами по кибербезопасности подготовило несколько важных правил, которые нужно соблюдать, чтобы не стать жертвой мошенничества.
- Напишите заявление в салоне сотовой связи, запрещающее перевыпуск сим-карты без вашего личного участия. Договоритесь с оператором сотовой связи об ограничении выдачи копий своей сим-карты или единственном строго определенном отделении, в котором можно заказать выдачу сим-карты лично в руки.
- Заведите отдельную сим-карту для работы с мобильным банком и никому не сообщайте и нигде не публикуйте данный номер.
- Никому не сообщайте CVV-код, кодовое слово или код из смс – ни по телефону, ни в чате с «сотрудником банка». Перезванивайте лично в банк по номеру, который указан на сайте или на задней стороне карты, и только тогда сообщайте кодовое слово.
- Внимательно следите за смс о блокировке сим-карт или перевыпуске. Это действительно важно, ведь у клиента есть, как правило, сутки на обращение в салон связи и банк, чтобы мошенник не успел ничего предпринять.
- Игнорируйте смс с просьбой перезвонить в банк по указанному номеру.
- Не доверяйте собеседнику, представившемуся сотрудником банка, даже если он звонит с номера банка – сервисы подмены номеров ушли далеко вперед. Звоните в банк самостоятельно.
- Не выкладывайте фотографии и сканы ваших документов в соцсетях.