В смартфоне вся ваша жизнь: банковские приложения, кошельки, соцсети и прочие клубнички, типа, сервиса знакомств. Вот только пароль лишь на самом гаджете - не панацея от потерь.
"Это не ваш номер"
"По вашему номеру проходит замена сим-карты. Если вы не заказывали данную услугу, то срочно обратитесь в наш контактный центр..." — такое СМС-сообщение получил московский юрист Ч. Это было последнее СМС на его мобильный номер от сотового оператора— через несколько минут сим-карта отключилась.
А дальше Ч. обнаружил, что не может зайти на свои страницы в Facebook и "ВКонтакте", в почтовый ящик на "Яндексе". "Последние три года я развивал в Facebook разные группы, всего больше десятка,— рассказывает Ч.— Воспользовавшись привязанным номером телефона, злоумышленники сменили там пароли. Во всех группах меня лишили прав администратора. А одну из групп вообще закрыли".
Единственное, что успел сделать Ч.,— связаться с банками и заблокировать счета, к которым также был привязан номер мобильного. Но самое обидное, что восстановить доступ к своему телефонному номеру Ч. уже не смог - ведь формально он ему никогда и не принадлежал.
"Семь лет я приехал в Москву из провинции поступать в аспирантуру Высшей школы экономики,— рассказывает Ч.— В первый же день, выйдя из метро на ближайшем лотке сотовой связи приобрел московскую сим-карту. Продавец сказал, что регистрировать ее не нужно. Что я тогда понимал? Вставил симку в мобильный и начал пользоваться".
А через семь лет, согласно версии компании-оператора, в их офис пришел некий гражданин, который сообщил, что является владельцем номера, и, показав удостоверяющий личность документ, написал заявление о перевыпуске сим-карты.
"Это не ваш номер",— сказали Ч., когда он пришел в офис оператора.
Хитрый дилер
Согласно договорам с сотовыми операторами, продавшие сим-карты дилеры в течение определенного периода получают до 50% средств, внесенных пользователями на счета номеров. Формально дилер обязан при продаже сим-карты попросить у клиента паспорт, переписать его данные и зарегистрировать покупателя как владельца номера.
На практике же купить симку без паспорта можно и в интернете, и в каждом втором киоске на московской "Горбушке". Вариантов, на кого она будет записана, лично мне предлагалось несколько. Например, дилер готов был указать мои паспортные данные с моих же слов, "на память" — и мне ничто не мешало "вспомнить" настоящие данные другого человека. Второй вариант — симка уже зарегистрирована на юридическое лицо, на компанию-продавца. И третий: "мы зарегистрируем сим-карту на нашего сотрудника". Иногда дилеры для увеличения сбыта просто раздают всем желающим сим-карты, уже зарегистрированные на неизвестного владельца.
Абоненту достаточно пополнить счет номера. "Никакой регистрации — положи от 100 руб. и пользуйся",— пояснил мне человек, раздававший симки "у входа в метро .
Впрочем, возможность легализоваться — зарегистрировать на себя некогда приобретенный "анонимный" номер — имеется. (Надо только уточнить, существует ли такая процедура именно у вашего оператора). Фактическому пользователю номера необходимо прийти в офис с сим-картой, написать заявление и предъявить доказательства пользования номером: квитанции о пополнении счета и т. п. После проверки номер может быть записан на него.
Симка с сюрпризом
Приобретая сим-карту у дилера, который игнорирует ее регистрацию, пользователь автоматически попадает в зону риска. Например, симка может (теоретически, такое возможно для отдельных моделей устройств) содержать вредоносную программу — троян, который попытается украсть деньги либо со счета мобильного номера, либо с привязанного к номеру банковского счета. То есть программа будет вместо пользователя отправлять соответствующие СМС и прочие запросы, попутно стирая из памяти устройства их следы.
Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно.
Номер мобильного телефона сегодня не просто канал связи: у многих, как у Ч., на него завязана буквально вся жизнь.
И эта связь сохраняется, даже если номер уже ушел другому владельцу (оператор может повторно продать номер, который известное время не подает признаков жизни).
Именно на этом обстоятельстве основан вот такой вид мошенничества.
Злоумышленники приходили в офис сотового оператора и совершенно законно заключали договора и регистрировали на себя несколько десятков сим-карт. Потом проверяли, не осталась ли привязка номера к банковскому счету прежнего владельца. Для этого просто отправляли СМС на сервисные номера популярных банков и смотрели, пришел ли ответ. Именно по такому принципу "пробивания" по списку банков действует и троян на смартфоне.
В интернете полно предложений об оптовой купле-продаже сим-карт без регистрации — такие используют хакеры для выхода в интернет, также они нужны для анонимной регистрации в соцсетях, на досках объявлений и т. д. Но для чего вывешиваются запросы на покупку действующих сим-карт — б/у, "зарегистрированных не менее трех месяцев назад"?
Три года назад уже посадили мошенницу, разместившую объявления в соцсетях - она скупала у граждан ненужные им действующие сим-карты.
Новые симки тогда стоили в опте 15-30 руб. Сколько предлагала преступница за карты б/у, неизвестно, но, видимо, для откликнувшихся жителей Татарстана, Удмуртии, Хакасии, Челябинской и Тюменской областей, а также Краснодарского края сумма оказалась интересной. Получив симку, мошенница проверяла привязку номера к банковским картам. И, если привязка обнаруживалась, через систему "мобильный банк" выводила деньги. Таким образом ей удалось похитить 9,5 млн руб. у 44 человек.
Слабое звено
Сейчас сим-карты продаются без предустановленного запирания на пин-код. А сами пользователи теперь пин на симку чаще всего не ставят, ограничиваясь общим паролем для доступа в смартфон. Казалось бы, элементарная вещь, но про нее все забыли.
"Когда села в электричку, обнаружила, что у меня пропал телефон,— рассказывает москвичка А.— Но я особо не волновалась — ни позвонить, ни отправить СМС вор не сможет, так как вход в смартфон защищен паролем". К тому моменту, когда А. добралась до дома и все-таки позвонила в свой банк, преступники уже успели увести деньги с ее счета: просто переставив незащищенную пином сим-карту в другой телефон.
Интимный момент
Но самая лучшая защита, хотя тоже не стопроцентная,— завести для финансовых операций отдельный номер. Соответственно, если он не будет использоваться для звонков, не засветится в интернете, потенциальные злодеи вряд ли узнают о его существовании.
Установить сим-карту с этим интимным номером необходимо в отдельный аппарат, который ни для чего иного, кроме мобильного банкинга, использоваться не будет.
И если для СМС-сервисов не требуется специальное приложение в смартфоне, лучше всего выбрать самый простой кнопочный телефон — в нем вирусы точно не поселятся.
В связи с массовым распространением смартфонов и активным использованием их для интернет-банкинга фактически была разрушена идея двухфакторной идентификации. Раньше один пароль приходил по e-mail на компьютер, а второй в виде СМС — на телефон, каналы были полностью независимы. Сейчас же, когда и e-mail, и СМС приходят на одно устройство, их перехватит один и тот же троян.
(Впервые опубликовано в Ъ-Деньги)