Телефонные мошенники придумали дальнейшее развитие схемы со звонками якобы от имени сотового оператора. Теперь доступ в личный кабинет или на «Госуслуги» используют для того, чтобы выпустить и получить eSIM. После активации eSIM SIM-карта жертвы мгновенно перестаёт работать и та даже не может позвонить в техподдержку и т.п.
Получив доступ к абонентскому номеру, можно использовать его для доступа ко всем учётным записям, в которых используется двухфакторная авторизация. Правда, к банковским счетам злоумышленник в большинстве случаев доступа не получит, поскольку из соображений безопасности при замене SIM-карты операторы на сутки отключают SMS. Конечно, есть шанс на то, что у жертвы не будет времени в течение суток добраться до ближайшего офиса своего оператора и тогда у мошенников получится зайти и в мобильный банкинг.
Но пока они будут получать доступ ко всем сервисам, где из соображений экономии на SMS авторизация происходит по звонку – либо робот диктует код, либо нужно ввести последние цифры номера телефона, с которого звонит робот. Таким способом можно, в частности, получить доступ к мессенджерам, проанализировать хранящуюся в облаке переписку и собрать большое количество деталей о человеке – причём даже не вручную, а с помощью ИИ. И затем уже рассылать персонализированные фишинговые сообщения по всему контакт-листу для угона других аккаунтов.
Способы защиты от такого угона номеров в целом достаточно банальны: нужно раз и навсегда запомнить, что любые коды аутентификации, которые приходят вам по SMS, нельзя сообщать вообще никому. Даже любимой бабушке.
Также есть ещё один действенный способ: использовать для авторизаций не свой основной номер, а какой-нибудь другой, который нигде не указан и на который не сможет позвонить абсолютно никто. То есть, если кто-то вам звонит на «секретный» номер – это значит, что на том конце провода точно мошенник. Ведь из банка или от оператора никто никогда вам звонить при возникновении каких-либо проблем не будет: предполагается, что если у вас проблемы, то вы и звоните.
