#smsmustdie #imtoken #fraud-SMS #vishing #вишинг #голосовойфишинг #USSD
Ответы на часто задаваемые вопросы (FAQ) по моему докладу на
Cyber & Digital Security Astana 2025
Для чего мошенники рассылают настоящие SMS с номера 1414
(портал eGov.kz) и с официальных коротких номеров банков?
С помощью настоящих SMS мошенники имитируют атаку хакеров и усиливают психологическое давление на атакуемого гражданина.
Когда граждане получают настояние SMS с номера 1414 и с коротких номеров банков, у них начинается паника — ведь они не делали операции и поэтому не ожидают получения SMS с кодами подтверждения. Именно это и нужно мошенникам. С помощью настоящих SMS они убеждают атакуемого гражданина, что его смартфон и банковские приложения взломаны, а его ЭЦП скомпрометирована.
Жертвы мошенников не знают, что мошенники могут им присылать настоящие SMS с номера 1414 и с коротких номеров банков (fraud-SMS) — никто не афиширует такие дыры в безопасности.
В текущей ситуации банки и портал eGov.kz должны ОФИЦИАЛЬНО и РЕГУЛЯРНО оповещать граждан, что мошенники могут отправлять
настоящие SMS с номера 1414 и с настоящих коротких номеров банков.
Почему мошенники могут отправлять SMS с номера 1414 и с коротких номеров банков?
Мошенники используют украденные персональные данные граждан
(ФИО, ИИН, номер мобильного телефона) и инициируют отправку SMS от имени гражданина, которого они атакуют. Так как мошенники используют настоящие персональные данные, портал eGov.kz и банки не могут отличить действия мошенников от действий законопослушных граждан — и отправляют SMS по заявкам мошенников.
Мошенники de-facto используют сервисы портала eGov.kz и банков для атак на граждан Казахстана. Очевидно, что такое «окно возможностей» для мошенников должно быть заблокировано. Игнорирование этой проблемы банками и порталом eGov.kz создаёт тепличные условия для действий телефонных мошенников.
Что изменится, когда банки и портал eGov.kz заблокируют мошенникам возможность отправки SMS?
Это многократно снизит атакующий потенциал мошенников и понизит эффективность их атак. Мы лишим их инструмента, с помощью которого они имитируют атаку хакеров и взламывают сознание своих жертв.
Пробить ментальную защиту гражданина, у которого штатно работает смартфон, приложения и нет подозрительных SMS, намного сложнее.
Что нужно сделать, чтобы мошенники не могли рассылать настоящие SMS с номера 1414 и с коротких номеров банков?
Необходимо просто заменить SMS-коды на *USSD#коды.
Вы помните, как мы проверяли баланс на мобильном телефоне до появления мобильных приложений? Это делается посредством *USSD# кодов → например, *111# или *100#.
Замена SMS на *USSD#коды полностью исключает проблему fraud-SMS.
Гражданам нужно будет запоминать и вводить длинные *USSD#коды?
Гражданин будет видеть *USSD#код, который ему нужно отправить, в приложении или в браузере — поэтому запоминать *USSD#коды не нужно.
Например, для подтверждения входа на портал eGov.kz нужно будет отправить такой *USSD#код:
*1414*7259#
где:
1414 — это номер портала eGov.kz;
7259– одноразовый код подтверждения (OTP-код);
Всё просто и намного безопаснее. Отправить *USSD#код без SIM-карты технически невозможно. Такую операцию может выполнить только владелец SIM-карты, когда SIM-карта установлена в мобильный телефон.
Мошенники не смогут инициировать и проводить транзакции от имени граждан даже после самых масштабных утечек персональных данных. Без физического контроля над оригинальной SIM-картой фрод будет невозможен.
На данный способ аутентификации автором получен Евразийский патент.
Какие дополнительные преимущества даёт переход на *USSD# коды, мы обсудим в следующий раз !-)