podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

SIM-карта как источник проблем

Любопытный кейс с многократной заменой SIM-карты по «липовой» доверенности и воровством денег из Яндекс-кошелька. История скорее для правоохранителей, но хороший повод поговорить о «средствах предохранения», важности соблюдения процедур и пресловутом человеческом факторе.

Аббревиатура SIM расшифровывается как Subscriber Identification Module (модуль идентификации абонента) не случайно, попадание этого модуля в чужие руки чревато крупными неприятностями. Собственно история, изложенная мне в письме с минимальной правкой. Текста много, но прочитать стоит.

«Я много лет являюсь владелицей номера Билайн. В договоре на мое имя были всегда указаны корректные паспортные данные и контактная информация. Кроме этого, я владею Яндекс.Кошелек, на котором накопилась заметная сумма - около 150000 тысяч рублей. Видимо, сумма стала заметна не только мне, и ее решили у меня попросту украсть. Вопрос только откуда и как до мошенников дошла информация о сумме на счету.

Началась история месяц назад, когда на моем телефоне внезапно пропала сеть. Первое подозрение - проблемы с сетью, либо с сим-картой. Так как сеть Билайн работала у людей вокруг я поехала в центральный офис на Маяковскую где выяснилось, что была произведена смена сим-карты в городе Екатеринбурге. Так как я сама оттуда родом (хотя давно живу в Москве) первое подозрение было на то, что это кто-то из «друзей», хотя как ни силилась, не могла понять кому бы это было надо.

Вскоре выяснилось, что с помощью замены сим-карты была взломана моя почта на Яндексе и была предпринята попытка вывода денег из Яндекс.Кошелька, к счастью, не удачная. Я заблокировала Кошелек, поменяла сим-карту, восстановила доступ к почте. Кроме того, сотрудники Билайн посоветовали установить на договор кодовое слово, что и было сделано. Были написаны письма в СБ Билайн, Билайн уверял, что будет внутреннее расследование и виновные будут наказаны и подарил мне целых 2000 рублей в качестве компенсации. Да, надо упомянуть, что менять сим-карту приходил человек с якобы нотариальной доверенностью.

Прошли 3 недели. Сеть пропала снова. И снова замена сим-карты в Екатеринбурге. Снова поездка в офис, снова взломанная почта, снова попытки вывести деньги из Яндекс.Кошелька. Но не успевали мошенники, мало было у них времени на смену паролей, кодовых слов и т.д. Вроде обошлось. Но… тарам-пам-пам… на следующий день сим-карту заменили снова! И после восстановления в том же офисе на Маяковской через 50 минут заменили еще раз! При этом времени у преступников было уже достаточно, чтобы поменять телефоны и кодовые слова в почтовых ящиках. Всего было взломано три почтовых ящика, и выведено 20 тыс рублей из Яндекс.Кошелька. Очень важно - никто из сотрудников не мог объяснить как обезопасить себя от мошенников. По моей просьбе, после третьей смены на моем договоре поставили flash-пометку: смена сим-карты только владельцем и только в Москве, на Маяковской. После четвертой смены, когда московский сотрудник связался с Омским (где была произведена последняя замена, что говорит о том, что проблема не в Екатеринбурге, а во всем Сибирском филиале) на вопрос дословно «а ты не смотрел на flash-пометку о запрете смены сим?» Был дан ответ «не-а». Я уж не говорю о бессмысленности установки кодовых слов.

Все разы приходил человек, есть ее данные. Она приносила липовую нотариальную доверенность с нечетной печатью от МОСКОВСКОГО нотариуса. И каждый раз сотрудники в нарушение инструкции не проверяли нотариуса и подлинность доверенности. И ни у кого не возник вопрос - зачем мне так часто менять сим-карту да еще в разных городах!

Наверняка история Вам известна, ведь даже по словам сотрудников Билайн в приватной беседе это происходит несколько раз в день и якобы это проблема всех федеральных операторов. И по их же словам бороться бесполезно - максимум накажут кого-то из сотрудников, но всю цепочку не найдут.

Получается, что мы полностью беззащитны - ведь к симкам привязаны и банки, где люди хранят значительно более крупные суммы денег. И госуслуги, где содержится практически вся жизнь человека. А с точки зрения оператора - «есть доверенность, юридически все правильно, с сотрудником поговорим». Получается, остановить это безумие невозможно.

В итоге пришлось переоформить номер на другого человека, что, правда, тоже не дает никаких гарантий - посмотрим, что получится…

Мне кажется случай вопиющий, мы настолько зависим от наших телефонов, а они настолько, как выяснилось, уязвимы… А сделать с этой системой невозможно, получается, ничего. Может быть стоит Вам опубликовать статью на эту тему?

P.S. Тем временем история получила продолжение - при этом продолжение явно указывает на причастность именно Билайна - «украли» аналогичным образом в сибирском же филиале сим-карту у бывшего мужа, он был прошлым владельцем моего номера. Никаких данных о нем у Яндекса не было, то есть это не Яндекс «слил» информацию мошенникам. И это явно не совпадение. Ощущение полной безысходности...».

История, конечно, феерическая и выглядит скандально. И скандал вполне состоялся, в течение дня я ознакомился с этим делом четырежды: два раза прислали ссылку в твиттере, ссылку разместил у себя господин Адагамов, и в качестве «контрольного выстрела в голову» мне написала в почту сама пострадавшая. Настойчивость принесла свои плоды, ситуацию откомментировал генеральный директор Билайн Михаил Слободин:

«Мы решили поделится с Вами результатами проверки, в результате которой было установлено, что замены сим-карты были произведены на основании предъявления нотариально оформленной доверенности. Так действуют все операторы: при операциях замены сим-карт в офисах «Билайн» всегда требуется личное присутствие владельца сим-карты с предъявлением паспорта либо его представителя с нотариально оформленной доверенностью. Учитывая, что данный абонент уже не первый раз становится объектом подобных попыток — когда ее сим- карту пытаются получить третьи лица, видимо, у нее имеются недоброжелатели и она стала мишенью для целенаправленных действий некоей организованной преступной группы, в силу чего мы порекомендовали ей обратиться в правоохранительные органы для защиты своих прав и законных интересов, и привлечения виновных лиц к ответственности, в свою очередь мы готовы оказать всестороннюю поддержку. Скорее всего, доверенность, на основании которой была произведена замена сим-карты, была получена незаконным путем. Компания готова оказать максимальную поддержку правоохранительным органам, в случае если клиентка туда обратится и будет возбуждено дело. Для нас это вопрос чести. В данный момент мы также проводим подробный инструктаж сотрудников офисов на предмет более внимательного отношения по случаям замены сим-карт на основании доверенности. Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию».

Вот теперь у нас с вами есть о чём предметно поговорить. Искренне сочувствую пострадавшей, но в ситуации действительно лучше бы разбираться правоохранителям. Что касается нас с вами, то попробуем извлечь из этого случая максимальную пользу и сделать выводы. Руководству Билайн тоже невредно было бы вплотную заняться процедурными вопросами, грабежи электронных кошельков и банковских карт с заменами симкарт через «липовые» доверенности становятся эпидемией. Разберем очевидные «проколы», которые приводят к таким печальным последствиям.

Напомним цитату из ответа: «... Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию». Что-что вы, извините, «реализовали»?! У всех операторов уже N лет существует опция запрета любых действий с SIM-картой по доверенности. Билайн — не исключение, см. скриншот выше по ссылке на сайт Билайн. Изобретать велосипед не нужно, он давно придуман. Понятно, что генеральный директор не обязан и физически не может разбираться в тонкостях всех процедур, но ведь ответ явно кто-то готовил? И этот «кто-то» либо катастрофически некомпетентен, либо сочиняет сказки для минимизации вреда. Обе версии (а других нет) мне очень не нравятся.

Похоже, что вышеупомянутый «запрет» носит рекомендательный характер (сообщение на карточке номера) и системно не препятствует замене SIM-карты по доверенности. Если так, то с этим нужно что-то делать, «человеческий фактор» необходимо исключать. Хотя бы частично, каким-нибудь ярко-красным предупреждающим окном при запуске процедуры замены SIM-карты, чтобы сотрудник понимал, что сознательно идёт на грубое нарушение. Но лучше бы прямым запретом на уровне системы. Например, замену только с обязательной загрузкой скана паспорта владельца номера, современным системам распознавания «прочитать» фамилию не проблема. Да мало ли какой «шлагбаум» можно придумать в век современных технологий? Дело-то серьёзное, это не про «три копейки пропали с баланса!».

Телефонный номер пострадавшей Анны ярко засвечен в сети, десятки поисковых выдач. С именем и информацией о том, что человек занимается интернет-проектами, и, вполне возможно, какие-то платежи проходят через баланс номера или привязанные к нему кошельки. Я не пытаюсь утверждать, что это спровоцировало «набеги» в данном конкретном случае, но соблюдайте простое правило: публикуемый в сети номер телефона категорически нельзя использовать для любых финансовых операций, подтверждений аккаунтов и т. п. И место такой SIM-карты только в примитивной звонилке без всяких интернетов, точка.

Возможность заменить SIM-карту в другом регионе — конкурентное преимущество и дополнительное удобство, в МТС и МегаФоне это невозможно. Но, как видим, подводные камушки присутствуют и контролировать процесс сложнее. Опять вопрос автоматизации на уровне системы: повторная замена SIM-карты меньше чем через час в другом регионе не должна была сработать. Этот велосипед тоже давно придуман банками и прекрасно «ездит».

При замене SIM-карты по доверенности можно хотя бы «пробивать» паспорт по базе данных ФМС на предмет кражи или потери документа, кто-нибудь это делает? А стоило бы.

Ещё один велосипед реализован коллегами, невредно присмотреться. Например, в МТС при замене SIM-карты система отправляет на номер СМС о заявке на смену карты и ждёт 5 минут, сократить это время сотрудник не может технически. Если успеть позвонить в контактный центр, то замена блокируется.

Если не успеете позвонить в эти 5 минут, то всё равно в течение суток после замены на SIM-карте заблокирована вся мобильная коммерция и установлен запрет на прием и отправку СМС. C точки зрения взлома кошельков, смены паролей и т. п., новая SIM-карта в течение 24 часов — бесполезный кусок пластика. Также в течение этих суток новая SIM-карта мгновенно блокируется по звонку с жалобой в контактный центр неважно с какого номера без всякой бюрократии с идентификациями. И такой блок снимается только при личном визите владельца номера. Неудобство для легитимного пользователя, но вероятность воровства денег снижается на порядок, если не на два порядка.

Не сомневаюсь в том, что существуют и успешно действуют другие «предохранители», нужно использовать все возможности, а не ждать жареного петуха с острым клювом. Это относится и к коллегам-операторам, наверняка у каждого есть как свои ценные ноу-хау, так и прорехи. Почему бы не скооперироваться для разработки максимально защищенных процедур? Слишком много всего финансово-банковского сейчас «завязано» на SIM-карту. А сотрудники офисов и салонов — не криминалисты и не почерковеды, для них замена симки - рутинная и беспроблемная процедура. Уверен, что к приёму платежей многие подходят с куда большей ответственностью, это же деньги!

Пока копался в вопросе и писал текст, подоспела информация о «промежуточном финише». Пишет Олег Бармин, руководитель службы социальных медиа Билайн:

«Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анна Знаменская. Об этом она написала на своей личной странице в Фейсбуке.

Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я также прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.

Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов – это не только главный принцип работы, но и вопрос Чести».

Возвращаясь к вопросу о жареном петухе и процедурах. Я, конечно, безмерно рад, что в Билайн наконец-то решили заняться вопросом вплотную, и надеюсь, что наш «разбор полётов» подскажет что-то полезное. Например, для начала, хотя бы опыт блокирования на 24 часа SMS и мобильной коммерции на заменённой SIM-карте, уж это наверняка легко внедрить. Досадно, что о безопасности клиента всерьёз задумываются только по итогам встречи с тем самым жареным петухом. Но лучше поздно, чем никогда.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано - 24 сентября 2015 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

Новости:

23.06.2017 TCL представит еще один BlackBerry без физической клавиатуры

23.06.2017 WhatsApp позволит пересылать любые файлы

23.06.2017 Android 8 может быть назван в честь овсяного печенья

23.06.2017 Павел Дуров ответил на угрозы главы Роскомнадзора заблокировать его мессенджер Telegram

23.06.2017 Закон о блокировке «зеркал» принят Госдумой

23.06.2017 Google представила новый видеоформат для виртуальной реальности — VR180

23.06.2017 Роскомнадзор грозит заблокировать Telegram

23.06.2017 ФНС: блокировка российского сайта Google произошла из-за букмекерской конторы

23.06.2017 На российский рынок выходит последняя флагманская модель Hi-Fi плеера COWON Plenue 2

Hit

22.06.2017 Видео на канале: Обзор Samsung Galaxy J5 2017

22.06.2017 В России стартуют продажи смартфона ZTE Blade V8 mini

Hit

22.06.2017 BLUBOO выпустят первый безрамочный флагман с соотношением сторон 18: 9 на платформе от MTK

22.06.2017 Tele2 договорилась с Apple

22.06.2017 Клиенты Альфа-Банка первыми в мире смогут снимать и вносить деньги через банкоматы при помощи мобильных сервисов оплаты

22.06.2017 Samsung запустил в массовое производство процессор Exynos i T200 для Интернет вещей

22.06.2017 В «Яндекс.Такси» очередной сбой – клиентам увеличивают стоимость поездки

Hit

21.06.2017 Видео на канале: Обзор Samsung Galaxy J7 2017

21.06.2017 IDC: продажи шлемов виртуальной и дополненной реальности вырастут в 10 раз

21.06.2017 WhatsApp уточнили сроки прекращения поддержки устройств со старыми ОС

21.06.2017 В Японии планируют использовать роботизированные экзоскелеты для демонтажа АЭС

21.06.2017 ESET: мошенники воспользовались популярностью Uber

21.06.2017 Компания Тимати Black Star запустит собственного виртуального оператора

21.06.2017 ZTE и SoftBank объявили о запуске пилотной зоны 5G в Токио

21.06.2017 ARCHOS выпустит планшеты KODAK в Европе

21.06.2017 Смартфон OnePlus 5 представлен официально

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.