Привет.
У нас постоянно происходят удивительные вещи, операторами недовольны всегда и практически во всем, вне зависимости от того, что именно они делают или не делают. Одной из злободневных тем является доверенность на получение SIM-карты. Вы можете создать доверенность на другое лицо, и третий человек может получить новую SIM-карту, а старая перестанет работать. Вокруг этой услуги наслоилось такое количество страшилок, которые подпитываются новостями, что впору хвататься за голову. Например, вот недавняя новость, которая хорошо характеризует восприятие таких историй.
«Мошенники перевыпустили корпоративную сим-карту гендиректора “АБР Менеджмент” Мансурова Дмитрия, чтобы получить доступ к его телефонной книжке и приложениям. По оценке следствия, под угрозой была вся банковская система РФ.
Мошенники использовали тему с поддельными доверенностями, чтобы получить чужие сим-карты. Они подделывали документы на перевыпуск симок с подписью нотариусов, находили курьеров, которых отправляли в офис к оператору и получали чужую симку. В этот момент у реального владельца номера симка блокировалась, а преступники получали доступ к его мессенджерам, контактам и личным кабинетам приложений. После они могли писать людям от лица того, кому раньше принадлежал номер.
По версии следствия, по такой схеме действовали 21-летний Глеб из Питера и 26-летний Илья из Москвы вместе с неким куратором из Украины. В июле 2023 года они оформили перевыпуск корпоративной симки Дмитрия Мансурова, гендиректора “АБР Менеджмент” (дочерняя организация АО “Акционерный Банк Россия”). С ней они получили доступ к контактам топов крупнейших банков РФ, в том числе Центробанка. По оценке следствия, их действия создали угрозу для всей банковской системы страны».
Источник: https://t.me/bazabazon/27537
К сожалению, в заметке содержится не так много информации о произошедшем, но некоторые моменты вызывают удивление. Например, неясно, как можно получить доступ к телефонной книге, если она не хранится на SIM-карте, тем более новой. Телефонная книга хранится в облаке вне зависимости от того, каким телефоном пользуется жертва, это может быть Android или iOS, но везде нужно знать имя аккаунта и пароль. Получение SIM-карты не реализует доступа к телефонной книге.
Допустим, что использовался Telegram, где не был настроен пароль, а вход осуществлялся только по номеру телефона. В этом случае доступ к телефонной книге возможен, но возникает множество вопросов к пострадавшему, который не обеспечил минимального уровня защиты своих данных. Подавляющее большинство приложений и сервисов сегодня имеют авторизацию не только по номеру телефона, но и по паролю. Причем авторизация по номеру телефона — это второй фактор! И если у кого-то отключен вход по паролю, тут можно просто развести руками. И только в этом случае можно писать от лица жертвы, если вы получили доступ к мессенджерам. Либо можно отправлять SMS-сообщения, но это явно нетипичный формат общения, который должен всех насторожить, так как он выбивается из привычного порядка вещей.
Смотрю другую историю на федеральном телеканале — череда пострадавших, каждый сообщает о том, что его взломали и украли деньги со счета в банке. У операторов по поддельной доверенности кто-то получил новую SIM-карту, а дальше «в течение часа начали взламывать банковские приложения».
Увы, история не выдерживает проверки реальностью, скорее всего, «пострадавший», который так красиво рассказывает о мошенниках, ограбил сам себя в расчете на то, что переложит ответственность на кого-то еще, например, на оператора. Причина в том, что сегодня сама система устроена так, что имеет несколько уровней защиты. При получении новой SIM-карты, причем при личном визите с паспортом или по доверенности, оператор отключает отправку сообщений из банков, а также с «Госуслуг». Сделано это для того, чтобы пресечь на корню подобные мошеннические схемы. Вот как сообщает об этом МТС при смене SIM-карты.
В течение суток ничего сделать с банками нельзя, более того, большинство банковских приложений чувствительны к смене устройства (они отслеживают IMEI-номер и физический номер устройства), а также к смене самой SIM-карты (номер тот же, а вот уникальный номер пластика отличается). То есть, получив даже новую SIM-карту и поставив все приложения банков, вы не сможете войти в них — вам нужно знать пароль жертвы либо физически иметь его банковскую карту, включая CVV-код, написанный на ней. Слишком сложно, чтобы предположить, что можно так взломать человека. Поэтому у меня формируется огромное недоверие к рассказам о том, что кто-то получил SIM-карту и в течение часа обчистил счета сразу в нескольких банках. Как это можно сделать технически? Не знаю.
Для меня непонятно, как можно не увидеть, что у вас не работает SIM-карта, в течение суток. То есть на вашей SIM-карте висят банковские приложения, а вы положили ее в стол? Это как минимум странно. Нужно отслеживать все, что вы делаете с такими SIM-картами, знать, что с ними происходит.
Запретить доверенность на SIM-карты? За и против
Мне часто приходится слышать, что проблема с получением SIM-карт по доверенности решается очень просто — запретом на выдачу таких SIM-карт. В некоторых регионах и далеко не у всех операторов можно написать заявление на запрет выдачи SIM-карты по доверенности (ее замены). И многие предлагают решать вопрос именно так – запретить, и точка!
При таком запрете не принимаются во внимание интересы людей, которые действительно нуждаются в периодической замене SIM-карты, что может произойти в самый неподходящий момент. Например, мой хороший знакомый работает вне России по полгода, недавно у него вышла из строя SIM-карта (физически). Мама получила по доверенности SIM-карту (QR-код для eSIM), сфотографировала и отправила ему. Как результат, у него все работает как раньше, никаких проблем нет. И таких историй огромное количество, у всех разные ситуации, но требуется получение новых SIM-карт.
У всех операторов получить SIM-карту можно только по доверенности, которая нотариально заверена. Посмотрите на описание процедуры у Tele2:
«Для получения обслуживания по абонентскому номеру может обратиться ваш представитель. Для этого необходимо оформить доверенность, указав в ней абонентский номер и перечень действий, которые представитель вправе совершать от вашего имени при обращении в салоны связи Tele2.
Доверенность должна быть удостоверена нотариусом. Это требуется, чтобы защитить наших абонентов от мошеннических и иных противоправных действий, направленных на получение несанкционированного доступа к SIM-карте и абонентскому номеру.
При оформлении доверенности, пожалуйста, убедитесь, что нотариус не забыл указать в ней следующую существенную информацию:
• абонентский номер (особенно важно, если у вас несколько номеров в Tele2);
• право на получение дубликата SIM-карты, денежных средств, переоформление номера на другое лицо, перенос номера в сеть Tele2 либо детализации оказанных услуг связи по абонентскому номеру, если ваш представитель обращается за совершением указанных действий;
• конкретный перечень иных действий, которые вы поручаете своему представителю.Обращаем ваше внимание, что представитель не может переоформить на себя номер абонента, чьи интересы он представляет по доверенности.
Эти простые рекомендации позволят избежать негативных ситуаций, когда в доверенности четко не указаны полномочия вашего представителя либо абонентский номер, в отношении которого требуется обслуживание, из-за чего приходится повторно обращаться к нотариусу для внесения уточнений в доверенность.
Будем рады видеть вашего представителя в салонах связи Tele2 с оригиналом доверенности и его паспортом».
Источник: https://msk.tele2.ru/help/article/pamyatka-dlya-abonentov
Оператор не может досконально проверять нотариально заверенную доверенность, документ фотографируют или копируют, чтобы обосновать действия, которые были совершены по ней. И если что-то пошло не так, в суде оператор предоставляет копию доверенности. Не секрет, что основной способ замены SIM-карты — это подделка доверенности. И это уголовное преступление. В зависимости от того, каким бывает результат, срок может быть как реальным, так и условным. Почитайте про одно из дел 2019 года (тогда хищение было возможно, так как после перевыпуска SIM-карты приходили сообщения от банков). Дело можно найти вот тут.
Срок, который получил обвиняемый, — три года условно! Дело читается как увлекательный детектив, хотя это обыденная история того времени, сегодня такая кража денег де-факто маловероятна или попросту невозможна. Поэтому в доверенности на управление SIM-картой и счетом у оператора нет ничего плохого, но нужно соблюдать простые правила цифровой гигиены.
Что делать, чтобы защитить себя
Вот простые правила цифровой гигиены, которые позволят вам не попасть в историю. Обращайте внимание на сообщения, которые вы получаете на свой телефон, не нужно игнорировать SMS. Многие люди просто их не читают! Моя знакомая говорит так — там нет ничего полезного для меня. Не читая SMS-сообщения, вы легко пропустите что-то важное, что попытается вам рассказать оператор. Не делайте так.
Если ваша SIM-карта вдруг перестала работать, для этого может быть несколько причин, самая очевидная — что она вышла из строя (либо сломался ваш телефон). Попробуйте SIM-карту в другом телефоне, и если она не заработала, отправляйтесь в офис оператора получать новую SIM-карту. Идеально, чтобы не остаться без связи, иметь SIM-карты разных операторов, тогда вы не останетесь с неработающим телефоном.
Во всех приложениях, сервисах не только используйте авторизацию по номеру телефона, но и устанавливайте пароли. Желательно использовать разные пароли для разных сервисов, а также периодически проверять, не утекли ли они (те же браузеры показывают утечки паролей, например, Google подсказывает это постоянно).
Если кто-то получил SIM-карту по поддельной доверенности, то у вас есть как минимум сутки, чтобы вернуть себе контроль над SIM-картой. Вне зависимости от того, где вы физически находитесь, вы можете связаться с оператором, предупредить, что не заменяли SIM-карту. Это необходимо, чтобы оператор и его служба безопасности защитили вас.
Из неприятных моментов отмечу следующий, многие люди не считают нужным обновлять свои паспортные данные у оператора. И бывает так, что они выписывают доверенность на новый паспорт, забывая, что у оператора данные старого паспорта. Обновить свои данные можно через «Госуслуги» или обратившись к оператору. Делать это в момент, когда у вас увели SIM-карту, тот еще квест, поэтому лучше держать свои данные в порядке изначально.
Острота проблемы по угону SIM-карт по доверенности за последние несколько лет снизилась, так как операторы научились бороться с этой напастью, а период охлаждения в сутки не дает злоумышленникам воспользоваться украденной SIM-картой как раньше. Но тут нужно соблюдать простые правила цифровой гигиены, чтобы все было в порядке. Надеюсь, что мои советы вам не пригодятся, с точки зрения статистики, вы скорее увидите медведя на улице, чем кто-то попытается увести вашу SIM-карту.
"Для меня непонятно, как можно не увидеть, что у вас не работает SIM-карта, в течение суток" — для этого достаточно просто выехать на эти сутки из зоны покрытия, например, на дачу. Или если телефон лежит дома и подключён к вайфаю, то неработающую сотовую связь можно заметить только по отсутствию звонков от служб безопасности банков, с которыми так успешно борются операторы))))
Многие люди, как ни странно, ради безопасности, не используют свой основной номер для банковской авторизации, а используют отдельный аппарат, чаще всего простую звонилку, который лежит дома. В этом случае заметить смену сим карты можно далеко не сразу.
Как обычно у русачков виноваты украинцы, мигранты, кто угодно но не они сами
>>> Оператор не может досконально проверять нотариально заверенную доверенность
А давайте отзеркалим ситуацию, я рисую четыре липовых доверенности на распоряжение операторами связи, прихожу перед праздниками, когда всем все пофиг, быстренько их перепродаю и сваливаю в туман. А, ну ладно, перед этим еще устанавливаю пожизенную скидку 50% на все для всех, мне не жалко.
После праздников с похмелья такие сотрудники операторов приходят на работу, а тут опппа… Они, конечно, к Эльдару за советом, а он им типа, надо было за СМСками следить и эту… гигиену соблюдать.
По поводу возможности
обслуживания по доверенности. А почему бы операторам не ввести возможность запретить доверенность? Допустим при заключении договора с оператором по умолчанию операции пои доверенности запрещены, а кому требуется на отдельном документе подписывает разрешение? На старых договорах абонент пришел в офис оператора и написал заявление на запрет действий по доверенности? А лучше в личном кабинете поставил галку на пункте о запрете действий по доверенности? При этом живущий за границей знакомый автора сможет менять сим, а живущий в России абонент сможет защититься от воров. Так что операторы все же виноваты.
По поводу доступа к банкам с поменяной сим. Ставил я не столь давно приложение одного банка на другой телефон. Без сим вообще. Пароль из смс пришел на старый телефон, я его ввел и все заработало. Так что в некоторых банках это без проблем. А как можно не заметить то что сим связанная с банком не работает, написали до меня.
Доступ к адресной книге получить можно через мессенджеры.
Roman_roma, Обьясните как?)
Несколько секунд поиска и……… .Все мы знаем, что после замены сим-карты на сутки блокируется получение смс. Но, эту услугу "запрет СМС" спокойно можно отключить через *105*2*1*2*2#. Так что защита мегафона от замены сим не такая уж и защитная(проверено сегодня на симке СПб).
Roman_roma, Мне кажется было бы лучше сделать, как на почте раньше было. Там тоже можно (наверное и сейчас тоже) написать доверенность, но только свою, почтовую. И заверить доверенность можно было только на самой почте у двух людей. Пусть владелец номера и будущий человек приходит и пишут доверенность у оператора. А если человек выехал из России и по пол года там живет, значит ему не повезло и пусть тратит деньги и возвращается.
AndreyWJ, ну заходишь в цаппу и заходишь в контакты.
Честно сказать удивлен, почему Эльдар не понимает очевидных вещей про контакты. К адресной книге не получишь данные, но в цапе спокойно можно получить. Зачастую у всех авторизация в мессенджеры через телефон и все, книга у тебя. Если я ошибся, напишите, где я не прав пожалуйста.
Derwelter, ватсап подтягивает контакты из адресной книги самого Телефона. так что мимо.
зайдя в телегу, все контакты из облака подтягиваются. здесь соглашусь.
но вопрос к владельцу — как он использует телегу без доп кода авторизации. это уже чисто его проблемы, что он не поставил доп пароль авторизации.
CEPbl4, Да вот хрен там. У нас на работе идет массовый взлом аккаунтов ватсапа. Соответственно телефон мошеникам недоступен. Но как-то они пишут всей адресной книге. Даже тем, у кого не было диалога
Roman_roma, Это нормальная практика приложение на смартфоне, а симка банковская на кнопке какой-нибудь…
Bubo Bubo, Какой то странный сценарий. Слабо себе представляю человека, у которого есть дача, на которой он сидит сутками без связи.
Bulat_, Ну вот у меня есть дача, и есть симка мегафона) Мегафон не ловит и не ловил там никогда. Пару лет назад ростелеком протащил к нам оптику, поэтому появился нормальный интернет. До этого приходилось использовать 4ж роутер мтс (у них вышка недалеко), но с наступлением дачного сезона сеть ложилась до уровня едж)) Так что да, могу туда приехать и сидеть неделю без звонков и смс, но с почти гигабитным вайфаем)))
Bubo Bubo, А оператора поменять не пробовали?
Roman_roma, Делайте у оператора, есть такая возможность придти в офис продаж и оставить доверенность.
<<<<Если кто-то получил SIM-карту по поддельной доверенности, то у вас есть как минимум сутки, чтобы вернуть себе контроль над SIM-картой>>>>
Меня один момент смущает. Допустим:
Приходит к оператору хмырь с липовой доверенностью на переоформление номера. Почему бы оператору не проверить сразу в сети ли этот номер, тупо позвонив по нему. Если номер в сети (даже если хозяин не берет трубку, находится за границей, гудки-то будут идти), а СИМКа не в телефоне хмыря при себе, то уже получается нескладуха — кто-то пытается переоформить карту, которой в этот момент еще пользуются. Это ведь странно и нелогично, разве нет? ИМХО, такой дополнительной проверкой можно сильно усложнить мошенникам переоформление номеров на себя.
Нотариус для того и есть, чтобы ему можно было позвонить и проверить была ли доверенность или она липовая.
"вы скорее увидите медведя на улице, чем кто-то попытается увести вашу SIM-карту." Вот главный посыл статьи. К чему городить огород с доверенностями, если не выходя из камеры СИЗО, можно по телефону узнать у доверчивого гражданина все реквизиты банковской карты и код CVV?
Bubo Bubo, Wi Fi Calling для кого придумали?
Bubo Bubo, VoWi-Fi в помощь.
Roman_roma, А где здесь замена сим? К чему это пример? Кого ещё удивляет возможность ставить приложения на разные устройства и работать в них?
BenderUnit, Хрень это полная. Симкарта может быть неисправна, может быть утеряна, это может быть и есим, которая осталась в старом телефоне. Владелец заграницей, здесь кто-то из знакомых или родственников, кому он доверяет и на кого эту доверенность выписал. Как ему в таких случаях действовать?
Максим Медведев, Ещё бы старая кнопка научилась ловить вайфай…)))
Roman_roma, В МТС была такая возможность, причём через ЛК. Сейчас, говорят, услуга непопулярна, но подключить можно по заявлению.
AndreyWJ, У вас нет вацапа? Вы не переносили его на другой телефон? Если включено сохранение, то после перехода на другой телефон все переписки сохраняются с номерами. И список звонков .
BenderUnit, Потенциальная проблема — столько развелось младших лейтенантов службы безопасности сбербанка что могут сбросить вызов а если даже возьмут трубку — надо очень тщательно проработанный сценарий. Ну или _смс_ вида "производится замена вашей SIM-карты если это не вы — позвоните по <номер техподдержки оператора вроде 0500> сейчас" — но эти СМС вроде ж и так шлют как минимум некоторые операторы
VinD, Не хрень. Если SIM реально не в сети — проверяем довереность а вот если SIM в сети и владелец звонит с вопросами что происходит — повод НЕ менять SIM а вызвать полицию с вопросами кто эту доверенность предьявил
Alexey Remizov, Есть ж реестр доверенностей.
vikarti, в нем увы ничего не видно, кроме номера и ФИО. Текст закрытый. Может там просто "доверяю получение документов"
нотариально заверенную доверенность проверить можно на сайте нотариата — указываешь номер, дату выдачи и нотариуса, после этого проверка подтвердит есть ли такая. Операторы сами себе олени, если не могут интегрировать эту проверку себе.
Кстати в российских сайтах обычно второй фактор — фикция. Пароль можно восстановить по номеру телефона, поэтому незнание пароля никак не защитит от входа на большинство сайтов, включая госуслуги, мессенджеры, почту. Там же можно узнать номер своей банковской карты, который либо привязан к госуслугам, либо мелькал в переписке, затем по номеру карты и телефону можно зайти в банковское приложение. Бинго. Второй фактор авторизации не должен позволять получить доступ к первому.
Roman_roma, Ну расскажите куда вацап сохраняет бекапы? Кажется в облако(пароль будет вам не известен) и в телефон (его у вас тоже нет). У вас есть симка и все .
Антон Гар, Вот и думай — что безопаснее — карта которая у тебя в телефоне и она не будет принимать звонки, ты сразу поймёшь, что что-то не то. Но ее могут украсть физически.
Или карта для банков в телефоне дома, который ты проверяешь раз в 2-3 недели 😉
Наверное есим безопаснее в постоянном телефоне.
Тау пароль обычно день рождения,сим лежит в столе чтобы не сперли
Ну, не знаю. Как ни удивительно-пинкод на карту ставят не все до сих пор. Случаи печальных последствий были описаны со скриншотами и прочим..Можно ли перенести сим-карту с пинкодом, "не снимая питания", в другой смартфон-вопрос открытый. Большинство паролей сносятся по "забыл пароль" и при наличии симкарты — телефон тут первичен над паролями. Банковским приложениям вообще начхать на связку сим-телефон. Берете симку супруги, ставите в свой телефон, и через минуту у вас доступ к ее зеленому или желтому, а то и синему банку 🙂 В общем, дело темное… Ну и да-у меня были случаи, когда телефон не использовался больше суток. Спохватился бы только после выходных…