SIM-карта как источник проблем

Любопытный кейс с многократной заменой SIM-карты по «липовой» доверенности и воровством денег из Яндекс-кошелька. История скорее для правоохранителей, но хороший повод поговорить о «средствах предохранения», важности соблюдения процедур и пресловутом человеческом факторе.

Аббревиатура SIM расшифровывается как Subscriber Identification Module (модуль идентификации абонента) не случайно, попадание этого модуля в чужие руки чревато крупными неприятностями. Собственно история, изложенная мне в письме с минимальной правкой. Текста много, но прочитать стоит.

«Я много лет являюсь владелицей номера Билайн. В договоре на мое имя были всегда указаны корректные паспортные данные и контактная информация. Кроме этого, я владею Яндекс.Кошелек, на котором накопилась заметная сумма - около 150000 тысяч рублей. Видимо, сумма стала заметна не только мне, и ее решили у меня попросту украсть. Вопрос только откуда и как до мошенников дошла информация о сумме на счету.

Началась история месяц назад, когда на моем телефоне внезапно пропала сеть. Первое подозрение - проблемы с сетью, либо с сим-картой. Так как сеть Билайн работала у людей вокруг я поехала в центральный офис на Маяковскую где выяснилось, что была произведена смена сим-карты в городе Екатеринбурге. Так как я сама оттуда родом (хотя давно живу в Москве) первое подозрение было на то, что это кто-то из «друзей», хотя как ни силилась, не могла понять кому бы это было надо.

Вскоре выяснилось, что с помощью замены сим-карты была взломана моя почта на Яндексе и была предпринята попытка вывода денег из Яндекс.Кошелька, к счастью, не удачная. Я заблокировала Кошелек, поменяла сим-карту, восстановила доступ к почте. Кроме того, сотрудники Билайн посоветовали установить на договор кодовое слово, что и было сделано. Были написаны письма в СБ Билайн, Билайн уверял, что будет внутреннее расследование и виновные будут наказаны и подарил мне целых 2000 рублей в качестве компенсации. Да, надо упомянуть, что менять сим-карту приходил человек с якобы нотариальной доверенностью.

Прошли 3 недели. Сеть пропала снова. И снова замена сим-карты в Екатеринбурге. Снова поездка в офис, снова взломанная почта, снова попытки вывести деньги из Яндекс.Кошелька. Но не успевали мошенники, мало было у них времени на смену паролей, кодовых слов и т.д. Вроде обошлось. Но… тарам-пам-пам… на следующий день сим-карту заменили снова! И после восстановления в том же офисе на Маяковской через 50 минут заменили еще раз! При этом времени у преступников было уже достаточно, чтобы поменять телефоны и кодовые слова в почтовых ящиках. Всего было взломано три почтовых ящика, и выведено 20 тыс рублей из Яндекс.Кошелька. Очень важно - никто из сотрудников не мог объяснить как обезопасить себя от мошенников. По моей просьбе, после третьей смены на моем договоре поставили flash-пометку: смена сим-карты только владельцем и только в Москве, на Маяковской. После четвертой смены, когда московский сотрудник связался с Омским (где была произведена последняя замена, что говорит о том, что проблема не в Екатеринбурге, а во всем Сибирском филиале) на вопрос дословно «а ты не смотрел на flash-пометку о запрете смены сим?» Был дан ответ «не-а». Я уж не говорю о бессмысленности установки кодовых слов.

Все разы приходил человек, есть ее данные. Она приносила липовую нотариальную доверенность с нечетной печатью от МОСКОВСКОГО нотариуса. И каждый раз сотрудники в нарушение инструкции не проверяли нотариуса и подлинность доверенности. И ни у кого не возник вопрос - зачем мне так часто менять сим-карту да еще в разных городах!

Наверняка история Вам известна, ведь даже по словам сотрудников Билайн в приватной беседе это происходит несколько раз в день и якобы это проблема всех федеральных операторов. И по их же словам бороться бесполезно - максимум накажут кого-то из сотрудников, но всю цепочку не найдут.

Получается, что мы полностью беззащитны - ведь к симкам привязаны и банки, где люди хранят значительно более крупные суммы денег. И госуслуги, где содержится практически вся жизнь человека. А с точки зрения оператора - «есть доверенность, юридически все правильно, с сотрудником поговорим». Получается, остановить это безумие невозможно.

В итоге пришлось переоформить номер на другого человека, что, правда, тоже не дает никаких гарантий - посмотрим, что получится…

Мне кажется случай вопиющий, мы настолько зависим от наших телефонов, а они настолько, как выяснилось, уязвимы… А сделать с этой системой невозможно, получается, ничего. Может быть стоит Вам опубликовать статью на эту тему?

P.S. Тем временем история получила продолжение - при этом продолжение явно указывает на причастность именно Билайна - «украли» аналогичным образом в сибирском же филиале сим-карту у бывшего мужа, он был прошлым владельцем моего номера. Никаких данных о нем у Яндекса не было, то есть это не Яндекс «слил» информацию мошенникам. И это явно не совпадение. Ощущение полной безысходности...».

История, конечно, феерическая и выглядит скандально. И скандал вполне состоялся, в течение дня я ознакомился с этим делом четырежды: два раза прислали ссылку в твиттере, ссылку разместил у себя господин Адагамов, и в качестве «контрольного выстрела в голову» мне написала в почту сама пострадавшая. Настойчивость принесла свои плоды, ситуацию откомментировал генеральный директор Билайн Михаил Слободин:

Вот теперь у нас с вами есть о чём предметно поговорить. Искренне сочувствую пострадавшей, но в ситуации действительно лучше бы разбираться правоохранителям. Что касается нас с вами, то попробуем извлечь из этого случая максимальную пользу и сделать выводы. Руководству Билайн тоже невредно было бы вплотную заняться процедурными вопросами, грабежи электронных кошельков и банковских карт с заменами симкарт через «липовые» доверенности становятся эпидемией. Разберем очевидные «проколы», которые приводят к таким печальным последствиям.

Напомним цитату из ответа: «... Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию». Что-что вы, извините, «реализовали»?! У всех операторов уже N лет существует опция запрета любых действий с SIM-картой по доверенности. Билайн — не исключение, см. скриншот выше по ссылке на сайт Билайн. Изобретать велосипед не нужно, он давно придуман. Понятно, что генеральный директор не обязан и физически не может разбираться в тонкостях всех процедур, но ведь ответ явно кто-то готовил? И этот «кто-то» либо катастрофически некомпетентен, либо сочиняет сказки для минимизации вреда. Обе версии (а других нет) мне очень не нравятся.

Похоже, что вышеупомянутый «запрет» носит рекомендательный характер (сообщение на карточке номера) и системно не препятствует замене SIM-карты по доверенности. Если так, то с этим нужно что-то делать, «человеческий фактор» необходимо исключать. Хотя бы частично, каким-нибудь ярко-красным предупреждающим окном при запуске процедуры замены SIM-карты, чтобы сотрудник понимал, что сознательно идёт на грубое нарушение. Но лучше бы прямым запретом на уровне системы. Например, замену только с обязательной загрузкой скана паспорта владельца номера, современным системам распознавания «прочитать» фамилию не проблема. Да мало ли какой «шлагбаум» можно придумать в век современных технологий? Дело-то серьёзное, это не про «три копейки пропали с баланса!».

Телефонный номер пострадавшей Анны ярко засвечен в сети, десятки поисковых выдач. С именем и информацией о том, что человек занимается интернет-проектами, и, вполне возможно, какие-то платежи проходят через баланс номера или привязанные к нему кошельки. Я не пытаюсь утверждать, что это спровоцировало «набеги» в данном конкретном случае, но соблюдайте простое правило: публикуемый в сети номер телефона категорически нельзя использовать для любых финансовых операций, подтверждений аккаунтов и т. п. И место такой SIM-карты только в примитивной звонилке без всяких интернетов, точка.

Возможность заменить SIM-карту в другом регионе — конкурентное преимущество и дополнительное удобство, в МТС и МегаФоне это невозможно. Но, как видим, подводные камушки присутствуют и контролировать процесс сложнее. Опять вопрос автоматизации на уровне системы: повторная замена SIM-карты меньше чем через час в другом регионе не должна была сработать. Этот велосипед тоже давно придуман банками и прекрасно «ездит».

При замене SIM-карты по доверенности можно хотя бы «пробивать» паспорт по базе данных ФМС на предмет кражи или потери документа, кто-нибудь это делает? А стоило бы.

Ещё один велосипед реализован коллегами, невредно присмотреться. Например, в МТС при замене SIM-карты система отправляет на номер СМС о заявке на смену карты и ждёт 5 минут, сократить это время сотрудник не может технически. Если успеть позвонить в контактный центр, то замена блокируется.

Если не успеете позвонить в эти 5 минут, то всё равно в течение суток после замены на SIM-карте заблокирована вся мобильная коммерция и установлен запрет на прием и отправку СМС. C точки зрения взлома кошельков, смены паролей и т. п., новая SIM-карта в течение 24 часов — бесполезный кусок пластика. Также в течение этих суток новая SIM-карта мгновенно блокируется по звонку с жалобой в контактный центр неважно с какого номера без всякой бюрократии с идентификациями. И такой блок снимается только при личном визите владельца номера. Неудобство для легитимного пользователя, но вероятность воровства денег снижается на порядок, если не на два порядка.

Не сомневаюсь в том, что существуют и успешно действуют другие «предохранители», нужно использовать все возможности, а не ждать жареного петуха с острым клювом. Это относится и к коллегам-операторам, наверняка у каждого есть как свои ценные ноу-хау, так и прорехи. Почему бы не скооперироваться для разработки максимально защищенных процедур? Слишком много всего финансово-банковского сейчас «завязано» на SIM-карту. А сотрудники офисов и салонов — не криминалисты и не почерковеды, для них замена симки - рутинная и беспроблемная процедура. Уверен, что к приёму платежей многие подходят с куда большей ответственностью, это же деньги!

Пока копался в вопросе и писал текст, подоспела информация о «промежуточном финише». Пишет Олег Бармин, руководитель службы социальных медиа Билайн:

Возвращаясь к вопросу о жареном петухе и процедурах. Я, конечно, безмерно рад, что в Билайн наконец-то решили заняться вопросом вплотную, и надеюсь, что наш «разбор полётов» подскажет что-то полезное. Например, для начала, хотя бы опыт блокирования на 24 часа SMS и мобильной коммерции на заменённой SIM-карте, уж это наверняка легко внедрить. Досадно, что о безопасности клиента всерьёз задумываются только по итогам встречи с тем самым жареным петухом. Но лучше поздно, чем никогда.