podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

SIM-карта как источник проблем

Любопытный кейс с многократной заменой SIM-карты по «липовой» доверенности и воровством денег из Яндекс-кошелька. История скорее для правоохранителей, но хороший повод поговорить о «средствах предохранения», важности соблюдения процедур и пресловутом человеческом факторе.

Аббревиатура SIM расшифровывается как Subscriber Identification Module (модуль идентификации абонента) не случайно, попадание этого модуля в чужие руки чревато крупными неприятностями. Собственно история, изложенная мне в письме с минимальной правкой. Текста много, но прочитать стоит.

«Я много лет являюсь владелицей номера Билайн. В договоре на мое имя были всегда указаны корректные паспортные данные и контактная информация. Кроме этого, я владею Яндекс.Кошелек, на котором накопилась заметная сумма - около 150000 тысяч рублей. Видимо, сумма стала заметна не только мне, и ее решили у меня попросту украсть. Вопрос только откуда и как до мошенников дошла информация о сумме на счету.

Началась история месяц назад, когда на моем телефоне внезапно пропала сеть. Первое подозрение - проблемы с сетью, либо с сим-картой. Так как сеть Билайн работала у людей вокруг я поехала в центральный офис на Маяковскую где выяснилось, что была произведена смена сим-карты в городе Екатеринбурге. Так как я сама оттуда родом (хотя давно живу в Москве) первое подозрение было на то, что это кто-то из «друзей», хотя как ни силилась, не могла понять кому бы это было надо.

Вскоре выяснилось, что с помощью замены сим-карты была взломана моя почта на Яндексе и была предпринята попытка вывода денег из Яндекс.Кошелька, к счастью, не удачная. Я заблокировала Кошелек, поменяла сим-карту, восстановила доступ к почте. Кроме того, сотрудники Билайн посоветовали установить на договор кодовое слово, что и было сделано. Были написаны письма в СБ Билайн, Билайн уверял, что будет внутреннее расследование и виновные будут наказаны и подарил мне целых 2000 рублей в качестве компенсации. Да, надо упомянуть, что менять сим-карту приходил человек с якобы нотариальной доверенностью.

Прошли 3 недели. Сеть пропала снова. И снова замена сим-карты в Екатеринбурге. Снова поездка в офис, снова взломанная почта, снова попытки вывести деньги из Яндекс.Кошелька. Но не успевали мошенники, мало было у них времени на смену паролей, кодовых слов и т.д. Вроде обошлось. Но… тарам-пам-пам… на следующий день сим-карту заменили снова! И после восстановления в том же офисе на Маяковской через 50 минут заменили еще раз! При этом времени у преступников было уже достаточно, чтобы поменять телефоны и кодовые слова в почтовых ящиках. Всего было взломано три почтовых ящика, и выведено 20 тыс рублей из Яндекс.Кошелька. Очень важно - никто из сотрудников не мог объяснить как обезопасить себя от мошенников. По моей просьбе, после третьей смены на моем договоре поставили flash-пометку: смена сим-карты только владельцем и только в Москве, на Маяковской. После четвертой смены, когда московский сотрудник связался с Омским (где была произведена последняя замена, что говорит о том, что проблема не в Екатеринбурге, а во всем Сибирском филиале) на вопрос дословно «а ты не смотрел на flash-пометку о запрете смены сим?» Был дан ответ «не-а». Я уж не говорю о бессмысленности установки кодовых слов.

Все разы приходил человек, есть ее данные. Она приносила липовую нотариальную доверенность с нечетной печатью от МОСКОВСКОГО нотариуса. И каждый раз сотрудники в нарушение инструкции не проверяли нотариуса и подлинность доверенности. И ни у кого не возник вопрос - зачем мне так часто менять сим-карту да еще в разных городах!

Наверняка история Вам известна, ведь даже по словам сотрудников Билайн в приватной беседе это происходит несколько раз в день и якобы это проблема всех федеральных операторов. И по их же словам бороться бесполезно - максимум накажут кого-то из сотрудников, но всю цепочку не найдут.

Получается, что мы полностью беззащитны - ведь к симкам привязаны и банки, где люди хранят значительно более крупные суммы денег. И госуслуги, где содержится практически вся жизнь человека. А с точки зрения оператора - «есть доверенность, юридически все правильно, с сотрудником поговорим». Получается, остановить это безумие невозможно.

В итоге пришлось переоформить номер на другого человека, что, правда, тоже не дает никаких гарантий - посмотрим, что получится…

Мне кажется случай вопиющий, мы настолько зависим от наших телефонов, а они настолько, как выяснилось, уязвимы… А сделать с этой системой невозможно, получается, ничего. Может быть стоит Вам опубликовать статью на эту тему?

P.S. Тем временем история получила продолжение - при этом продолжение явно указывает на причастность именно Билайна - «украли» аналогичным образом в сибирском же филиале сим-карту у бывшего мужа, он был прошлым владельцем моего номера. Никаких данных о нем у Яндекса не было, то есть это не Яндекс «слил» информацию мошенникам. И это явно не совпадение. Ощущение полной безысходности...».

История, конечно, феерическая и выглядит скандально. И скандал вполне состоялся, в течение дня я ознакомился с этим делом четырежды: два раза прислали ссылку в твиттере, ссылку разместил у себя господин Адагамов, и в качестве «контрольного выстрела в голову» мне написала в почту сама пострадавшая. Настойчивость принесла свои плоды, ситуацию откомментировал генеральный директор Билайн Михаил Слободин:

«Мы решили поделится с Вами результатами проверки, в результате которой было установлено, что замены сим-карты были произведены на основании предъявления нотариально оформленной доверенности. Так действуют все операторы: при операциях замены сим-карт в офисах «Билайн» всегда требуется личное присутствие владельца сим-карты с предъявлением паспорта либо его представителя с нотариально оформленной доверенностью. Учитывая, что данный абонент уже не первый раз становится объектом подобных попыток — когда ее сим- карту пытаются получить третьи лица, видимо, у нее имеются недоброжелатели и она стала мишенью для целенаправленных действий некоей организованной преступной группы, в силу чего мы порекомендовали ей обратиться в правоохранительные органы для защиты своих прав и законных интересов, и привлечения виновных лиц к ответственности, в свою очередь мы готовы оказать всестороннюю поддержку. Скорее всего, доверенность, на основании которой была произведена замена сим-карты, была получена незаконным путем. Компания готова оказать максимальную поддержку правоохранительным органам, в случае если клиентка туда обратится и будет возбуждено дело. Для нас это вопрос чести. В данный момент мы также проводим подробный инструктаж сотрудников офисов на предмет более внимательного отношения по случаям замены сим-карт на основании доверенности. Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию».

Вот теперь у нас с вами есть о чём предметно поговорить. Искренне сочувствую пострадавшей, но в ситуации действительно лучше бы разбираться правоохранителям. Что касается нас с вами, то попробуем извлечь из этого случая максимальную пользу и сделать выводы. Руководству Билайн тоже невредно было бы вплотную заняться процедурными вопросами, грабежи электронных кошельков и банковских карт с заменами симкарт через «липовые» доверенности становятся эпидемией. Разберем очевидные «проколы», которые приводят к таким печальным последствиям.

Напомним цитату из ответа: «... Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию». Что-что вы, извините, «реализовали»?! У всех операторов уже N лет существует опция запрета любых действий с SIM-картой по доверенности. Билайн — не исключение, см. скриншот выше по ссылке на сайт Билайн. Изобретать велосипед не нужно, он давно придуман. Понятно, что генеральный директор не обязан и физически не может разбираться в тонкостях всех процедур, но ведь ответ явно кто-то готовил? И этот «кто-то» либо катастрофически некомпетентен, либо сочиняет сказки для минимизации вреда. Обе версии (а других нет) мне очень не нравятся.

Похоже, что вышеупомянутый «запрет» носит рекомендательный характер (сообщение на карточке номера) и системно не препятствует замене SIM-карты по доверенности. Если так, то с этим нужно что-то делать, «человеческий фактор» необходимо исключать. Хотя бы частично, каким-нибудь ярко-красным предупреждающим окном при запуске процедуры замены SIM-карты, чтобы сотрудник понимал, что сознательно идёт на грубое нарушение. Но лучше бы прямым запретом на уровне системы. Например, замену только с обязательной загрузкой скана паспорта владельца номера, современным системам распознавания «прочитать» фамилию не проблема. Да мало ли какой «шлагбаум» можно придумать в век современных технологий? Дело-то серьёзное, это не про «три копейки пропали с баланса!».

Телефонный номер пострадавшей Анны ярко засвечен в сети, десятки поисковых выдач. С именем и информацией о том, что человек занимается интернет-проектами, и, вполне возможно, какие-то платежи проходят через баланс номера или привязанные к нему кошельки. Я не пытаюсь утверждать, что это спровоцировало «набеги» в данном конкретном случае, но соблюдайте простое правило: публикуемый в сети номер телефона категорически нельзя использовать для любых финансовых операций, подтверждений аккаунтов и т. п. И место такой SIM-карты только в примитивной звонилке без всяких интернетов, точка.

Возможность заменить SIM-карту в другом регионе — конкурентное преимущество и дополнительное удобство, в МТС и МегаФоне это невозможно. Но, как видим, подводные камушки присутствуют и контролировать процесс сложнее. Опять вопрос автоматизации на уровне системы: повторная замена SIM-карты меньше чем через час в другом регионе не должна была сработать. Этот велосипед тоже давно придуман банками и прекрасно «ездит».

При замене SIM-карты по доверенности можно хотя бы «пробивать» паспорт по базе данных ФМС на предмет кражи или потери документа, кто-нибудь это делает? А стоило бы.

Ещё один велосипед реализован коллегами, невредно присмотреться. Например, в МТС при замене SIM-карты система отправляет на номер СМС о заявке на смену карты и ждёт 5 минут, сократить это время сотрудник не может технически. Если успеть позвонить в контактный центр, то замена блокируется.

Если не успеете позвонить в эти 5 минут, то всё равно в течение суток после замены на SIM-карте заблокирована вся мобильная коммерция и установлен запрет на прием и отправку СМС. C точки зрения взлома кошельков, смены паролей и т. п., новая SIM-карта в течение 24 часов — бесполезный кусок пластика. Также в течение этих суток новая SIM-карта мгновенно блокируется по звонку с жалобой в контактный центр неважно с какого номера без всякой бюрократии с идентификациями. И такой блок снимается только при личном визите владельца номера. Неудобство для легитимного пользователя, но вероятность воровства денег снижается на порядок, если не на два порядка.

Не сомневаюсь в том, что существуют и успешно действуют другие «предохранители», нужно использовать все возможности, а не ждать жареного петуха с острым клювом. Это относится и к коллегам-операторам, наверняка у каждого есть как свои ценные ноу-хау, так и прорехи. Почему бы не скооперироваться для разработки максимально защищенных процедур? Слишком много всего финансово-банковского сейчас «завязано» на SIM-карту. А сотрудники офисов и салонов — не криминалисты и не почерковеды, для них замена симки - рутинная и беспроблемная процедура. Уверен, что к приёму платежей многие подходят с куда большей ответственностью, это же деньги!

Пока копался в вопросе и писал текст, подоспела информация о «промежуточном финише». Пишет Олег Бармин, руководитель службы социальных медиа Билайн:

«Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анна Знаменская. Об этом она написала на своей личной странице в Фейсбуке.

Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я также прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.

Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов – это не только главный принцип работы, но и вопрос Чести».

Возвращаясь к вопросу о жареном петухе и процедурах. Я, конечно, безмерно рад, что в Билайн наконец-то решили заняться вопросом вплотную, и надеюсь, что наш «разбор полётов» подскажет что-то полезное. Например, для начала, хотя бы опыт блокирования на 24 часа SMS и мобильной коммерции на заменённой SIM-карте, уж это наверняка легко внедрить. Досадно, что о безопасности клиента всерьёз задумываются только по итогам встречи с тем самым жареным петухом. Но лучше поздно, чем никогда.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано - 24 сентября 2015 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

Новости:
Hit

26.05.2017 Видео на канале: Обзор Micromax BOLT Warrior 2

26.05.2017 Huawei представила смартфоны Nova 2 и Nova 2 Plus

26.05.2017 Nokia 9 будет иметь версию с 8 ГБ оперативной памяти

26.05.2017 Стэнфордский университет подтвердил, что гаджеты плохо считают калории

26.05.2017 Информация о защищенном Galaxy S8 Active случайно «всплыла» на сайте Wireless Power Consortium

26.05.2017 Google Photos установлены более одного миллиарда раз

26.05.2017 Энди Рубин представит свое новое детище 30 мая

26.05.2017 Lenovo не будет сворачивать производство телефонов под собственным брендом

26.05.2017 Центробанк предложил рассматривать криптовалюты как цифровой товар

26.05.2017 Ростелеком вложит 200 миллионов рублей в разработку биометрической идентификации

Hit

25.05.2017 Видео на канале: Обзор Micromax BOLT warrior 1 plus

25.05.2017 Mail.Ru выпустила мессенджер TamTam

25.05.2017 «Билайн» предлагает смартфоны Samsung по спеццене

25.05.2017 Представлен 6,44-дюймовый фаблет Xiaomi Mi Max 2

Hit

25.05.2017 Видео на канале: Знакомство с Xiaomi Mi Mix 18K

Hit

25.05.2017 Видео на канале: Обзор Nokia 3310 (2017)

25.05.2017 Tele2 снижает стоимость корпоративных тарифов в Москве

25.05.2017 ESET: мошенники раздают на WhatsApp годовую подписку на Netflix

25.05.2017 Panasonic анонсировал тонкие полузащищенные бизнес-ноутбуки Toughbook CF-54mk3

24.05.2017 Sony объявила о старте продаж своего нового 6-дюймового смартфона Xperia XA1 Ultra

24.05.2017 В Госдуму внесен законопроект о регулировании работы мессенджеров

Hit

24.05.2017 Видео на канале: Обзор Asus ZenFone 3 Max

Hit

24.05.2017 Видео на канале: Пример работы Android Pay в России

Hit

24.05.2017 Видео на канале: Комментарий Андрея Кормильцева по поводу Android Pay и HTC U11

24.05.2017 Apple и Nokia урегулировали свои споры

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.