SIM-карта как источник проблем

Любопытный кейс с многократной заменой SIM-карты по «липовой» доверенности и воровством денег из Яндекс-кошелька. История скорее для правоохранителей, но хороший повод поговорить о «средствах предохранения», важности соблюдения процедур и пресловутом человеческом факторе.

Аббревиатура SIM расшифровывается как Subscriber Identification Module (модуль идентификации абонента) не случайно, попадание этого модуля в чужие руки чревато крупными неприятностями. Собственно история, изложенная мне в письме с минимальной правкой. Текста много, но прочитать стоит.

«Я много лет являюсь владелицей номера Билайн. В договоре на мое имя были всегда указаны корректные паспортные данные и контактная информация. Кроме этого, я владею Яндекс.Кошелек, на котором накопилась заметная сумма - около 150000 тысяч рублей. Видимо, сумма стала заметна не только мне, и ее решили у меня попросту украсть. Вопрос только откуда и как до мошенников дошла информация о сумме на счету.

Началась история месяц назад, когда на моем телефоне внезапно пропала сеть. Первое подозрение - проблемы с сетью, либо с сим-картой. Так как сеть Билайн работала у людей вокруг я поехала в центральный офис на Маяковскую где выяснилось, что была произведена смена сим-карты в городе Екатеринбурге. Так как я сама оттуда родом (хотя давно живу в Москве) первое подозрение было на то, что это кто-то из «друзей», хотя как ни силилась, не могла понять кому бы это было надо.

Вскоре выяснилось, что с помощью замены сим-карты была взломана моя почта на Яндексе и была предпринята попытка вывода денег из Яндекс.Кошелька, к счастью, не удачная. Я заблокировала Кошелек, поменяла сим-карту, восстановила доступ к почте. Кроме того, сотрудники Билайн посоветовали установить на договор кодовое слово, что и было сделано. Были написаны письма в СБ Билайн, Билайн уверял, что будет внутреннее расследование и виновные будут наказаны и подарил мне целых 2000 рублей в качестве компенсации. Да, надо упомянуть, что менять сим-карту приходил человек с якобы нотариальной доверенностью.

Прошли 3 недели. Сеть пропала снова. И снова замена сим-карты в Екатеринбурге. Снова поездка в офис, снова взломанная почта, снова попытки вывести деньги из Яндекс.Кошелька. Но не успевали мошенники, мало было у них времени на смену паролей, кодовых слов и т.д. Вроде обошлось. Но… тарам-пам-пам… на следующий день сим-карту заменили снова! И после восстановления в том же офисе на Маяковской через 50 минут заменили еще раз! При этом времени у преступников было уже достаточно, чтобы поменять телефоны и кодовые слова в почтовых ящиках. Всего было взломано три почтовых ящика, и выведено 20 тыс рублей из Яндекс.Кошелька. Очень важно - никто из сотрудников не мог объяснить как обезопасить себя от мошенников. По моей просьбе, после третьей смены на моем договоре поставили flash-пометку: смена сим-карты только владельцем и только в Москве, на Маяковской. После четвертой смены, когда московский сотрудник связался с Омским (где была произведена последняя замена, что говорит о том, что проблема не в Екатеринбурге, а во всем Сибирском филиале) на вопрос дословно «а ты не смотрел на flash-пометку о запрете смены сим?» Был дан ответ «не-а». Я уж не говорю о бессмысленности установки кодовых слов.

Все разы приходил человек, есть ее данные. Она приносила липовую нотариальную доверенность с нечетной печатью от МОСКОВСКОГО нотариуса. И каждый раз сотрудники в нарушение инструкции не проверяли нотариуса и подлинность доверенности. И ни у кого не возник вопрос - зачем мне так часто менять сим-карту да еще в разных городах!

Наверняка история Вам известна, ведь даже по словам сотрудников Билайн в приватной беседе это происходит несколько раз в день и якобы это проблема всех федеральных операторов. И по их же словам бороться бесполезно - максимум накажут кого-то из сотрудников, но всю цепочку не найдут.

Получается, что мы полностью беззащитны - ведь к симкам привязаны и банки, где люди хранят значительно более крупные суммы денег. И госуслуги, где содержится практически вся жизнь человека. А с точки зрения оператора - «есть доверенность, юридически все правильно, с сотрудником поговорим». Получается, остановить это безумие невозможно.

В итоге пришлось переоформить номер на другого человека, что, правда, тоже не дает никаких гарантий - посмотрим, что получится…

Мне кажется случай вопиющий, мы настолько зависим от наших телефонов, а они настолько, как выяснилось, уязвимы… А сделать с этой системой невозможно, получается, ничего. Может быть стоит Вам опубликовать статью на эту тему?

P.S. Тем временем история получила продолжение - при этом продолжение явно указывает на причастность именно Билайна - «украли» аналогичным образом в сибирском же филиале сим-карту у бывшего мужа, он был прошлым владельцем моего номера. Никаких данных о нем у Яндекса не было, то есть это не Яндекс «слил» информацию мошенникам. И это явно не совпадение. Ощущение полной безысходности...».

История, конечно, феерическая и выглядит скандально. И скандал вполне состоялся, в течение дня я ознакомился с этим делом четырежды: два раза прислали ссылку в твиттере, ссылку разместил у себя господин Адагамов, и в качестве «контрольного выстрела в голову» мне написала в почту сама пострадавшая. Настойчивость принесла свои плоды, ситуацию откомментировал генеральный директор Билайн Михаил Слободин:

«Мы решили поделится с Вами результатами проверки, в результате которой было установлено, что замены сим-карты были произведены на основании предъявления нотариально оформленной доверенности. Так действуют все операторы: при операциях замены сим-карт в офисах «Билайн» всегда требуется личное присутствие владельца сим-карты с предъявлением паспорта либо его представителя с нотариально оформленной доверенностью. Учитывая, что данный абонент уже не первый раз становится объектом подобных попыток — когда ее сим- карту пытаются получить третьи лица, видимо, у нее имеются недоброжелатели и она стала мишенью для целенаправленных действий некоей организованной преступной группы, в силу чего мы порекомендовали ей обратиться в правоохранительные органы для защиты своих прав и законных интересов, и привлечения виновных лиц к ответственности, в свою очередь мы готовы оказать всестороннюю поддержку. Скорее всего, доверенность, на основании которой была произведена замена сим-карты, была получена незаконным путем. Компания готова оказать максимальную поддержку правоохранительным органам, в случае если клиентка туда обратится и будет возбуждено дело. Для нас это вопрос чести. В данный момент мы также проводим подробный инструктаж сотрудников офисов на предмет более внимательного отношения по случаям замены сим-карт на основании доверенности. Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию».

Вот теперь у нас с вами есть о чём предметно поговорить. Искренне сочувствую пострадавшей, но в ситуации действительно лучше бы разбираться правоохранителям. Что касается нас с вами, то попробуем извлечь из этого случая максимальную пользу и сделать выводы. Руководству Билайн тоже невредно было бы вплотную заняться процедурными вопросами, грабежи электронных кошельков и банковских карт с заменами симкарт через «липовые» доверенности становятся эпидемией. Разберем очевидные «проколы», которые приводят к таким печальным последствиям.

Напомним цитату из ответа: «... Кроме того, рассматриваем возможность изменить процедуру, и по обращению клиентов не производить замену их сим-карт на основании доверенности. Для данного абонента мы уже реализовали эту опцию». Что-что вы, извините, «реализовали»?! У всех операторов уже N лет существует опция запрета любых действий с SIM-картой по доверенности. Билайн — не исключение, см. скриншот выше по ссылке на сайт Билайн. Изобретать велосипед не нужно, он давно придуман. Понятно, что генеральный директор не обязан и физически не может разбираться в тонкостях всех процедур, но ведь ответ явно кто-то готовил? И этот «кто-то» либо катастрофически некомпетентен, либо сочиняет сказки для минимизации вреда. Обе версии (а других нет) мне очень не нравятся.

Похоже, что вышеупомянутый «запрет» носит рекомендательный характер (сообщение на карточке номера) и системно не препятствует замене SIM-карты по доверенности. Если так, то с этим нужно что-то делать, «человеческий фактор» необходимо исключать. Хотя бы частично, каким-нибудь ярко-красным предупреждающим окном при запуске процедуры замены SIM-карты, чтобы сотрудник понимал, что сознательно идёт на грубое нарушение. Но лучше бы прямым запретом на уровне системы. Например, замену только с обязательной загрузкой скана паспорта владельца номера, современным системам распознавания «прочитать» фамилию не проблема. Да мало ли какой «шлагбаум» можно придумать в век современных технологий? Дело-то серьёзное, это не про «три копейки пропали с баланса!».

Телефонный номер пострадавшей Анны ярко засвечен в сети, десятки поисковых выдач. С именем и информацией о том, что человек занимается интернет-проектами, и, вполне возможно, какие-то платежи проходят через баланс номера или привязанные к нему кошельки. Я не пытаюсь утверждать, что это спровоцировало «набеги» в данном конкретном случае, но соблюдайте простое правило: публикуемый в сети номер телефона категорически нельзя использовать для любых финансовых операций, подтверждений аккаунтов и т. п. И место такой SIM-карты только в примитивной звонилке без всяких интернетов, точка.

Возможность заменить SIM-карту в другом регионе — конкурентное преимущество и дополнительное удобство, в МТС и МегаФоне это невозможно. Но, как видим, подводные камушки присутствуют и контролировать процесс сложнее. Опять вопрос автоматизации на уровне системы: повторная замена SIM-карты меньше чем через час в другом регионе не должна была сработать. Этот велосипед тоже давно придуман банками и прекрасно «ездит».

При замене SIM-карты по доверенности можно хотя бы «пробивать» паспорт по базе данных ФМС на предмет кражи или потери документа, кто-нибудь это делает? А стоило бы.

Ещё один велосипед реализован коллегами, невредно присмотреться. Например, в МТС при замене SIM-карты система отправляет на номер СМС о заявке на смену карты и ждёт 5 минут, сократить это время сотрудник не может технически. Если успеть позвонить в контактный центр, то замена блокируется.

Если не успеете позвонить в эти 5 минут, то всё равно в течение суток после замены на SIM-карте заблокирована вся мобильная коммерция и установлен запрет на прием и отправку СМС. C точки зрения взлома кошельков, смены паролей и т. п., новая SIM-карта в течение 24 часов — бесполезный кусок пластика. Также в течение этих суток новая SIM-карта мгновенно блокируется по звонку с жалобой в контактный центр неважно с какого номера без всякой бюрократии с идентификациями. И такой блок снимается только при личном визите владельца номера. Неудобство для легитимного пользователя, но вероятность воровства денег снижается на порядок, если не на два порядка.

Не сомневаюсь в том, что существуют и успешно действуют другие «предохранители», нужно использовать все возможности, а не ждать жареного петуха с острым клювом. Это относится и к коллегам-операторам, наверняка у каждого есть как свои ценные ноу-хау, так и прорехи. Почему бы не скооперироваться для разработки максимально защищенных процедур? Слишком много всего финансово-банковского сейчас «завязано» на SIM-карту. А сотрудники офисов и салонов — не криминалисты и не почерковеды, для них замена симки - рутинная и беспроблемная процедура. Уверен, что к приёму платежей многие подходят с куда большей ответственностью, это же деньги!

Пока копался в вопросе и писал текст, подоспела информация о «промежуточном финише». Пишет Олег Бармин, руководитель службы социальных медиа Билайн:

«Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анна Знаменская. Об этом она написала на своей личной странице в Фейсбуке.

Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я также прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.

Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов – это не только главный принцип работы, но и вопрос Чести».

Возвращаясь к вопросу о жареном петухе и процедурах. Я, конечно, безмерно рад, что в Билайн наконец-то решили заняться вопросом вплотную, и надеюсь, что наш «разбор полётов» подскажет что-то полезное. Например, для начала, хотя бы опыт блокирования на 24 часа SMS и мобильной коммерции на заменённой SIM-карте, уж это наверняка легко внедрить. Досадно, что о безопасности клиента всерьёз задумываются только по итогам встречи с тем самым жареным петухом. Но лучше поздно, чем никогда.

Сергей Потресов ([email protected])

Опубликовано - 24 сентября 2015 г.

Поделиться

Мы в социальных сетях:

Новости:

13.05.2021 MediaTek представила предфлагманский чипсет Dimensity 900 5G

13.05.2021 Cайты, имеющие 500 тысяч пользователей из России, должны будут открыть местные филиалы

13.05.2021 Amazon представила обновления своих умных дисплеев Echo Show 8 и Echo Show 5

13.05.2021 МТС ввел удобный тариф без абонентской платы - «МТС Нон-стоп»

13.05.2021 Zenfone 8 Flip – вариант Galaxy A80 от ASUS

13.05.2021 Поставки мониторов в этом году достигнут 150 млн

13.05.2021 Состоялся анонс модной версии «умных» часов Samsung Galaxy Watch3 TOUS

13.05.2021 Tele2 выходит на Яндекс.Маркет

13.05.2021 OPPO представила чехол для смартфона, позволяющий управлять устройствами умного дома

13.05.2021 TWS-наушники с активным шумоподавлением Xiaomi FlipBuds Pro

13.05.2021 В России до конца следующего года появится госстандарт для искусственного интеллекта

13.05.2021 ASUS Zenfone 8 – компактный флагман на Snapdragon 888

12.05.2021 Компания Genesis представила внешность своего первого универсала G70 Shooting Brake

12.05.2021 В России разработан высокоточный гироскоп для беспилотников

12.05.2021 В Россию привезли новую версию смарт-часов HUAWEI WATCH FIT, Elegant Edition

12.05.2021 Раскрыты ключевые особенности смартфона POCO M3 Pro 5G

12.05.2021 Honor 50: стали известны дизайн и другие подробности о смартфоне

12.05.2021 Чипсет Exynos 2200 от Samsung будет устанавливаться и в смартфоны, и в ноутбуки

12.05.2021 МТС начала подключать многоквартирные дома к интернету вещей

12.05.2021 iPhone 13 будет толще и получит более крупные камеры по сравнению с iPhone 12

12.05.2021 Xiaomi договорилась с властями США об исключении из чёрного списка

12.05.2021 Xiaomi выпустила обновлённую версию умного пульта Agara Cube T1 Pro

Hit

12.05.2021 Игровые ноутбуки с NVIDIA GeForce RTX 3050 Ti уже в России!

12.05.2021 Индийский завод Foxconn сократил производство в два раза

12.05.2021 Lenovo отказалась от очного участия в предстоящем в июне Mobile World Congress

Подписка
 
© Mobile-review.com, 2002-2021. All rights reserved.