Подписаться
Читать в телеграм
Замена SIM-карты жертвы с номером (MSISDN), зарегистрированным для получения доступа в интернет-банкинг – это уже следствие того, что мошенники получили некую наводку на жертву. И только после получения данной информации, мошенники приступают ко «второй фазе» реализации схемы – замены SIM-карты и последующему ее использованию. Иными словами, ключевой вопрос в этой ситуации в том, как злоумышленники получают сведения о средствах на счетах жертвы, ее паспортных данных, привязанном MSISDN и т.д. Кто и каким образом передает ценную информацию по потенциальным жертвам мошенникам? Способов для этого масса, источниками информации могут служить как сами жертвы (проявляющие халатность в хранении своих персональных данных, становящиеся жертвами социальной инженерии и т. д.), сотрудники банков, так и сотрудники специализированных структур, обладающих возможностями получения необходимой информации.
Получение симки по липовым документам – лишь вершина айсберга
Возвращаясь к особенностям мошеннической схемы с использованием подложных доверенностей и замены SIM-карт, следует отметить, что их изготовление не требует каких-то больших усилий и денежных средств. А сотрудники офисов обслуживания операторов связи, в свою очередь, не обязаны (да и не могут) делать заключения о достоверности предоставляемых им доверенностей на выполнение тех или иных действий. Соответственно, такая доверенность может быть изготовлена в любых условиях и являться «не сложной» подделкой. К подделке паспортов для замены или восстановления SIM-карт обычно не прибегают (ведь обычно и простой доверенности хватает). А уж если сотрудник оператора связи в сговоре с мошенником, то все эти «телодвижения» и вовсе перестают иметь сколько-нибудь важное значение.
Второй момент касается того, как использовать полученную информацию. Учитывая то, что сотрудники офисов обслуживания операторов связи не обязаны быть компетентными в проведении проверки на подлинность паспортов или доверенностей (да и возможностей для таких проверок у них нет), то взятки с них, как говорится, гладки. И все, что остается мошенникам – это изготовить фальшивую доверенность на выполнение действий по замене SIM-карты жертвы и в оперативном порядке осуществить доступ в интернет-банк. Увы, оперативности мошенников можно только позавидовать – на это уходит несколько минут. Часто выйдя из офиса обслуживания оператора связи, мошенник садится в машину и на ходу осуществляет вход в интернет-банк, используя для доступа в интернет SIM-карту любого из операторов связи, либо любую открытую точку доступа WI-FI.
Банки и операторы связи в одной связке?
На сегодняшний день мы можем наблюдать общее ужесточение правил ЦБ в части безопасности удаленного банкинга (здесь можно вспомнить, к примеру, вступившие в марте в силу требования по регистрации мобильных устройств, которые клиенты банков используют для доступа в интернет-банк или мобильный банк и пр.). И действительно, в требованиях ЦБ видно правильное направление действий, однако еще правильнее было бы более тщательно их детализировать и ограничиваться не только требованиями к банкам, но и к операторам связи. В противном случае (без сопричастности о стороны операторов) банки сами по себе не являются носителем информации о замене SIM-карты (IMSI). А операторы, в свою очередь, не обязаны предоставлять им эти сведения. Да и вопрос предоставления этой информации тоже спорный: она полезна лишь в случае ее передачи в режиме реального времени (либо близкого к нему) иначе смысл теряется… В этом контексте на операторов связи ложится ответственность (в том числе и финансовая) за реализацию схемы передачи информации, урегулирование юридических вопросов с клиентами (т. к. будут затронуты их интересы по передачи персональной информации третьим лицам).
Когда мошеннические схемы становятся настолько изощренными и состоят из массы звеньев в цепочке событий, предшествующих хищению денежных средств у жертвы, возникает необходимость в неком едином центре, который бы мог аккумулировать в себе информацию от операторов связи и передавать ее в банки. Иначе операторы будут оказывать «помощь» банкам за отдельную плату (что корректно в рамках бизнеса и их трудозатрат) и банки будут дополнительно развивать антифрод-системы. Конечно, крупные банки могут себе это позволить без особого затрагивания своих клиентов (к примеру, платная дополнительная услуга). Но что делать остальным банкам?
Получается палка о двух концах: либо воспринимать потери клиентов и компенсацию им средств (а это в случае физических лиц от 100 000 руб. и более, а в некоторых случаях – и свыше 1 млн руб., для юр. лиц более актуальна проблема получения доступа к ПК) как некий «белый шум», либо активно внедрять и развивать системы защиты от мошенничества, т. к. информирование о смене IMSI – лишь короткое временное решение.
Пока не будет отдельного контроля и координации борьбы с мошенничеством в сфере высоких технологий со стороны государства, остается лишь надеяться на крепкую информационную и экономическую безопасность и IT-подразделения банков, либо на феноменальную бдительность и усидчивость самих граждан.
Палки в колеса мошенников.
Для того, чтобы мошенническая схема работала как часы, необходимо: получить доступ к денежным средствам жертвы и понимать, как эти денежные средства выводить, т. е. подводить к логическому финалу – обналичивание. Есть несколько способов вывода средств со банковских счетов клиентов, один из наиболее «популярных» в России – вывод на мобильные номера телефонов. Почему же именно этот путь так интересен мошенникам? Загвоздка в том, что заполучить SIM-карту любого мобильного оператора с действующим номером и оформленную на вымышленного человека, либо на реального, но без его ведома, не составляет особого труда. Причин несколько, но к массовости подобной ситуации приводит то, какими именно способами происходит продажа SIM-карт, т. е. продажа новых абонентов. Самый прозрачный вариант – это собственные офисы продаж и обслуживания и далее по списку в сторону непрозрачности: розничные ритейловые сети (в основном салоны связи, которые можно встретить на каждом шагу), агенты продаж (оформление SIM-карт на юридические лица от лица компании, либо на себя и дальнейшая реализация уже физическим лицам…) и конечно любые другие каналы продаж, в которые входит и продажа/раздача SIM-карт на улице. Пока существуют 2 последних канала продаж, говорить о прозрачности привлечении новых абонентов не имеет никакого смысла, а соответственно и будет доступен легкий путь вывода денежных средств.
Учитывая количество новых подключенных абонентов ежегодно (до 100 млн.) и количество реальных абонентов (т. е. прирост абонентской базы, примерно 5%), то получаем дельту в районе 95 млн. SIM-карт, которыми по тем или иным причинам перестали пользоваться. Где дилеры обманули самих операторов связи, накрутив на таких номерах начисления для получения вознаграждения, где-то сами абоненты отказались от этих номеров за ненадобностью, а вот часть была использована в мошеннических схемах, направленных как на операторов связи, так и на клиентов банков, да и просто на доверчивых людей с деньгами. И вот какой % брошенных SIM-карт используются под мошенничество сказать сложно, возможно речь о количестве не менее 1 млн. в год.
Сделаем некий вывод в сторону операторов связи: исключить, либо максимально увеличить контроль за каналами продаж, которые он сам не в состоянии контролировать на 99,9%. А со стороны регулирующих органов необходимы систематические контрольные закупки и в случае выявления нарушений – принимать максимально жесткие меры в виде штрафов и т. п. Не будет доступных «левых» SIM-карт – не будет и мошеннических схем с использованием мобильной связи, коммерции, либо риск таких схем сведется к минимуму.
