Большинство украинских мобильных абонентов используют припейд-связь. И в следствие этого — абоненты анонимны, компания-оператор не владеет данными о том, кому именно принадлежит данная SIM-карта, только данными об устройстве, его локации и т.д.
Как сообщает Ain, несколько раз в стране пытались ввести обязательную регистрацию припейд-абонентов, но эти идеи остались на стадии проектов, часто наталкиваясь на критику, мол, государство хочет деанонимизировать пользователей.
Однако есть один случай, когда такая привязка абоненту необходима: если он использует свой припейд-номер для авторизации в важных онлайн-сервисах: интернет-банкинге, основной почте и т.д.
Почему нельзя привязывать анонимный номер к интернет-банкингу или почте?
Многие сервисы, вроде Facebook или Gmail, предлагают привязать телефонный номер к аккаунту для большей безопасности.
Крупнейший по числу пользователей интернет-банкинг «Приват24» авторизует своих пользователей в два этапа: после ввода пароля пользователю предлагается ответить на звонок робота, сосканировать QR-код или подтвердить авторизацию в приложении.
Это означает, что если мошенникам удается получить контроль над SIM-картой, они фактически получат доступ ко всей цифровой жизни абонента: соцсетям, рабочей и личной переписке, деньгам. А процедура восстановления для анонимной припейд-карты — недостаточно сложная, чтобы ею не пользовались мошенники.
Киевлянка Анна Карачинцева недавно столкнулась именно с такой мошеннической схемой. Пока она была за рубежом, мошенники перерегистрировали ее SIM-карту на себя и очистили ее банковские счета на общую сумму в 256 000 грн. Подобные случаи нередки и за пределами Украины: инженер из криптостартапа BitGo потерял $100 000, когда мошенники перерегистрировали его SIM-карту, пока он спал.
Кто за это отвечает?
После разбирательств, заявления в полицию и публикаций в СМИ банк вернул Анне деньги. Но ни банк, ни оператор не обязаны ни обеспечивать безопасность такого доступа, ни компенсировать ущерб.
«В договоре оферты оператора написано, что компания не несет ответственность в подобных случаях, и у нее нет способов со 100% гарантией идентифицировать анонимного пользователя припейда, который пришел менять якобы свою SIM-карту», — говорит телеком-эксперт Роман Химич. С ним соглашаются и юристы.
«Истребить такой вид мошенничества росчерком пера какого-нибудь слуги народа будет довольно сложно, так как и оператор, и банки в данной ситуации работают в рамках закона… Если мы хотим уйти от такого вида мошенничества здесь и сейчас – надо запретить SMS-авторизацию», — говорит Денис Береговой, партнер Axon Partners.
Действительно, в договорах публичной оферты операторов (т.е. условиях, по которым соглашается работать абонент, когда покупает услугу) есть обязанность оператора, к примеру, не допускать взлом своих сетей или хранить тайну телефонных разговоров, но нет ничего об обеспечении безопасности финансового номера.
Сами операторы говорят о том, что нежелательно использовать номер, которым абонент делится со всеми, как финансовый. И рекомендуют регистрировать SIM-карту, чтобы менять ее можно было только по паспорту.
Кстати, «Vodafone Украина» недавно закрыл услугу удаленного восстановления SIM-карты именно из-за активизации мошенников.
Как зарегистрировать свой номер?
У всех украинских мобильных операторов есть процедура привязки анонимного номера к паспорту его владельца. Она более-менее одинакова у всех операторов: нужно заполнить заявку, где указать свои паспортные данные и номер, который абонент хочет таким образом зарегистрировать.
Для идентификации может использоваться также и паспорт в виде ID-карты, водительское удостоверение, загранпаспорт. Затем пойти в фирменный магазин оператора, где сотрудники примут заявку, предъявить документ, удостоверяющий личность. С этого момента заменить SIM-карту можно будет только, придя в магазин лично и показав документы.
Но есть и более радикальные методы защиты доступа к почте и счетам. Можно привязывать такие сервисы к номеру, который куплен специально для этого и нигде не «светился».
В этом случае придется постоянно иметь при себе два телефона. Или же использовать аппаратный токен для авторизации: на подобных USB-устройствах, к примеру, можно хранить зашифрованные электронные подписи. Они могут использоваться и вместо пароля, и вместе с ним.
На самом деле угон SIM-карты — это только частный, хоть и распространенный случай мошенничества с использованием мобильной связи в цепочке авторизации.
Ведь и SMS, и звонки могут поступать фактически не с того номера, с которого совершаются: мошенники могут представляться сотрудниками банка, звоня с телефонов, которые выглядят похоже или идентично банковским.