В России набирает обороты новый вид мошенничества с сим-картами, который позволяет хакерам получить доступ к номеру телефона и моментально переводить деньги из банковских приложений. В новой схеме скомбинированы несколько ранее известных, причем это тот случай, когда обман сложно доказать, следует из обзора компании ESET, занимающейся разработкой антивирусных решений (материалы распространило агентство «Пиархаб»).
Первый этап работы мошенников — создание фейкового аккаунта. «На черном рынке покупаются неживые аккаунты, которые на первый взгляд не отличаются от настоящих: созданы несколько лет назад, есть фото, не засвеченные в поиске по картинкам Google и «Яндекса», контент редко, но обновляется. Создается видимость принадлежности аккаунта живому человеку», — указывают в ESET.
На следующем этапе злоумышленники подбирают жертв атаки социальной инженерии с помощью рекламного кабинета и поиска в Facebook и Instagram, причем ищут они не пенсионеров или блогеров с большим количеством подписок, а предпринимателей, владельцев бизнеса. У этой группы жертв есть деньги, и они не избалованы вниманием, поясняют эксперты.
Третий этап — попытка выяснить номер телефона. Выглядит это так: «Жертве пишет красивая и обязательно одинокая девушка. Нередко она живет в другом городе, но имеет с объектом обмана немного общего (заканчивала тот же вуз, у них совпадают хобби и пр.). Далее мошенник под аккаунтом дружелюбной собеседницы пытается выяснить номер телефона вступившего в переписку. Например, пытается перевести общение в WhatsApp, где всегда виден номер мобильного. Это нужно ради изготовления дубликата сим-карты».
На четвертом этапе изготавливается дубликат сим-карты жертвы. Злоумышленник, получив номер телефона и определив, какому оператору он принадлежит, делает необходимую для этого поддельную доверенность, причем чаще всего заявление на получение дубликата сим-карты подается в небольшом филиале оператора в другом конце страны и часовом поясе.
Заключительный этап — перевод средств. «Получив сим-карту, мошенник сразу обращается в банк, чтобы восстановить пароль от банковского приложения — через кол-центр или в скачанном мобильном банке. Последний рубеж обороны — аутентификация по личному номеру — пройден. Далее происходит перевод всех денег на другой банковский счет», — предупреждают в ESET.
По данным компании, в дополнение аферисты нередко пишут в мессенджерах друзьям и родственникам жертвы, что срочно нужны деньги. Если кто-то переводит средства по привычному номеру на знакомую карту, то их списывают еще раз.
«С точки зрения банков — это даже не мошенничество. Потому что двухфакторные авторизации на сим-картах являются подтверждением личности. Если перевели деньги с помощью вашей сим-карты, значит, это сделали вы. Выходит, что современная сим-карта оказывается важнее и весомее паспорта, а ее кража — опаснее утери основного документа гражданина страны. Все ваши аккаунты, все социальные сети, мессенджеры, банки, сервисы доставки и такси — буквально все завязано на личный номер телефона», — комментирует обозреватель ESET Станислав Жураковский.
Эксперты ESET рекомендуют предпринять несколько шагов, чтобы избежать подобного обмана и не дать мошенникам шанса заполучить сим-карту.
Так, в приложении мобильного оператора необходимо выпустить второй виртуальный номер. «Этот номер будет привязан к основному. СМС будут приходить на основной номер, как и звонки. Стоимость услуги минимальная, но она позволяет получить секретный для всех номер телефона, к которому можно привязать чувствительные сервисы, такие как банки и социальные сети», — рассказывают специалисты.
Кроме того, рекомендуется переключить во всех банках СМС-авторизацию на пуши в приложении: такой способ безопаснее и позволяет получать коды для операций через Интернет, даже если нет самой сим-карты.
Также в ESET советуют подготовить «запрет передоверенности» в офисе мобильного оператора. Такой документ позволяет запретить выдавать дубликат сим-карты без личного присутствия по доверенности. «Это самая уязвимая брешь в персональной безопасности, и стоит устранить ее как можно скорее. Понадобится регулярно продлевать срок действия документа», — подчеркивают в антивирусной компании.
«Не стоит давать номера телефонов малознакомым людям. Лучше вести переписку в зашифрованных мессенджерах, а также давать ссылки на аккаунты или никнеймы, которые не привязаны к номеру личного мобильного телефона», — добавляют в ESET.
Автор материала — Ася Шалимова, выпускающий редактор ленты новостей, Банки.ру
Комментарий Первого заместителя Директора Национальной Службы экономической разведки Липихина Александра Аркадьевича.
Нелегитимный выпуск сим-карт является «головной болью» применительно к целому ряду направлений, в которых требуется двухфакторная авторизация с использованием номера телефона. Главным из этих направлений, безусловно, является использование незакономерно выпущенных сим-карт при хищениях средств с банковских карт и счетов жертвы. Автор статьи совершенно верно указала, что в помощь мошенникам — небольшие отделения операторов связи в маленьких городах и в других часовых поясах. Зачастую компетентность молодых и неопытных сотрудников оставляет желать лучшего, да и их служебные регламенты строго формализованы: есть паспорт, есть доверенность — совершаем любое действие от имени абонента. Это делает перевыпуск сим-карты, оказывающейся в руках мошенника, довольно-таки тривиальным делом. В связи с этим для тех, кто озабочен сохранностью своих средств, есть только одна рекомендация: не полениться приехать в офис своего оператора и написать заявление с просьбой не производить никаких регистрационных действий по доверенностям, а производить только по личному заявлению абонента. На втором экземпляре заявления необходимо поставить дату, подпись сотрудника оператора связи и печать/штамп. Хранить данную копию необходимо, как зеницу ока: в случае, если мошеннические действия будут совершены, вы сможете доказать оплошность сотрудника оператора связи. Это же следует делать при смене портации номера (смене оператора). И, конечно же, будьте бдительны при общении в социальных сетях. Берегите себя!