Сим-карта на доверии

Фото: Екатерина Кузьмина/РБК

«ВымпелКом» временно запретил своим сотрудникам выдавать дубликаты сим-карт, за которыми абонент не обратился лично. Воровство симок все чаще используется как способ перехвата паролей в интернет-банке.

Телефон как лазейка

Как объяснила представитель компании «ВымпелКом» (бренд — «Билайн») Анна Айбашева, оператор принял меры после расследования, которое провел из‑за жалоб клиентов. Выяснилось, что злоумышленники получают чужие сим-карты, предъявляя поддельные ксерокопии паспортов и нотариальные доверенности, а затем совершают операции по привязанным к телефону денежным счетам.

Одной из пострадавших оказалась директор по цифровым технологиям агентства Mindshare Russia и экс-гендиректор Tinkoff Digital Анна Знаменская: 21 сентября на своей странице в Facebook она рассказала, что в течение месяца ее сим-карту четыре раза выдавали неизвестным лицам, в том числе в Екатеринбурге и Омске. «Месяц назад неизвестные лица получили мою сим-карту в «Билайне» без документов. Пытались вскрыть «Яндекс.Кошелек», хакнули все почты, пришлось поменять все банковские карты, — сообщила она. — Понимаете ли вы, друзья мои, что почта каждого из вас, восстановление ее пароля привязано к телефону? Что на свой номер вы получаете пароли от всех ваших интернет-банков и карт?»

На следующий день после поста Знаменской руководитель службы социальных медиа «ВымпелКома» Олег Бармин также в Facebook признал проблему, сообщив, что мошенники использовали поддельные доверенности, а кроме того, вступили в сговор с бывшими сотрудниками компании. «Этот случай выявил серьезные проблемы в системе замены наших сим-карт, и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями», — написал Бармин.

По итогам расследования «ВымпелКом» не выявил «массового характера подобных мошенничеств, их было всего несколько», подчеркивает Айбашева. Знаменская, по ее словам, возможно, имеет недоброжелателей, поэтому стала мишенью для целенаправленных действий некой организованной преступной группы. Но компания намерена «полностью обновить системную защиту», а пока рекомендует клиентам тщательнее оберегать персональные данные: не выкладывать в публичный доступ номера банковских карт, не оставлять свой номер телефона на подозрительных сайтах.

Представители МТС и «МегаФона» признают, что их клиенты тоже сталкиваются с подобным видом мошенничества. МТС фиксируют лишь несколько случаев в год, уточняет сотрудник компании Дмитрий Солодовников: он считает, что в некоторой степени клиентов защищают уведомления, которые приходят им в СМС, если кто‑то инициирует выпуск новой сим-карты с их номером. В общей структуре обращений от клиентов доля подобных жалоб «ничтожно мала», утверждает сотрудник «МегаФона» Татьяна Зверева. Оператор рекомендует дополнительно подключить бесплатную услугу «Кодовое слово», которое будет запрашиваться при удаленном обращении клиента, а также при совершении процедур, не требующих предъявления удостоверения личности, добавляет Зверева.

В МТС считают отказ от услуги переоформления сим-карт по доверенности ограничением прав абонентов, сообщил пресс-секретарь компании Дмитрий Солодовников. Лучшей страховкой от мошенничества в компании является четкое следование процедурам и работа с персоналом, а не запреты и ограничения, отметил он. С 2014 года в МТС действует блокировка на одни сутки входящих и исходящих СМС при замене сим-карты по доверенности.​

В общей структуре обращений от клиентов доля подобных жалоб «ничтожно мала», утверждает сотрудник «МегаФона» Татьяна Зверева. Оператор рекомендует дополнительно подключить бесплатную услугу «Кодовое слово», которое будет запрашиваться при удаленном обращении клиента, а также при совершении процедур, не требующих предъявления удостоверения личности, добавляет Зверева. Кроме того, абонент может уведомить оператора, что он вообще запрещает выдавать кому-то дубликат своей сим-карты по доверенности — правда, пока эта опция действует только для столичного региона. Полный запрет на выдачу сим-карт по доверенности даже не обсуждается, отметили в пресс-службе.

Банки недовольны

В марте этого года Центробанк расширил положение 382‑П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…», обязав все банковские организации регистрировать устройства, с которых их клиенты будут заходить в мобильный или интернет-банк, — эта мера должна была помешать злоумышленникам использовать «украденные» номера.

Но мера так и не заработала в полную силу, объясняет директор департамента финансового мониторинга и защиты информации Ассоциации участников рынка платежных услуг Наталья Приезжая: закон о защите персональных данных и закон о связи запрещают операторам передавать сведения об устройствах и выдаче сим-карты без письменного согласия абонентов, которое сложно получить по уже выданным сим-картам.

«Мы пытаемся наладить обмен информацией между кредитными организациями и мобильными операторами, но необходимо ввести изменения в нормативные акты», — говорит Приезжая. По ее словам, ассоциация уже обратилась в Роскомнадзор с просьбой войти в положение банков и платежных систем — «диалог идет, но медленно».

Пресс-секретарь «Яндекс.Деньги» Евгения Арнаутова считает, что для такого рода атаки жертва выбирается очень тщательно — мошенник должен узнать не только телефон и паспортные данные человека, но и какой суммой денег он сейчас располагает, «чтобы не стараться впустую». Решение о возвращении денег каждый раз рассматривается индивидуально судом, говорит она. «Иногда суды становятся на сторону оператора, что, конечно, не может быть понятно пострадавшему пользователю. В этой ситуации Национальный платежный совет пытается вести диалог и с Минкомсвязи, и с операторами, но изменений пока нет», — добавляет Арнаутова.

Финансовые сервисы, считает она, многое делают для того, чтобы обеспечить сохранность средств, — постоянно совершенствуют технологии безопасности, но «рынок по‑прежнему ждет активных мер со стороны операторов сотовой связи».

Директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев считает, что воровство сим-карт часто используется как способ перехвата паролей в интернет-банке. «Для предотвращения такого вида мошенничества у нас есть специальная система проверки: в случае замены симки пользователю нужно заявить об этом в отделение банка или по телефону клиентской службы, — подчеркивает Голенищев. — Дубликат карты при желании, к сожалению, довольно легко получить. Иногда это поддельные доверенности, иногда сговор с салонами связи. Проверить и доказать соучастие сотрудников компании-оператора непросто».

Представители Сбербанка и Тинькофф Банка не предоставили комментарии.