08.11.2018, 17:45

Дайте пин, верните кредит. 6 фактов о телеком-шантаже в Украине


GettyImages

Мошенники прикидываются банками или родственниками, чтобы добраться до наших денег. Где они берут данные и что вытворяют?

Вам звонит человек с номера банка, представляется сотрудником банка и просит назвать пин-код. Или вы внезапно узнаете, что на ваше имя кто-то оформил кредит в интернете. И пришла СМС счастья - мол, пора возвращать деньги.

Знакомая ситуация? Наверняка, вы или ваши знакомые с таким хоть раз сталкивались. Как минимум, точно видели посты у друзей и слышали кучу неприятных историй. LIGA.net рассказывает о телефонном мошенничестве в новом выпуске телеком-технологических Слухов в Шкафу. Гость редакции - телеком-эксперт Роман Химич - объясняет, как мошенники могут увести деньги с помощью подложных номеров и как уберечься от их трюков.

Реклама

1. Подмена номера входящего - раз плюнуть.

Есть специальные инструменты для подмены номеров в сетях мобильной связи. Человек может подменить номер исходящего звонка, скрывая свой собственный. Это, в частности, активно используется в пранках.

Меня давно интересовало, что может заставить человека уровня Петра Порошенко не просто принять звонок непонятно от кого, но и выслушать, не бросив трубку. Оказалось, все банально: ребята, зная номера телефонов не менее уважаемых людей, используют инструментарий подмены, чтобы жертва априори была расположена поговорить - ведь на экране отображается имя, под которым номер записан в адресной книге.

Инструментарий - это, условно, интерфейс к неким аппаратно-программным комплексам подмены. Для пользователя это может выглядеть, как интернет-страничка, где вы регистрируетесь и вносите оплату. Стоит это очень недорого. Инструментарий позволяет в украинских сетях мобильной и фиксированной связи выполнять подмену номера. Это может быть использовано для атак самого разного вида.

2. “Мама я в полиции” или “Скажите ваш пин-код”.

Первый бич Украины на сегодня - мошенники, которые звонят и представляются кем-то из родственников либо друзьями родственников и, заявляя некую срочную ситуацию, просят денег, чтобы порешать вопросы. “Мама, я в полиции, попал в аварию и т.д.”

Вторая угроза - атаки с целью выманить персональные данные клиентов банковских учреждений для получения доступа к их счетам. Лидером по случаям таких атак является Приватбанк - в силу того, что в начале 2000-х он сознательно сделал ставку на использование общедоступной, бесплатной для него и при этом очень уязвимой инфраструктуры идентификации клиента в мобильных сетях. С одной стороны, это радикально упростило пользование сервисом для клиентов и обеспечило взрывообразный рост и лидерскую позицию банка. К сожалению, обратная сторона - множество проблем с безопасностью данных абонентов.

Масштабов проблемы мы не знаем, потому что банк заинтересован их скрывать. Операторы в этом случае тоже страдают, так как в случае любой проблемы банк отправляет разбираться с ними. Но со сменой правления в том же Приватбанке уже начали признавать свою вину в случае спорных ситуаций, в том числе идти на компенсацию ущерба.

В целом же, в треугольнике “оператор-банк-абонент” в отношении чувствительных операций вроде идентификации и верификации абонента нет полноценных договорных отношений. Операторская инфраструктура используется без уведомления оператора. У него нет никаких договорных обязательств ни перед банком, ни перед абонентом.

3. Скандал с кредитами MoneyVeo - кто виноват?

Предварительно, из того, что я видел, картина следующая. MoneyVeo не выполнял верификацию потенциального клиента. То есть не выполнял процедуру по проверке того, что я - это я. Норма закона предполагает, что это делается непременно при личном контакте при наличии документов. В данном случае операционист финансовой организации выполняет роль биометрического сканера, который смотрит на паспорт, сличает с внешностью заявителя и так выполняет верификацию. MoneyVeo фактически убрал верификацию: человек просто через интернет-форму подает какие-то данные. А чьи это данные, владелец ли их подает - не проверяется. Это первая дырка.

А второй дефект - заявив непонятно чьи данные, человек мог вывести полученные в кредит деньги на непонятно чью карту. Потому что можно было предъявить анонимную карту (банковскую припейд-карту), где не вытеснено имя получателя и его вообще может не быть по факту. Вторая проверка тоже не производилась. В результате взятые в кредит непонятно кем деньги выводились непонятно кому. Крайним оказывался человек, чьи данные предъявлялись.

4. Где можно взять персональные данные людей?

Один из выводов - с персональными данными дикий бардак. Их валом в самых разных источниках. Никакого сколько-нибудь эффективного надзора за их оборотом нет. История с MoneyVeo получила развитие только тогда, когда мошенники начали брать данные на Prozorro. Но только после кейса с Валерием Яковенко из DroneUA это получило широкую огласку.

Все мы регулярно оставляем сканы паспорта в самых экзотических местах. Что с ними происходит дальше, мы не знаем.

Некоторое время назад я разбирался, что происходит с платформой МОЗа eHealth. Дал запрос, учитывались ли требования GDPR. Под него эта система тоже попадает, потому что резидентами Украины, которые обслуживаются в МОЗ, являются в том числе граждане ЕС, которые, выезжая домой, продолжают обращаться к врачу и т.д. Как, по большому счету, и любая онлайн-платформа. Разработчики ответили: надо - значит, будем учитывать. И здесь ладно речь не только о персональной информации. Но что с данными, содержащими медицинскую тайну? Каков порядок их обработки? Кто в конкретном лечебном заведении будет отвечать за то, что наши данные не будут украдены или проданы? Ведь эти данные легко монетизировать - например, целевым маркетингом.

GDPR же требует, чтобы в каждой организации был Chief Data Officer, который лично отвечает за выполнение регламентов. В МОЗе такого не предусмотрено.

5. Средства защиты.

Прекратить практику подмены номеров в сетях телекоммуникации невозможно, потому что ее предоставляют нерезидентские структуры, которые вне правового поля Украины. Они действуют в черную или в серую, и рычагов давления на них нет. Фильтровать такого рода запросы тоже сложно.

Что еще можно сделать - отказаться от практики использования номера для идентификации человека.

Банк не должен использовать СМС-авторизацию. Никто не должен использовать СМС-авторизацию, потому что она легко ломается.

Не все банки используют этот инструмент. Не является секретом, что в Украине банковская система достаточно прогрессивна, что в частности обусловлено тем, что использование таких вот априори слабых инструментов обеспечило гораздо большую простоту, удобство и гибкость. Нам хорошо, до тех пор пока мы не сталкиваемся с обратной стороной медали. До сих пор во многих странах того же ЕС для того, чтобы провести операцию, которую у нас можно сделать в Privat24, нужно прийти в отделение банка. Либо удаленно, но используя аппаратный ключ. По нашим меркам - неинтересно.

ЭЦП не решает эту проблему. Сегодня, как по мне, можно использовать либо аппаратный ключ - когда ты просто подключил его по USB, либо брелок с NFC. То есть некое аппаратное решение, которое достаточно поднести к сканеру, вставить и авторизоваться. Либо то, что сейчас развивают мобильщики - Mobile ID. Когда ЭЦП реализована в более удобной форме - реализована на сим-карте.

Так что, мне кажется, следует принудительно переходить на Mobile ID или аппаратные ключи. Все остальные варианты будут полумерами.

6. Как все-таки попробовать уберечься?

Первое, что нужно зафиксировать в сознании: любой номер сейчас можно подделать. Если вы получаете звонок или СМС от знакомого номера (родственники, друзья или банк), которые вызывают у вас сильные непонятные переживания, допускайте, что это может быть подлог, целенаправленная атака или глупая шутка.

В ситуации, когда вам звонят, а абонента плохо слышно, он пытается что-то рассказать захлебывающимся голосом, сбросьте вызов и перезвоните на этот номер. Потому что перехватить ваш исходящий вызов возможно, но гораздо сложнее. А в случае странных звонков или СМС якобы от банка лучше перезванивать в службу поддержки банка.

Самая дешевая и примитивная атака, когда с обычного номера приходят СМС якобы от Ощадбанка. На такое просто не нужно вестись.

Проблема в том, что технологии развиваются гораздо быстрее, чем эволюционирует культура. Мы слишком медленно учимся, чем и пользуются плохие ребята.

Стас Юрасов
Редактор разделов Телеком, Технологии, Свой бизнес
Стас Юрасов
Евгений Шишацкий
корреспондент разделов Технологии, Телеком, Свой бизнес
Евгений Шишацкий
Антон Кобылянский
корреспондент
Антон Кобылянский
Маша Ксендзик
Корреспондент раздела Телеком, Технологии, Свой бизнес
Маша Ксендзик
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.