Дайте пин, верните кредит. 6 фактов о телеком-шантаже в Украине
Вам звонит человек с номера банка, представляется сотрудником банка и просит назвать пин-код. Или вы внезапно узнаете, что на ваше имя кто-то оформил кредит в интернете. И пришла СМС счастья - мол, пора возвращать деньги.
Знакомая ситуация? Наверняка, вы или ваши знакомые с таким хоть раз сталкивались. Как минимум, точно видели посты у друзей и слышали кучу неприятных историй. LIGA.net рассказывает о телефонном мошенничестве в новом выпуске телеком-технологических Слухов в Шкафу. Гость редакции - телеком-эксперт Роман Химич - объясняет, как мошенники могут увести деньги с помощью подложных номеров и как уберечься от их трюков.
1. Подмена номера входящего - раз плюнуть.
Есть специальные инструменты для подмены номеров в сетях мобильной связи. Человек может подменить номер исходящего звонка, скрывая свой собственный. Это, в частности, активно используется в пранках.
Меня давно интересовало, что может заставить человека уровня Петра Порошенко не просто принять звонок непонятно от кого, но и выслушать, не бросив трубку. Оказалось, все банально: ребята, зная номера телефонов не менее уважаемых людей, используют инструментарий подмены, чтобы жертва априори была расположена поговорить - ведь на экране отображается имя, под которым номер записан в адресной книге.
Инструментарий - это, условно, интерфейс к неким аппаратно-программным комплексам подмены. Для пользователя это может выглядеть, как интернет-страничка, где вы регистрируетесь и вносите оплату. Стоит это очень недорого. Инструментарий позволяет в украинских сетях мобильной и фиксированной связи выполнять подмену номера. Это может быть использовано для атак самого разного вида.
2. “Мама я в полиции” или “Скажите ваш пин-код”.
Первый бич Украины на сегодня - мошенники, которые звонят и представляются кем-то из родственников либо друзьями родственников и, заявляя некую срочную ситуацию, просят денег, чтобы порешать вопросы. “Мама, я в полиции, попал в аварию и т.д.”
Вторая угроза - атаки с целью выманить персональные данные клиентов банковских учреждений для получения доступа к их счетам. Лидером по случаям таких атак является Приватбанк - в силу того, что в начале 2000-х он сознательно сделал ставку на использование общедоступной, бесплатной для него и при этом очень уязвимой инфраструктуры идентификации клиента в мобильных сетях. С одной стороны, это радикально упростило пользование сервисом для клиентов и обеспечило взрывообразный рост и лидерскую позицию банка. К сожалению, обратная сторона - множество проблем с безопасностью данных абонентов.
Масштабов проблемы мы не знаем, потому что банк заинтересован их скрывать. Операторы в этом случае тоже страдают, так как в случае любой проблемы банк отправляет разбираться с ними. Но со сменой правления в том же Приватбанке уже начали признавать свою вину в случае спорных ситуаций, в том числе идти на компенсацию ущерба.
В целом же, в треугольнике “оператор-банк-абонент” в отношении чувствительных операций вроде идентификации и верификации абонента нет полноценных договорных отношений. Операторская инфраструктура используется без уведомления оператора. У него нет никаких договорных обязательств ни перед банком, ни перед абонентом.
3. Скандал с кредитами MoneyVeo - кто виноват?
Предварительно, из того, что я видел, картина следующая. MoneyVeo не выполнял верификацию потенциального клиента. То есть не выполнял процедуру по проверке того, что я - это я. Норма закона предполагает, что это делается непременно при личном контакте при наличии документов. В данном случае операционист финансовой организации выполняет роль биометрического сканера, который смотрит на паспорт, сличает с внешностью заявителя и так выполняет верификацию. MoneyVeo фактически убрал верификацию: человек просто через интернет-форму подает какие-то данные. А чьи это данные, владелец ли их подает - не проверяется. Это первая дырка.
А второй дефект - заявив непонятно чьи данные, человек мог вывести полученные в кредит деньги на непонятно чью карту. Потому что можно было предъявить анонимную карту (банковскую припейд-карту), где не вытеснено имя получателя и его вообще может не быть по факту. Вторая проверка тоже не производилась. В результате взятые в кредит непонятно кем деньги выводились непонятно кому. Крайним оказывался человек, чьи данные предъявлялись.
4. Где можно взять персональные данные людей?
Один из выводов - с персональными данными дикий бардак. Их валом в самых разных источниках. Никакого сколько-нибудь эффективного надзора за их оборотом нет. История с MoneyVeo получила развитие только тогда, когда мошенники начали брать данные на Prozorro. Но только после кейса с Валерием Яковенко из DroneUA это получило широкую огласку.
Все мы регулярно оставляем сканы паспорта в самых экзотических местах. Что с ними происходит дальше, мы не знаем.
Некоторое время назад я разбирался, что происходит с платформой МОЗа eHealth. Дал запрос, учитывались ли требования GDPR. Под него эта система тоже попадает, потому что резидентами Украины, которые обслуживаются в МОЗ, являются в том числе граждане ЕС, которые, выезжая домой, продолжают обращаться к врачу и т.д. Как, по большому счету, и любая онлайн-платформа. Разработчики ответили: надо - значит, будем учитывать. И здесь ладно речь не только о персональной информации. Но что с данными, содержащими медицинскую тайну? Каков порядок их обработки? Кто в конкретном лечебном заведении будет отвечать за то, что наши данные не будут украдены или проданы? Ведь эти данные легко монетизировать - например, целевым маркетингом.
GDPR же требует, чтобы в каждой организации был Chief Data Officer, который лично отвечает за выполнение регламентов. В МОЗе такого не предусмотрено.
5. Средства защиты.
Прекратить практику подмены номеров в сетях телекоммуникации невозможно, потому что ее предоставляют нерезидентские структуры, которые вне правового поля Украины. Они действуют в черную или в серую, и рычагов давления на них нет. Фильтровать такого рода запросы тоже сложно.
Что еще можно сделать - отказаться от практики использования номера для идентификации человека.
Банк не должен использовать СМС-авторизацию. Никто не должен использовать СМС-авторизацию, потому что она легко ломается.
Не все банки используют этот инструмент. Не является секретом, что в Украине банковская система достаточно прогрессивна, что в частности обусловлено тем, что использование таких вот априори слабых инструментов обеспечило гораздо большую простоту, удобство и гибкость. Нам хорошо, до тех пор пока мы не сталкиваемся с обратной стороной медали. До сих пор во многих странах того же ЕС для того, чтобы провести операцию, которую у нас можно сделать в Privat24, нужно прийти в отделение банка. Либо удаленно, но используя аппаратный ключ. По нашим меркам - неинтересно.
ЭЦП не решает эту проблему. Сегодня, как по мне, можно использовать либо аппаратный ключ - когда ты просто подключил его по USB, либо брелок с NFC. То есть некое аппаратное решение, которое достаточно поднести к сканеру, вставить и авторизоваться. Либо то, что сейчас развивают мобильщики - Mobile ID. Когда ЭЦП реализована в более удобной форме - реализована на сим-карте.
Так что, мне кажется, следует принудительно переходить на Mobile ID или аппаратные ключи. Все остальные варианты будут полумерами.
6. Как все-таки попробовать уберечься?
Первое, что нужно зафиксировать в сознании: любой номер сейчас можно подделать. Если вы получаете звонок или СМС от знакомого номера (родственники, друзья или банк), которые вызывают у вас сильные непонятные переживания, допускайте, что это может быть подлог, целенаправленная атака или глупая шутка.
В ситуации, когда вам звонят, а абонента плохо слышно, он пытается что-то рассказать захлебывающимся голосом, сбросьте вызов и перезвоните на этот номер. Потому что перехватить ваш исходящий вызов возможно, но гораздо сложнее. А в случае странных звонков или СМС якобы от банка лучше перезванивать в службу поддержки банка.
Самая дешевая и примитивная атака, когда с обычного номера приходят СМС якобы от Ощадбанка. На такое просто не нужно вестись.
Проблема в том, что технологии развиваются гораздо быстрее, чем эволюционирует культура. Мы слишком медленно учимся, чем и пользуются плохие ребята.