rss

Профиль компании

Финансовые компании

Блог компании Positive Technologies | Береги симку смолоду

Недавно стало известно, что со счетов бывшего чиновника, находящегося в СИЗО, неожиданно пропали 25 миллионов рублей.

 Как выяснилось, злоумышленники предъявили поддельный паспорт в офисе «Билайн» и заказали дубликат сим-карты. Ну, а дальше дело техники! Получив доступ к номеру, мошенники зашли в личный кабинет онлайн-банка и в течение двух недель планомерно выводили средства со счетов жертвы. Улов киберпреступников составил почти 25 миллионов рублей. Похищенные средства затем обналичивались в банкоматах.

 Как не стать жертвой угонщиков сим-карт

Береги симку смолоду



В настоящее время сим-карта не только дает доступ к сети мобильного оператора. Номер телефона, зашитый в сим-карте, является ключом к многочисленным онлайн-сервисам и приложениям (электронной почте, мессенджерам, социальным сетях, сервисам электронных и банковских платежей). И этот ключ надо беречь!

 Имея на руках вашу сим-карту, злоумышленники могут получить доступ к детализации переговоров (в личном кабинете оператора связи), вашим перемещениям (в сервисах Google и Apple), денежным средствам (как в случае с экс-чиновником Митволем), переписке, контактам и т.д.

 Но сначала давайте разберемся, каким образом ваша сим-карта может оказаться в руках киберпреступника. Произойти это, чаще всего, может в двух случаях: при краже мобильного телефона или при осуществлении перевыпуска вашей сим-карты в офисе оператора связи.

 Минимизируем последствия от кражи мобильного телефона

Чтобы минимизировать последствия от кражи мобильного телефона, установите запрос PIN-кода сим-карты. Кроме того, установите запрос пароля телефона при его включении. Только не забудьте, что пароль должен быть надежным, и идентификация по отпечатку пальца или лицу его не заменит.

Как мошенники перевыпускают чужие сим-карты

 В случае перевыпуска чужой сим-карты возможны две мошеннические схемы.

Киберпреступник может перевыпустить вашу сим-карту по договоренности с коррумпированным сотрудником салона сотовой связи. Стоит отметить, что сотрудники салона связи не уполномочены выявлять поддельные паспорта и доверенности. Более того, у них довольно часто отсутствует четкая процедура идентификации клиента.

Во втором случае, мошенник сначала выясняет паспортные данные владельца сим-карты. После этого он подделывает доверенность от лица владельца сим-карты или его паспорт. С указанными документами злоумышленник приходит в салон сотовой связи, где осуществляет перевыпуск сим-карты.

Как узнать, что вашу симку подменили

На мошенничество с подменой сим-карты может указывать ряд тревожных сигналов. Если вы заметили что-либо из нижеперечисленного, немедленно обратитесь к своему оператору сотовой связи.

  • Bас заблокировали в онлайн-аккаунтах, привязанных к вашему номеру телефона.
  • Ваш телефон постоянно теряет связь, или вы не можете принимать звонки или текстовые сообщения даже при хорошем сигнале.
  • На телефон приходят уведомления о действиях, которые вы не совершали.


Минимизируем последствия от перевыпуска сим-карты

Запрет на перевыпуск сим-карты без личного присутствия

В первую очередь следует установить запрет на перевыпуск сим-карты без вашего личного присутствия. Уточните у вашего оператора сотовой связи, каким образом происходит данная процедура. Ряд операторов позволяет установить запрет на перевыпуск сим-карты дистанционно через USSD-запрос. Однако, в некоторых случаях все же потребуется посетить офис и написать заявление.

Личный пароль для перевыпуска сим-карты

Кроме этого заявления, операторы связи предлагают пользователям создать личный пароль, зная который можно будет перевыпустить сим-карту. Такой пароль является аналогом кодовому слову при идентификации клиента в банках.

Отключение смс-оповещений с кодами авторизации после перевыпуска сим-карты

Некоторые банки и операторы связи также предлагают опцию временного отключения смс-оповещений с кодами авторизации после перевыпуска сим-карты. Если злоумышленнику, получившему дубликат вашей симки, не будут приходить коды авторизации, он не сможет получить доступ к вашим сервисам или приложениям.

Отключение возможности оплаты через SMS 

Злоумышленники могут снять деньги с вашей карты путем отправки SMS-сообщений на короткий номер банка. Чтобы предотвратить данный вид мошенничества, следует позвонить в банк и отключить возможность оплаты через SMS. Оставьте возможность отплаты только через мобильное приложение банка или онлайн-сервис. Чтобы ими воспользоваться мошеннику потребуется дополнительно знать данные вашей банковской карты, а это не всегда возможно.

Отдельный номер телефона для банковских продуктов

Используйте для мобильных банков отдельный номер телефона, который вы не используете при телефонных звонках, общении в мессенджерах и соцсетях. Мошеннику будет сложно связать номер для банковских продуктов с вашей личностью.

Двухфакторная аутентификация без СМС-кодов

Используйте двухфакторную аутентификацию везде, где это возможно. Двухфакторная аутентификация — это использование второго фактора защиты, помимо обычного пароля. Вторым фактором может быть смартфон, коды из СМС, пароли из приложения-генератора, физический токен и другие. Наименее надежными считаются коды из СМС, которые в случае перевыпуска сим-карты сразу попадут к злоумышленникам.  Поэтому лучше не использовать СМС-коды, отдавая предпочтения альтернативным факторам аутентификации.

Пользуйтесь банками, которые заботятся о безопасности клиентов

Изучите отзывы о банках в интернете. Отдавайте предпочтение тем банкам, которые используют современные методы противодействия мошенничеству и ответственно относятся к безопасности средств клиентов.

Безопасное хранение средств

Узнайте в своем банке о способах безопасного хранения средств, установите необходимые лимиты для снятия наличных и операций в интернете. Держите на карточных счетах ровно столько средств, сколько требуется на повседневные нужды. Тогда вы не лишитесь всех накоплений из-за действий кибермошенников.

Не сомневайтесь – блокируйте!

Наконец, если вам кажется, что ваша банковская карта (ее коды), возможно, была скомпрометирована – не бойтесь ее заблокировать. Лучше потом перевыпустить карту, чем потерять свои деньги.

 

Оставайтесь в безопасности!

 

★44
59 комментариев
со счетов бывшего чиновника, находящегося в СИЗО, неожиданно пропали 25 миллионов рублей.

вор у вора дубинку украл
avatar
dnmsk ☮, Все, что нажито непосильным трудом :) 
avatar
Когда делал дубликат симкарты как-то, то сразу в интернет-банк перестало пускать. Пришлось в офис лично ехать, чтобы прописали новую симку. Так что не все так просто…
avatar
Вполне возможно, что его просто прессанули и он сам всю инфу по активам предоставил. Давно работает система по выявлению пассажиров с деньгами и их изъятию. Известный случай — Валерий Пшеничный писал записки жене — «никому и ничего не плати». В итоге нашли мёртвым в СИЗО со следами пыток и изнасиловний. Камеры, конечно, не работали.
avatar
Маркиз Лафайет, СИЗО тоже разные бывают Спецблоки 77/5 и 99/1 вообще и ином мире существуют

avatar
Маркиз Лафайет, есть идеи как не оказаться на его месте ?…
Геннадий Абрамов, быть бомжом
avatar
Маркиз Лафайет, в таком раскладе риск огрести от других бомжей за территорию не выше?

Маркиз Лафайет, изучил сам тему «русского Илона» и с юристом пообщался, получается он имел дело с крупным оборон заказом и имел за это сотни миллионов рублей при это не хотел делиться с организаций из 3 букв + у него была секретная инфа вот и порешила его организация из 3 букв. Дело куда он вязался и как себя вел уже априори суицидальное учитывая в какой он стране жил. Пытки в тюрьмах и сизо слышал, но вот насмерть это впервые и как понимаю это очень далеко не рядовой случай . 

Резюме :
имеешь сотни миллионов 
или выполняешь оборон заказ тебе следует очень хорошо просчитать ириски. .

Преступление считается когда удалось украденные деньги обналичить в банкомате. Если не станет наличных денег, то и преступление не удастся завершить. Всегда можно откатить средства обратно со счетов куда они перечисляоись.
Нал это зло. Только воры любят тишину.
avatar
sergik99, можно на крипту поменять или товар купить и через курьера получить
avatar
Sergio Fedosoni, Цифровой рубль будет зачислен на чей то счет. Всегда можно списать его обратно с этого счета. Например владельца крипты, который вам её продаст.
Ну и курьер цифровой рублт в кармане не унесет
avatar
sergik99, те же яйца только в профиль — так можно у банка было списать
в нашем случае этот пострадавший Олег Митволь — ктож его прессовать то решится....
а вот маякнуть на волю дружкам типа есть маза — могли запросто
ну и копию паспорта добыть тоже несложно
----------
Ранее чиновник заключил досудебное соглашение со следствием и был готов возместить материальный ущерб в полном объеме. 
1ярд возместить готов!!!
---------
и об этом вся страна знала, кстати подозреваемого задержали — но это все как в описанном мною кейсе
smart-lab.ru/blog/380098.php
avatar
sergik99, раб есть раб.
avatar
Насколько я знаю, были уже истории с перевыпуском симки и последующим судом. Сумма тоже несколько миллионов. И суд сказал, что виновен ОпСоС. Потерпевшему постановил всë возместить.
avatar
mr. regik, верно, по сути суд просто начинает исследовать всю цепочку проверок безопасности, которые должно инициировать каждое звено. Какое звено прокололось первым — то звено и оплачивает банкет. В 90% случаев это опсос, в 9% случаев это клиент, и в 1% или меньше — виноват банк. Банк всегда последнее звено, и почти всегда не виноват, к тому же его протоколы предельно просты. Поэтому всегда следует сразу же начинать с претензионной работы с опсосом, который либо повёлся на социальный инжиниринг, либо не проконтролировал работника. Сразу после досудебки подавать иск к опсосу, а банк и работников уже он пусть привлекает. Или, если хочет, обращается к ним с регрессным иском.
avatar
Озвучьте список крупных банков и операторов, соответствующих критериям. Их нет.
avatar
Сам Митволь и организовал вывод средств тайком от СК РФ, обоснованно опасаясь конфискации имущества.
avatar
А вот если симка была бы оформлена на юрлицо, то фокус не пройдёт
avatar
Дмитрий, есть специальные операторы закрывающие такие проблемы — человека что с паспортом, что с доверенностью сразу примут, управление паролями идет — т.е. если сам потерял приходишь в любой офис билайна называешь цифровой код — его вводят в программу (большинство персонала даже не слышала про такую возможность) и выдают вам чистую симку, списанную со склада, на нее уже удаленно управляющий комутатором приземляет номер  
рядовые сотрудники билайна не видят ни владельца, ни какой либо инфы вообще.
заплатить на него тоже правда непросто — Опсс под санкциями — через сбер только и то криво
avatar
Sergio Fedosoni, это типа вирт оператор симок с повышенной секьюрностью?

avatar
4kk, нет это коммутатор билайна в аренду у ФСО ( для сотрудников разных структур)
fso.gov.ru/struct/sssi/

г
ражданская версия этого дела представлена вот этой  компанией
sbis.ru/contragents/7735538045/770101001

лет 20 уже — но особе не афишируется
avatar
Дмитрий, самое главное запретить действия без личного присутствия. Опсос при этом присылает смски, их стирать не надо. Вуаля, у вас в телефоне юридически железобетонное доказательство запрета. Плюс можно сделать распечатку биллинга, где эти смс будут отражены.
avatar
Если симкарта юрлицу принадлежит, то её не обслуживают на любом углу. Специальный менеджер назначается, и телодвижения по этим симкам может делать узкий круг лиц внутри сотового оператора. Документы там надо делать для этого. Вобщем, это не такой фаст-фуд, как физлицу, которое может на любом углу любые манипуляции со своей симкой сделать
avatar
Дмитрий, как раз доверку от юрлица несложно подделать, она не нотариальная
avatar
Бенджи, Альфа
avatar
Да что вы говорите...
Самое основное заключается в том, что никто не будет перевыпускать симки всем подряд. Точка входа — это банк. Ну иногда ОПСОС (который продает данные сомнительным контент-провайдерам) или почтовый ящик (в последнее время крайне редко). Менеджер сливает нужным людям информацию о лоховатом нуворише (кто разжился деньгами, но не знаниями о том, что в СНГ банках их не безопасно хранить), а дальше дело техники. Могут и симку перевыпустить, и доверенность сделать и так далее. В целом, переход расчетов в онлайн даже снизил уровень наиболее опасной преступности. Теперь клиента можно ограбить без острой необходимости бить его по голове, и при этом не светиться перед камерами. Усиление мер ИБ (запрет перевыпуска сим карты без сдачи анализов в офисе опсоса и в присутствии банкира и т.д.) скорее приведет к обратному: придется чаще выезжать за клиентом или кем-то годящимся в заложники, чтобы встреть около дома. И с этим тоже ничего не поделать. 
Личный пароль для перевыпуска сим-карты

Вот про это кстати не знал, спс.

Но главное, что убережет деньги и нервы — это просто не хранить в банках сумму, которая привлечет людей, которые и симку могут перевыпустить, и с паяльником прийти («себестоимость» таких услуг довольно низкая по сравнению с добычей). Очень приблизительно — уровень риска — от 5 млн руб., высокого риска — от 10 млн. Обо всех таких счетах рано или поздно станет известно охотникам, и, если клиент, предварительно пробитый, не представляет опасности для них — то за него возьмутся. Банки и опсосы, разумеется, стараются минимизировать риски (проверка сотрудников, ограничение доступа, усложнение процедур по переводу средств и т.д.), но, если коротко, мяч в этой игре, увы, на стороне плохих парней.
З.Ы.
Напишите еще отдельную статью про телефоны. Там вообще беда, особенно сейчас, когда поставки почти все серые. Прошивки огромного количества телефонов (хоть кнопочных) содержат зловредов, которые скрытно воруют коды из СМС, пуши, контакты, данные… В общем, если есть возможность — старайтесь приобретать телефоны у производителей и поставщиков, которые в плохом не замечены. Даже те производители, которые ушли из России, ограничения на регион пока не ставили и кириллицу из прошивки не выпилили. Покупка айфона или самсунга у официального дилера в турции сильно снижает риски ИБ.
avatar
Market Mover, у вас параноя
avatar
4kk, параноики выживают
что он написал что вызывает у вас отторжение?

все буквально китайские телефоны идут с дырами безопасности с авито.
это для вас новость?

разве что сумма 5 мио… для москвы довольно низкая, но для региона вполне.

тот же сбер не регистрирует отказ от установки приложения.
чтобы приложение банковское нельзя было в принципе установить и авторизироваться.

казалось бы все просто — пишешь заявление и авторизация через телефон НЕ РАБОТАЕТ.

но нет)
отвязать номер телефона от счета в банке НЕЛЬЗЯ).
вообще оставить без номера телефона.
можно только ПОМЕНЯТЬ на другой)
avatar
netqual, зачем вам логин? Всместо логина во многих интенет банках используют номер карты. С учетом взвломов всяких озонов, яндексов такси и возможностью узнать номер карты, наверное это делается банками, для того чтоб проще было деньги у клиента увести.
avatar
Почему то есть убеждение, что никакие заявления на запрет выпуска сим карты по доверенности не сработают. Только у теле2 это делается легко, в билайне раза 4 приходилось в заявления писать — они все терялись. Вася из салона за пару лямов пеервыпустит хоть што.
    Единственное решение — покупать симку у банка, тогда ответственность только его. 
     Совет: «Узнайте в своем банке о способах безопасного хранения средств, установите необходимые лимиты для снятия наличных и операций в интернете. Держите на карточных счетах ровно столько средств, сколько требуется на повседневные нужды.» ну так себе. Лимиты меняются в интенет банке, а карточный счет также пополняется со вклада.
    Некоторые банки при смене симки не дают пользоваться интернет банком, пока с новой картой лично банк не посетишь.
avatar
Ну это Билайн. В МТСе, после смены симки, от банков не приходят СМСки еще три дня. А при поддельном паспорте надо еще и свою рожу в паспорт вклеить.
avatar
А то, что бывший чиновник, такую схему и провернул. Такой вариант не рассматривается? «Все сворованное, украли мошенники. Отдавать нечего»
  
avatar
Есть ещё способ «потерять» СИМку. Долго не пользоваться (от 90 дней). Потом ее отдают новому абоненту. Если к ней уже привязан онлайн банк, то можно многое сделать.
avatar
Zerich121, не так быстро. симку все равно дадут новую и банки ее заблочат, но конечно можено ее разблочить зная уст данные клиента и кодовое слово
avatar
Спасибо за напоминание, хорошие советы

avatar
 Тут получается уже примерно как с сигналкой на авто, если вор захочет украсть — всегда украдет, но задача сделать на этом пути столько помех, чтобы вор заколебался и пошел угонять другую тачку
avatar
Александр Е, именно. 
avatar
сейчас как правило у всех банков блокпосле перевыпуска, там передается imsi и банк чекает, также запрет на перевыпуск по доверке и перевыпуск только в центральном офисе, я сделал лет 5 назад в мегафоне,  обычным заявлением в любом офисе. сплю спокойно. для параноиков надо еще пин на сим поставить на случай кражи физической трубки. ну и кодовые слова итд…
avatar
4kk, пин не параноикам а прямо всем. Толку что вы запретили перевыпуск сим, если сперев у вас телефон, можно сим вставить в другой, скачать приложухи основных банков и пытаться сбрасывать пароль. Новый придëт по смс, логинимся в приложухе и обнуляем счета на дропа. Со счëта дропа сразу покупаем бетховены. И всë. 
avatar
есть ведь электронные симки. Выпустил и скачал себе через госуслуги, прикольная вещь.
avatar
Чтобы не стать жертвой, надо чтобы банки на серьёзных щах заявили: двухфакторная идентификация является 100% гарантией безопасности личного кабинета без каких либо НО и ЕСЛИ. Ваша задача просто не сообщать посторонним номер, приходящий в СМС. 
Но почему то банки так не говорят!!! Элементарно, когда я получал карту, сотрудница банка держала её в руках, а значит она знает её номер, имя владельца, дату и cvv код. Потенциально она может воспользоваться этими данными в 3 часа ночи 9 месяцев спустя, оплатив товар на сайтах без 3дсекьюра и подтверждения оплаты смс.
Как взломать ЛК?!.. Лично я вариантов не вижу. Но мне не нравится, когда банк позволяет вместо логина вводить номер карты! Как минимум он упрощает видевшему этот номер жизнь. Далее, у многих при вводе 3 кратно неверного пароля блокируется ЛК на 30 минут. Вопрос: почему в таких случаях не приходит смс о попытке несанкционированного доступа?! Вопрос риторический! Допустим номер карты знаем, пароль в виде татухи на плече абонента рассмотрели в бане… Остаётся 1 барьер — смс код. И вот тут непонятно как без помощи ОБСОСА решить задачку! А если именно ОБСОС сольёт нужные мошеннику данные, то надо вызывать полицию, писать заявление на банк, который проворонил деньги и пусть он разбирается сам с ОБСОСАми лично, это уже его проблемы, потому что ответственность за сохранность денег несёт он, ОБСОС здесь посредник. Формально банк должен тоже подать иск на ОБСОСА, и тот должен возместить всё хозяину симки, если тот не компроментировал смс пароль от банка (а он не должен это доказывать, это должна доказывать полиция).
Но есть ещё такая фигня как мобильные приложения, которых я лично сторонюсь. Причина банальна: облегчённый вход без смс. А когда уже вошёл в это дерьмо, то формально любые действия банк признает как от имени владельца. Вот здесь и зарыты горшочки с золотом для реальных леприконов! Банк в случае любой пропажи денег отделается стандартным «вы скомпроментировали персональные данные» и вам останется с полицейским-робокопом искать призрак Киева в надежде их вернуть. 

Поэтому, пока банки не вышли с заявлением о 100% безопасности двухфакторной идентификации, лучшим доказательством которой является отсутствие жертв с момента её появления… не храните больших сумм с использованием информационных технологий! Делайте по-старинке, офис, договор, вклад, чек, тогда никакие ОБСОСЫ не смогут до этих денег добраться, а если и смогут, виноват всегда будет банк и суд вы выиграете за 5 сек.
avatar
Жёсткий Ястреб, во первых идентификация не двухфакторная по факту в банках.
потому что ПАРОЛЬ СБРАСЫВАЕТСЯ по номеру телефона и СМС.

Так что нет второго фактора в виде пароля.
А есть его профанация — симулякр.
avatar
Антон Б, первый контур — придуманный пароль, второй — высланный через смс, поэтому двухфакторная.
avatar
Жёсткий Ястреб, забытый пароль сбрасывается через высланный смс же.
так что да но нет
avatar
Антон Б, так они по умолчанию считают, что владелец телефона, читающий смс — есть хозяин личного кабинета, забывший пароль. Такая же фигня и в приложении, где смс при входе вообще не требуется. Поэтому есть чёткое предписание — потерял телефон — блокируй сим — блокируй карту.
С другой стороны, тут же пример комичной ситуации… Перевожу сотку через СБП с банка в банк по одному и тому же номеру телефона в личном кабинете банка через комп. После подтверждения операции через смс, блокируется личный кабинет и отменяется операция, выскакивает сообщение что «вам позвонит оператор для установления личности»… Глупость процедуры состоит в том, что я скидывал деньги на тот номер телефона по которому он позвонит, и получается операция происходит между своими счетами, просто банки разные, и в чём тут мошенничество остаётся только догадываться))) Но мне такая осторожность банка даже импонирует

А по поводу восстановления пароля, глупость конечно, что его можно восстановить через смс, тогда и входить в кабинет можно через смс просто набирая вместо логина номер телефона клиента… Косяк банка.

Надо чётко выставить требования для всех банков: ввод своего пароля (неизвестного никому кроме владельца) и ввод смс кода для подтверждения. И исключить возможность восстановления пароля без обращение в отделение банка с паспортом и мобильником — вот тогда верняк!
А ещё ЦБ РФ пора принять закон, по которому банки несут всю ответственность за сохранность и пропажу денег. Но они и там найдут выход из положения, введя страховку от потери денег (условные 100 рублей с каждого), но систему безопасности оставят прежней))))
avatar
Жёсткий Ястреб, это не глупость — так сделано специально.
и это означает что фактор один — владение номером телефона и получение sms.

единственный способ это иностранный оператор для банка.
сим карта иностранная.
отдельная только для банка-банков.

ее сложнее в РФ подделать.

avatar
Антон Б, есть более продвинутые способы получить смс, где ваша симка регается в роуминге по imsi через межоператорорную систему  систему соглашений и получается смс по их внутреннему протоколу, история знает такие случаи, впрочем это экзотика, связанная с взломом зарубежного опсоса.
avatar
4kk, за 25 миллионов рублей как в топике такую атаку сложно провести.
гораздо сложнее чем на симку выпущенную в РФ.

сложнее — дороже, дольше, и больше риск не удачи.

в случае этой атаки смс придет и владельцу.
и у него останется время что-то предпринять.
а не как в топике 2 недели не в курсе.
avatar
Бенджи, госуслуги это просто электронная подпись и верификация на сайте у сотовых операторов. Всё через личный кабинет у оператора.
avatar

теги блога positivetechnologies

....все тэги



UPDONW
Новый дизайн