Опасность перевыпуска сим-карт
Год назад была опубликована история о том, как в течение одного дня абонент сотового оператора три раза оказался в ситуации, связанной с перевыпуском его сим-карты. История стала резонансной, а операторами были введены правила, которые должны были предотвратить возможность доступа мошенников к использованию выданной заново сим-карты. Но, как показала практика, эту уязвимость до сих пор активно эксплуатируют.
Меры, которые приняли сотовые операторы, ставили целью защитить от вывода денежных средств со счетов мобильных телефонов и сделать невозможной использование в первое время после перевыпуска сервисов денежных переводов. Но, как выяснилось, эти меры могут оказаться бесполезными, если клиент использует определенные платежные системы.
Посетитель портала по имени Aleksandr недавно написал, что 14 июля т.г. он получил СМС-сообщение о замене сим-карты. Оправившись от недоумения, он перезвонил в службу поддержки, но в ходе разговора связь прервалась, и дозвониться еще раз со своей сим-карты он так и не смог. Тогда он воспользовался телефоном жены, и, сделав с него звонок в службу поддержки, он заблокировал свой номер. Также он объяснил оператору, что ему не была нужна замена своей сим-карты, что это дело рук мошенников, и оператор заверил, что его номер телефона будет на особом контроле у службы безопасности.
Как писал далее пострадавший, сим-карту заблокировали, в чем можно было удостовериться при звонке на его телефонный номер. Но служба безопасности оператора не помешала мошенникам: пока абонент добирался до офиса продаж, мошенники номер разблокировали, списав деньги со счета в платежной системе WebMoney. В итоге, мошенникам хватило всего часа для преодоления «сопротивления» абонента и представителей службы безопасности сотового оператора.
Вся эта история несет в себе пару ключевых моментов: сотовый оператор оказался не готовым к обеспечению надежной блокировки номера и незащищенность платежного сервиса, который до сих пор предлагает пользоваться двухфакторной аутентификацией как одним из основных средств подтверждения при совершении денежного перевода.
И хотя банки тоже пользуются одноразовыми кодами, пересылаемыми в СМС, сегодня во многих из них внедрена система верификации номера телефона пользователя с учетом уникального номера сим-карты — IMSI. Если клиент меняет сим-карту, банк отключает возможность использования телефона для подтверждения операций до момента, когда клиент обратится в банк. В платежной системе WebMoney такая функция отсутствует, поэтому ее клиенты для мошенников - отличная цель.
Но, как уверен представитель WebMoney Transfer, не так давно защита была в действии. WebMoney реализовала технологию защиты от подмены сим-карт в 2013 году. И с того времени от пользователя, заменившего сим-карту оператора, требовалось прохождение дополнительной процедуры аутентификации для того, чтобы подтвердить свою личность. Но в текущем году проверку IMSI отключали - инициировали это сами операторы сотовой связи, в их числе и МТС. На данном этапе в WebMoney услугу по защите от несанкционированной замены карт предоставляет своим клиентам «МегаФон» и некоторые региональные операторы.
Стоит отметить, что, наряду с авторизацией через СМС, в системе WebMoney можно воспользоваться еще одним способом — E-num. Это приложение, способное защитить доступ пользователя при помощи автоматической генерации кодов: чтобы авторизироваться, пользователь должен иметь уникальный код, который копируется в приложение для получения от приложения код-ответа, с помощью которого проходит аутентификация. Но в рассматриваемом выше случае пользователь работал с СМС-кодами.
Несмотря на то, что договор на оказание услуг связи был заключем абонентом с сотовым оператором, последний, как стало ясно позже, может не отвечать за проблемы, с которыми сталкиваются абоненты в результате мошеннических перевыпусков их сим-карт. Такова суть ответа ПАО «МТС», который абонент, подавший претензию, получил от компании.
Со стороны ситуация выглядит несколько странной: договор с сотовым оператором был заключен клиентом в салоне связи оператора, и отвечать за проблемы должен именно оператор. Но, получается, что он в ответе только за оказание услуг сотовой связи. А все вопросы по перевыпуску карт - это забота организаций-партнера, которой и нужно подавать претензию.
Как считает представитель WebMoney Transfer, в данном случае разговор идет о нарушении законов «О связи» и «О национальной платежной системе». проблема - в недостаточной безопасности процедуры идентификации и доступе случайных лиц к персональным данным клиентов операторов сотовой связи — всем этим в комплексе и пользуются мошенники и преступники. К слову сказать, суды рассматривают много дел против операторов сотовой связи, связанных с возмещением ущерба из-за неправомерного доступа к номерам абонентов.
Но юристы придерживаются другого мнения. По словам руководителя практики интеллектуального и информационного права Юридической группы «Яковлев и Партнеры» Анны Зориной, в ответственность «МТС» и иных операторов связи входит количество, порядок и варианты оказания услуг связи, предусмотренных в договоре с абонентом. Единственное, что можно усмотреть из рассматриваемой ситуации, — это то, что представитель АО «РТК» (коммерческий партнер «МТС»), возможно, нарушил порядок замены сим-карты.
По мнению Зориной, шансы на возврат денег, уведенных мошенниками, ничтожны. Ситуация усугублена тем, что деньги украдены со счета в WebMoney, которая, как говорят юристы, с неохотой идет навстречу своим клиентам.
