Теперь внимание мошенников сосредоточено на копиях SIM-карт граждан России

С начала мая зафиксировано учащение случаев преднамеренной замены мошенниками SIM-карт для мобильных телефонов для того, чтобы получить онлайн-доступ к счетам настоящих владельцев этих карт.

Мошенники меняют SIM-карты, пользуясь поддельными паспортами и доверенностями в салонах сотовой связи, что дает им доступ к личным кабинетам в системе интернет-банк. По словам источника, близкого к Центробанку, на протяжении последних 2-х недель в крупных банках зафиксировано примерно 150 жалоб от граждан, ставших жертвами злоумышленников. Объем ущерба, который они понесли составил не один миллион рублей.

Источник выразил опасения, что вскоре мошенники перейдут к корпоративным клиентам банков (для чего придется каким-то образом получать SIM-карты, которыми пользуются главные бухгалтеры, имеющие доступ к интернет-банкам), и тогда следует ожидать существенного роста объемов хищений. Перед тем, как посетить салон связи, мошенники, пользуясь вредоносными компьютерными программами (главным образом, «троянами»), узнают о логинах и паролях — но операции совершаются по одноразовым паролям, которые в подавляющем большинстве, владелец карты получает на мобильный телефон. По словам источника, в числе пострадавших очень много клиентов крупных банков. Но в скором времени состоится встреча представителей регулятора с банкирами, на которой и планируется обсудить возникшую проблему и выработать оперативные методы борьбы с мошенничеством.

Всплеск мошенничеств наблюдается как раз после того, как ЦБ ужесточил правила работы при удаленном банкинге. С 16 марта текущего года началось действие новых требований ЦБ к банкам, направленных на борьбу с мошенниками, работающими в направлении дистанционного обслуживания граждан. Теперь банкам вменена в обязанность регистрация всех устройств, с которых их клиенты заходят в интернет-и-мобильный банки, — предусмотрена невозможность проведения операций с незарегистрированных телефонов, планшетов или компьютеров. Кроме этого, банки обязаны осуществлять блокировку рассылки служебных SMS (одноразовых паролей и пр.), если клиент сменил номер или SIM-карту.

Так как пока Центробанком не прописаны четкие правила для банков, то с введением требования эти новые нормы исполняются только банками, входящими в первую сотню по активам — и то далеко не все, а банки, исполняющие требования, делают это по-своему. С марта т.г. в крупных банках ведутся базы клиентских мобильных телефонов, в которых фиксируются уникальные идентификаторы SIM-карт (IMSI-коды — International Mobile Subscriber Identity). Как только происходит смена IMSI, банки прекращают проведение удаленных операций по номеру мобильного телефона — до звонка клиента в банк. По звонку банк установит его личность, в базу будет внесен новый IMSI клиента, и проведение транзакций через интернет будет возобновлено. Вместе с тем, сотовые операторы теперь оповещают банки о том, что клиент сменил IMSI, правда, эта услуга не бесплатна. Банки при партнерстве с мобильными операторами отправляют им списки клиентских телефонов с IMSI — если идентификационные данные отсутствуют и если произошла смена IMSI, операторы сразу же ставят банки в известность.

Так, может быть, мошенники и получили в свое распоряжение списки номеров мобильных телефонов клиентов банков. По словам представителя пресс-службы Сбербанка, государственный банк в числе первых еще в 2012 году на рынке осуществил внедрение контроля замены SIM-карт и пользуется им как одним из инструментов, предотвращающих и выявляющих попытки мошенничеств. В Сбербанке сегодня идет активное развитие внутренних систем безопасности. Это относится к ограничению лимитов по операциям, связанным с рисками, онлайн-выявлением операций, вызывающих подозрение, пресечением вывода денежных средств с клиентских счетов и онлайн-информированием клиентов. Кроме того, в Сбербанке развивается взаимодействие с участниками рынка -операторами сотовой связи (контролируют смену владельцев номеров и замену SIM-карт), экспертов по кибербезопасности (выявляют потенциально скомпрометированные логины интернет-банка и проактивное оповещение клиентов), производителей мобильных устройств, антивирусных программ и операционных систем (совместная работа, направленная на повышение безопасности), представителей правоохранительных служб. За истекшие полгода Сбербанк содействовал ликвидации двух преступных групп.

По словам представителя пресс-службы банка «Зенит», у них попытки мошенничества, связанные с заменой SIM-карт, сведены к минимуму

По словам Александра Ковалева, заместителя генерального директора Zecurion, специализирующейся на IT-безопасности, изготовление фальшивых доверенностей в принципе, очень несложный процесс, особенно, если учесть, что проверкой их подлинности никто не занимается.

С фальшивыми паспортами работа немногим более сложна, но опять-таки в салонах работают не полицейские, поэтому и качество липового паспорта может быть и низким. Чтобы изготовить высококачественную подделку, нужно иметь своих людей в нотариатах и представительствах ФМС.

В компании Digital Security отмечают, что относительно простое изготовление фальшивых документов, с помощью которых эта разновидность мошенничества, получила распространение, это еще не беда. Главная проблема, на которой и выстроена эта схема, связана с возможностью перевыпустить SIM-карту в любом отделении оператора связи, где не могут должным образом проверить предоставляемые документы и проконтролировать действия сотрудников оператора.

По словам представителей операторов, входящих в «большую тройку», так как именно банк дает клиентам возможность проводить финансовые операции через интернет, то именно он и должен позаботиться о безопасности своих клиентов и их защите от мошенничеств, связанных с заменой SIM-карт.

По словам сотрудника пресс-службы компании «Мегафон», они могут предоставлять банкам сервис, который бы информировал их о смене SIM-карт. Кроме этого, банки могут воспользоваться специальным решением, благодаря которому можно оперативно узнавать о том, что конкретный абонент сменил SIM-карту, для предотвращения незаконного перевода денежных средств в личном кабинете банковского клиента. Услуга «Статус» весьма полезна для получения актуальной информации о привязке абонентской SIM-карты к сети оператора по номеру телефона, которым абоненты часто пользуются в системе "Мобильный банк". Также строго регламентируются все процессы по смене SIM-карты, происходящие внутри. Если клиент обращается в офис оператора и просит, чтобы ему заменили карту через доверенность, офисный сотрудник обязательно должен проверить и доверенность, и его документы. Потом нужно заполнить заявление, которое оператор сохраняет. В рамках процедуры замены при обращении на основании доверенности сотрудник салона совершает звонок на тот телефонный номер, по которому будет произведена замена. Как дополнительная защита в «МегаФоне» недавно введено правило: в течение суток после того, как SIM-карта была заменена, абонент не имеет возможности заниматься мобильными переводами.

В "Вымпелкоме" ("Билайн") считают, что одними звонками проблему полностью не решить. Абонент может потерять карту и тогда ясно, что никто на звонок не ответит. При нахождении телефона вне зоны обслуживания — та же ситуация. Как тогда действовать? А если на звонок просто никто не ответит? Не менять "симку", но по какому праву? Более того, всё это сбудет сопряжено с дополнительной нагрузкой на работников оператора связи. По мнению специалистов "Вымпелкома", проблема не в том, как работает тот или иной оператор связи, а в том, как работает сам банк. Если банк заинтересован в проведении надлежащей удаленной идентификации своих клиентов, то не нужны никакие дополнительные действия третьих лиц для обеспечения безопасности услуг банка. Требуется ужесточение требований для банков, оказывающих услуги и проведение в обязательном порядке идентификации, которая пресекала бы любую возможность списания денежных средств со счетов банка посторонними лицами.

По словам сотрудника пресс-службы компании МТС, необходимо доработать законодательство для результативной борьбы с мошенничествами, связанными с заменой SIM-карт, это должны обсудить между собой все участники рынка банковского и финансового обслуживания.

В прошлом году в МТС были предприняты меры, направленные на снижение риска вывода денежных средств с банковских счетов и счетов абонентов при незаконной смене SIM-карт: тогда компания запустила сервис SMS-уведомлений на «новую» и «прежнюю» карты, если последняя заменяется, суточной блокировки входящих и исходящих SMS-сообщений - если симка заменяется по доверенности, а также 2-суточной блокировки вывода денежных средств с лицевого счета. В самом скором времени вниманию банков будет предложен специальный продукт, с помощью которого на первом этапе банки смогут в режиме онлайн получать от этого сотового оператора сведения о новых событиях: смена IMSI, расторжение абонентом контракта, блокировка SIM-карты, смена владельца SIM-карты и её номера. Второй этап реализации нового технического решения связан с тем, что банкам будет предоставляться информация о том, что конкретное мобильное устройство может быть заражено вредоносным программным обеспечением, а также о запуске услуги переадресации звонков и SMS-сообщений. Наряду с этим с участниками рынка обсуждается возможность создать «горячую линию», которая способствовала бы банкам и операторам связи в эффективном взаимодействии по фактам действий подозрительного характера и мошенничеств.

В свою очередь, финансисты хотят увеличить регулятивные требования к операторам связи.

По словам директора департамента ДБО Бинбанка Александра Новикова, требуется введение более жестких требований к сотовым операторам при оформлении контрактов, а также по передаче номеров из старой базы. К примеру, в Иркутске случилось так, что гражданину был предоставлен номер и привязанный к нему личный кабинет из крупного государственного банка и им было переведено самому себе 11 тыс. рублей. Новый эффективный способ повысить безопасность клиентов — направлять push-уведомления на мобильные устройства клиентов для того, чтобы подтверждать трансакции. Эти уведомления закодированы в интернет-трафике и приходят мимо незащищенного канала доставки SMS, а, значит, они более защищены. Во многих банках налажена регистрация IMSI, но, если клиент меняет аппарат, ему нужно снова пройти верификацию. В Турции по-своему решили проблему борьбы с теми, кто охотится за «симками»: SIM-карту гражданина жестко привязывают к устройству, и получение дубликата в отсутствие самого аппарата не представляется возможным. Если старый номер привязан к новому телефону (планшету и т.п.), требуется перерегистрация "пары" в банке. В борьбу с мошенничествами, связанными со сменой SIM-карт, можно включить и Росфинмониторинг.

По мнению вице-президента банка "Открытие" Юрия Божора, назрела необходимость введения на законодательном уровне обязанности для работников компаний-операторов сотовой связи осуществлять проверку достоверности информации, предоставляемой россиянами, обращающихся в офисы, чтобы заменить SIM-карту. Как отмечает Божор, SIM-карты не должны заменяться, если отсутствует предварительное разрешение сотрудников службы безопасности мобильного оператора.

По мнению Ковалева (Zecurion), в 2014 году Центробанком было зафиксировано свыше 300 тыс. операций на сумму, превышающую 3,5 млрд рублей. В текущем году ущерб, как прогнозирует Ковалев, может показать увеличение на 10-15%, при - по различным оценкам - 35-50%-м росте операций, проводимых через интернет-банки и числа клиентов, их использующих.