С начала мая наблюдается всплеск мошенничества, связанный с заменой SIM-карт по поддельным паспортам и доверенностям в салонах сотовой связи — для доступа к личным кабинетам в интернет-банках. Об этом «Известиям» рассказал источник, близкий к Центробанку. По словам собеседника, за последние две недели крупные банки зафиксировали порядка 150 подобных жалоб от граждан, их ущерб оценивается в несколько миллионов рублей.
Источник опасается, что мошенники в скором времени могут переключиться на корпоративных клиентов банков (для этого им нужно будет получать SIM-карты главных бухгалтеров, имеющих доступ к интернет-банкам), и тогда объемы хищений значительно возрастут. Перед посещением салонов связи мошенники с помощью вредоносных компьютерных программ (в основном «троянов») узнают логины и пароли — но для операций нужны одноразовые пароли, которые в большинстве случаев приходят на мобильный телефон. По словам источника, главным образом среди пострадавших — клиенты крупных банков (не ниже топ-40 по активам). Он указал, что в ближайшие недели представители регулятора встретятся с банкирами для обсуждения возникшей проблемы и выработки оперативных методов борьбы со злоумышленниками.
Всплеск мошенничества происходит как раз после ужесточения правил ЦБ по части удаленного банкинга. С 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты (izvestia.ru/news/584182).
— Но поскольку ЦБ пока не прописал четких правил для банков, введя требование, эти новые нормы исполняют только банки из первой сотни по активам — и то не все, а те, кто исполняет, делают это по своему разумению, — указывает источник. — Крупные банки с марта ведут базу мобильных телефонов клиентов с фиксацией уникальных идентификаторов SIM-карт (IMSI-коды — International Mobile Subscriber Identity). При смене IMSI банки перестают проводить удаленные операции по мобильному номеру — до тех пор, пока клиент не позвонит в банк. По звонку личность клиента установят, внесут в базу его новый IMSI, и тогда проведение трансакций через интернет снова станет возможным. Кроме того, сотовые операторы стали оповещать банки о смене их клиентом IMSI, правда, на коммерческой основе. Банки в рамках партнерства с мобильными операторами направляют им списки телефонов своих клиентов с IMSI — без других идентификационных данных, и при смене IMSI операторы сразу же предупреждают банки.
Таким образом, возможно, что мошенники получили списки номеров банковских клиентов. В пресс-службе Сбербанка заявили, что госбанк одним из первых на рынке внедрил контроль замены SIM-карт еще в 2012 году и использует его как один из инструментов предотвращения и выявления мошенничества.
— Сбербанк со своей стороны активно развивает внутренние системы безопасности, среди которых: ограничение лимитов по рисковым операциям, онлайн-выявление подозрительных операций, пресечение вывода денежных средств со счетов и онлайн-информирование клиентов, — рассказали в пресс-службе банка. — Также Сбербанк развивает взаимодействие с участниками рынка, среди которых операторы сотовой связи (контроль смены владельца номера и замены SIM-карты), эксперты по кибербезопасности (выявление потенциально скомпрометированных логинов интернет-банка и проактивное оповещение клиента), производители мобильных устройств, антивирусов и операционных систем (совместная работа по повышению безопасности). Налажена работа с правоохранительными органами. Мы помогаем выявлять киберпреступников и пресекать их деятельность. За последние полгода при содействии Сбербанка ликвидированы две преступные группы.
В пресс-службе банка «Зенит» отметили, что попытки мошенничества, связанных с заменой «симок», находятся на стабильно низком уровне.
Представители Минкомсвязи и ЦБ не предоставили официальных комментариев.
Александр Ковалев, замгендиректора Zecurion, которая специализируется на IT-безопасности, указывает, что изготовить фальшивые доверенности не составляет труда — тем более их никто никогда не проверяет на подлинность.
— С паспортами немного сложнее, но опять же в салоне работают далеко не сотрудники полиции, поэтому и качество фальшивого паспорта может быть средним, — указывает Ковалев. — Для изготовления подделок высокого качества связи в ФМС, нотариате.
В компании Digital Security отметили, что относительная простота изготовления поддельных документов, с помощью которых возможен данный тип мошенничества, — это полбеды.
— Основная же проблема, на которой строится эта схема, — возможность перевыпуска SIM-карты в любом отделении оператора связи, где осуществлять надлежащую проверку предоставляемых документов и контроль над сотрудниками оператора не представляется возможным, — отмечают в Digital Security.
Представители операторов «большой тройки» заявили «Известиям», что возможность проведения финансовых операций через интернет предоставляет своим клиентам банк, и поэтому именно он должен обезопасить клиента от мошенничества, связанного с заменой SIM-карт.
— Мы можем предоставить банку сервис по информированию банка о смене SIM-карты, — заявили в пресс-службе «Мегафона». — Кроме того, мы предлагаем банкам специальное решение, которое оперативно позволяет информировать о смене SIM-карты у абонента, чтобы предотвратить незаконный перевод денежных средств через личный кабинет клиента банка. Услуга «Статус» в первую очередь полезна в том случае, когда необходимо получить актуальную информацию о привязке SIM-карты абонента к сети оператора по номеру телефона, который абоненты часто используют в своем мобильном банке. Также мы строго регламентируем все внутренние процессы по смене SIM-карты. При обращении клиента в офис оператора с просьбой заменить карту через доверенность сотрудник офиса в обязательном порядке проверяет доверенность и документы обратившегося. После этого заполняется заявление, которое в дальнейшем хранится у оператора. Также в рамках процедуры по замене при обращении с доверенностью сотрудник салона должен позвонить на номер телефона, по которому планируется замена. Для дополнительной защиты «МегаФон» недавно ввел следующее правило: в течение суток после замены SIM-карты у абонента не подключена возможность мобильных переводов.
— Совершение звонка не решит проблему в полной мере, — считают в пресс-службе «ВымпелКома» («Билайн»). — Абонент потерял карту — понятно, что в этом случае ответа не будет. Телефон находится вне зоны обслуживания — тоже ответа не будет. Как поступать в этом случае? А если просто не будет ответа? Отказывать в замене? На каком основании? Но при этом всё это создаст дополнительную нагрузку на сотрудников оператора связи. Проблема, на наш взгляд, не в деятельности операторов связи, а в деятельности банков. Если банки будут проводить надлежащую удаленную идентификацию своих клиентов, то не потребуется никаких дополнительных действий третьих лиц, чтобы обеспечить безопасность банковских услуг. Считаем, что нужно ужесточить требования для банков при оказании ими услуг и обязать проводить идентификацию, которая не допускала бы возможность списывать денежные средства со счетов банка посторонним лицам.
В пресс-службе компании МТС заявили, что необходимость доработки законодательства для борьбы с мошенническими заменами SIM-карт потребует обсуждения со всеми участниками рынка банковских и финансовых услуг.
— В 2014 году МТС предприняла меры, снижающие риск вывода денежных средств с банковских и абонентских счетов за счет неправомерной смены SIM-карты: тогда у нас запущено SMS-уведомление на «новую» и «старую» карты при замене последней, блокировка на одни сутки входящих и исходящих SMS-сообщений при замене SIM-карты по доверенности, а также блокировка на двое суток на вывод денежных средств с лицевого счета в рамках сервиса мобильной коммерции. В ближайшее время мы предложим банкам специальный продукт, который на первом этапе позволит банкам в режиме реального времени получать от нас информацию о наступлении событий: о смене IMSI, расторжении абонентского контракта, блокировке SIM-карты, смене ее владельца и номера. На втором этапе реализации этого технического решения банки будут получать информацию о возможном заражении мобильного устройства вредоносным ПО, а также о переадресации SMS-сообщений и звонков. Кроме того, мы обсуждаем с участниками рынка возможность создания «горячей линии», которая позволит банкам и операторам связи эффективно взаимодействовать по фактам подозрительных действий или мошенничеств.
Банкиры, в свою очередь, хотели бы увеличения регулятивных требований к операторам связи.
— Необходимо вводить более жесткие требования к сотовым операторам по оформлению контрактов, а также передаче номеров старой номерной базы, — отмечает директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков. — Например, в Иркутске был случай, когда гражданин получил номер с привязанным к нему личным кабинетом из крупного госбанка и сам себе перевел 11 тыс. рублей. Новый эффективный способ повышения безопасности клиентов — отправка push-уведомлений на мобильные устройства клиента для подтверждения трансакции. Эти уведомления кодируются в интернет-трафике и приходят, минуя незащищенный канал доставки SMS,- а значит, являются более защищенными. Многие банки регистрируют IMSI, но при смене аппарата клиентам нужно вновь проходить верификацию. В Турции проблема борьбы с мошенниками, которые охотятся за «симками», решена так: SIM-карта гражданина жестко привязана к устройству, и дубликат без предъявления самого аппарата получить нельзя. Если же старый номер привязали к новому устройству, «пару» нужно будет перерегистрировать в банке. К борьбе с мошенничеством, связанным с заменой SIM-карт, можно подключить и Росфинмониторинг.
Вице-президент банка «Открытие» Юрий Божор говорит, что нужно на законодательном уровне ввести обязанность для сотрудников компаний-сотовых операторов проверять достоверность данных, предоставленных россиянами при обращениях в офисы для замены SIM-карт. Как отмечает Божор, замена SIM-карт не должна производиться без предварительного разрешения сотрудников службы безопасности мобильных операторов.
Ковалев из Zecurion отмечает, что в прошлом году Центробанк зафиксировал более 300 тыс. операций за год на сумму более 3,5 млрд рублей. В этом году ущерб, по прогнозам Ковалева, может увеличиться всего на 10–15%, притом что рост операций через интернет-банки и количества их пользователей, по разным оценкам, составит 35–50%.