В салонах связи продаются сим-карты с приданым

- kbrbank

В салонах связи продаются сим-карты с приданым

Приобретя новый мобильный номер, возможно в нагрузку получить доступ к чужому банковскому счету. Механизмы противодействия этому известны в далеком прошлом, но не все банки ими пользуются.

Разбираемся в обстоятельствах происходящего.

В ходе проекта «Города на связи» на Banki.Ru я большое количество езжу по городам России и беру в том месте сим-карты всех операторов связи. В большинстве случаев, это громадная четверка, но бывают и исключения. К примеру, в Казани, где имеется собственный оператор «Летай». Приблизительно у трети сим-карт ощущается присутствие бывших обладателей. Приходят SMS очевидно личного характера, звонят коллекторы, шлют оповещения об акциях магазины.

Но недавний «улов» в Самаре был совсем уж необычным. К сим-карте одного из операторов был привязан деятельный SMS-банк одного из наибольших финучреждений страны. На номер не только приходили оповещения об операциях, но и трудилось меню, что разрешало выполнять операции по переводу средств и оплате услуг.

Судя по данным из SMS, номер был привязан к карте Maestro, принадлежащей пенсионеру.

Изучение вопроса продемонстрировало, что подобные случаи, мягко говоря, не единичны. Меньше всего хотелось бы поднимать панику и именовать основных виновников торжества (мы готовы дать банкам тайные комментарии.— Bankir.Ru), но это тысячи случаев в масштабах страны и не самые мелкие банки. Неприятность еще и в том, что при выведения средств их обладатель спохватывается через чур поздно, по причине того, что оповещения о транзакциях кроме этого приходят новому обладателю номера.

Из-за чего это происходит?

У операторов по окончании определенного времени бездействия начинает тикать часовой механизм, в рамках которого баланс симки скоро обнуляется

Сейчас операторы быстро сократили срок помощи карт с нулевым либо отрицательным балансом. Во многих случаях речь заходит о трех месяцах, а в среднем по рынку — о полугоде. Довольно часто сим-карта стоит в телефоне второй, человек с нее не звонит и не пишет, а применяет лишь для регистрации в различных учреждениях.

И, положив на счет маленькую сумму, больше не пополняет. У операторов же по окончании определенного времени бездействия начинает тикать часовой механизм, в рамках которого баланс симки скоро обнуляется. Затем номер отключается и поступает в продажу.

Клиент вставляет сим-карту в телефон — и приобретает массу новостей из судьбы прошлых обладателей.

Тимур Юнусов, начальник отдела безопасности банковских совокупностей компании Positive Technologies, считает, что метод противодействия проблеме очень несложен — проверка ICCID (физического идентификатора сим-карты). Вся схема выглядит так: банк заключает контракт с операторами связи, каковые поставляют ему в настоящем времени информацию о том, на какую физическую сим-карту будет послана SMS, и, в случае если идентификатор отличается от той, что в базе данных, одноразовый пароль не придет.

Таковой вид проверки безопасности уже трудится во множестве банков. Но у него имеется кое-какие недочёты. Во-первых, банк может не обмениваться данными с каким-то определенным оператором связи. К примеру, с тем, что только что вышел на рынок одолжений связи (исходя из этого еще просто не охвачен), либо с тем, что не употребляется в регионе работы банка.

В этих обстоятельствах не будет проходить проверка, банк-и сим карт не сможет отследить их смену.

Многие банки используют анализ ответов на специальные HLR-запросы для отслеживания фактов перевыпуска сим-карты

Вторая неприятность — возможность клонировать сим-карты в следствии атак на GSM/SS7, что разрешает клонировать сим-карту с сохранением ее физического идентификатора. Но для того чтобы типа атаки сложны в эксплуатации и требуют особой подготовки.

Глеб Чербов, помощник главы департамента аудита защищенности компании Digital Security уточняет, что многие банки используют анализ ответов на специальные HLR-запросы для отслеживания фактов перевыпуска сим-карты. В основном это делается для борьбы с фродом, основанном на перевыпуске сим-карт по поддельным документам, вместе с тем трудится и для случаев с переходом номера второму обладателю.

Вправду, опрошенные нами клиенты многих банков жаловались, что кроме того замена сим-карты без смены обладателя свидетельствует необходимость подтверждения личности через колл-центр либо кроме того в отделении банка, без которого каждые формы ДБО неосуществимы. «Мы „видим” замену сим-карты. Так, третье лицо не возьмёт доступ к д/с клиента — бывшего обладателя номера»,— говорит Жанна Каплун, пресс-секретарь Альфа-банка.

Но не все банки одинаково внимательны.

Что делать клиенту, в случае если деньги со квитанции утекают в непонятном направлении?

Метод действий установлен законом «О национальной платежной совокупности». Когда клиент банка определил о компрометации электронного средства платежа (похищена либо утеряна карта, заблокирована сим-карта и т. п.), в тот же либо на следующий сутки он обязан сказать об этом в банк.

В интересах самого клиента лично явиться в отделение банка и написать заявление

С момента поступления для того чтобы сообщения банк начинает отвечать за мошеннические платежи, в которых употребляется скомпрометированное средство платежа.

Дмитрий Кузнецов, директор по стандартизации и методологии компании Positive Technologies, уточняет, что метод передачи для того чтобы сообщения устанавливает банк в правилах оказания услуг, и значительно чаще клиентам предлагается звонить в колл-центр банка. Но в интересах самого клиента, кроме для того чтобы звонка, лично явиться в отделение банка и написать заявление. В некоторых конфликтных случаях нужно иметь документированное подтверждение того, что он вовремя сказал банку о компрометации средства платежа.

Что угрожает за опыты с чужими деньгами?

Будем откровенны: в то время, когда тебе в руки попадает чужой счет с кругленькой суммой, появляется соблазн мало к нему приобщиться. Но делать этого лучше не следует.

По содержанию такое правонарушение подобно мошенничеству с применением платежных карт (статья 159.3 УК РФ)

Да, опыт говорит, что при увода маленьких сумм банки предпочитают не тратить время на их поиски. И все же ответственность за такие «шалости» ничем не отличается от того, что угрожает за очевидную уголовщину.

Вопрос лишь, по какой статье УК РФ оно будет квалифицировано. В формулировке, совершенно верно обрисовывающей обстановку (вывод средств с чужого счета средствами мобильного банка), квалифицировать это воздействие сложно. Дмитрий Кузнецов говорит, что по собственному содержанию такое правонарушение подобно мошенничеству с применением платежных карт (статья 159.3 УК РФ), но в силу формулировок эта статья к такому виду правонарушений используется редко.

Так что в большинстве случаев правонарушения квалифицируются либо как «мошенничество» (статья 159 УК РФ), либо как неправомерный доступ к защищаемой законом информации (статья 272 УК РФ).

Последнее время обсуждается законодательная инициатива приравнять «электронные деньги» к бумажным и квалифицировать такие правонарушения как кражи (статья 158 УК РФ). Как как раз будет квалифицировано правонарушение и какая ответственность за него наступает, зависит от конкретных событий.

Все идет к тому, что сим-карты совсем переселятся вовнутрь смартфонов, и подключение к оператору станет чисто программной операцией

Особенный случай — в то время, когда человек выводит со собственного счета средства, поступившие ему в следствии неточности либо сбоя платежной системы. ГК Российской Федерации относит таковой случай к неосновательному обогащению и обязывает получателя средств вернуть их обладателю. В случае если получатель уклоняется от выполнения данной обязанности, то, кроме возврата средств, ему угрожает еще и уплата процентов за незаконное применение не принадлежащих ему денежных средств.

Кстати, тут еще одна лазейка для любопытных мошенников: в случае если у человека уже имеется счет в том же банке, он может заявить, что принял чужие деньги за собственные. И это, как ни необычно, срабатывает в суде.

Дальше — больше

на данный момент все идет к тому, что сим-карты совсем переселятся вовнутрь смартфонов, и подключение к оператору станет чисто программной операцией. Тогда HLR-запросы окажутся ненужными, и нужно будет придумывать какой-то механизм, отслеживающий переход самого аппарата от обладателя к обладателю.

Разумеется, что любую дыру возможно найти и залить бетоном. Но само количество дыр растет в геометрической прогрессии, и нечайно с ностальгией отыщешь в памяти времена, в то время, когда для сохранности средств требовался всего лишь достаточно тяжелый сейф с надежным замком.

ЗАМЕНА SIM КАРТЫ, ОБЫЧНАЯ НА MICRO-SIM В САЛОНЕ СВЯЗИ. МОЙ ОПЫТ

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: