Мошенники отправились за копиями SIM-карт россиян

С начала мая наблюдается всплеск мошенничества, связанный с заменой SIM-карт по поддельным паспортам и доверенностям в салонах сотовой связи — для доступа к личным кабинетам в интернет-банках. Об этом «Известиям» рассказал источник, близкий к Центробанку. По словам собеседника, за последние две недели крупные банки зафиксировали порядка 150 подобных жалоб от граждан, их ущерб оценивается в несколько миллионов рублей.
Источник опасается, что мошенники в скором времени могут переключиться на корпоративных клиентов банков (для этого им нужно будет получать SIM-карты главных бухгалтеров, имеющих доступ к интернет-банкам), и тогда объемы хищений значительно возрастут. Перед посещением салонов связи мошенники с помощью вредоносных компьютерных программ (в основном «троянов») узнают логины и пароли — но для операций нужны одноразовые пароли, которые в большинстве случаев приходят на мобильный телефон. По словам источника, главным образом среди пострадавших — клиенты крупных банков (не ниже топ-40 по активам). Он указал, что в ближайшие недели представители регулятора встретятся с банкирами для обсуждения возникшей проблемы и выработки оперативных методов борьбы со злоумышленниками.Всплеск мошенничества происходит как раз после ужесточения правил ЦБ по части удаленного банкинга. С 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты.— Но поскольку ЦБ пока не прописал четких правил для банков, введя требование, эти новые нормы исполняют только банки из первой сотни по активам — и то не все, а те, кто исполняет, делают это по своему разумению, — указывает источник. — Крупные банки с марта ведут базу мобильных телефонов клиентов с фиксацией уникальных идентификаторов SIM-карт (IMSI-коды — International Mobile Subscriber Identity). При смене IMSI банки перестают проводить удаленные операции по мобильному номеру — до тех пор, пока клиент не позвонит в банк. По звонку личность клиента установят, внесут в базу его новый IMSI, и тогда проведение трансакций через интернет снова станет возможным. Кроме того, сотовые операторы стали оповещать банки о смене их клиентом IMSI, правда, на коммерческой основе. Банки в рамках партнерства с мобильными операторами направляют им списки телефонов своих клиентов с IMSI — без других идентификационных данных, и при смене IMSI операторы сразу же предупреждают банки.Таким образом, возможно, что мошенники получили списки номеров банковских клиентов. В пресс-службе Сбербанка заявили, что госбанк одним из первых на рынке внедрил контроль замены SIM-карт еще в 2012 году и использует его как один из инструментов предотвращения и выявления мошенничества.— Сбербанк со своей стороны активно развивает внутренние системы безопасности, среди которых: ограничение лимитов по рисковым операциям, онлайн-выявление подозрительных операций, пресечение вывода денежных средств со счетов и онлайн-информирование клиентов, — рассказали в пресс-службе банка. — Также Сбербанк развивает взаимодействие с участниками рынка, среди которых операторы сотовой связи (контроль смены владельца номера и замены SIM-карты), эксперты по кибербезопасности (выявление потенциально скомпрометированных логинов интернет-банка и проактивное оповещение клиента), производители мобильных устройств, антивирусов и операционных систем (совместная работа по повышению безопасности). Налажена работа с правоохранительными органами. Мы помогаем выявлять киберпреступников и пресекать их деятельность. За последние полгода при содействии Сбербанка ликвидированы две преступные группы.Александр Ковалев, замгендиректора Zecurion, которая специализируется на IT-безопасности, указывает, что изготовить фальшивые доверенности не составляет труда —их никто никогда не проверяет на подлинность.— С паспортами немного сложнее, но опять же в салоне работают далеко не сотрудники полиции, поэтому и качество фальшивого паспорта может быть средним, — указывает Ковалев. — Для изготовления подделок высокого качества связи в ФМС, нотариате.В компании Digital Security отметили, что относительная простота изготовления поддельных документов, с помощью которых возможен данный тип мошенничества, — это полбеды.— Основная же проблема, на которой строится эта схема, — возможность перевыпуска SIM-карты в любом отделении оператора связи, где осуществлять надлежащую проверку предоставляемых документов и контроль над сотрудниками оператора не представляется возможным, — отмечают в Digital Security.Представители операторов «большой тройки» заявили «Известиям», что возможность проведения финансовых операций через интернет предоставляет своим клиентам банк, и поэтому именно он должен обезопасить клиента от мошенничества, связанного с заменой SIM-карт.Банкиры, в свою очередь, хотели бы увеличения регулятивных требований к операторам связи.— Необходимо вводить более жесткие требования к сотовым операторам по оформлению контрактов, а также передаче номеров старой номерной базы, — отмечает директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков. — Например, в Иркутске был случай, когда гражданин получил номер с привязанным к нему личным кабинетом из крупного госбанка и сам себе перевел 11 тыс. рублей. Новый эффективный способ повышения безопасности клиентов — отправка push-уведомлений на мобильные устройства клиента для подтверждения трансакции. Эти уведомления кодируются в интернет-трафике и приходят, минуя незащищенный канал доставки SMS,— а значит, являются более защищенными. Многие банки регистрируют IMSI, но при смене аппарата клиентам нужно вновь проходить верификацию. В Турции проблема борьбы с мошенниками, которые охотятся за «симками», решена так: SIM-карта гражданина жестко привязана к устройству, и дубликат без предъявления самого аппарата получить нельзя. Если же старый номер привязали к новому устройству, "пару" нужно будет перерегистрировать в банке. К борьбе с мошенничеством, связанным с заменой SIM-карт, можно подключить и Росфинмониторинг.Вице-президент банка "Открытие" Юрий Божор говорит, что нужно на законодательном уровне ввести обязанность для сотрудников компаний-сотовых операторов проверять достоверность данных, предоставленных россиянами при обращениях в офисы для замены SIM-карт. Как отмечает Божор, замена SIM-карт не должна производиться без предварительного разрешения сотрудников службы безопасности мобильных операторов.В Zecurion отмечают, что в прошлом году Центробанк зафиксировал более 300 тыс. операций за год на сумму более 3,5 млрд рублей. В этом году ущерб, по прогнозам Ковалева, может увеличиться всего на 10–15%, притом что рост операций через интернет-банки и количества их пользователей, по разным оценкам, составит 35–50%.
По данным ohrana.ru 
Источник опасается, что мошенники в скором времени могут переключиться на корпоративных клиентов банков (для этого им нужно будет получать SIM-карты главных бухгалтеров, имеющих доступ к интернет-банкам), и тогда объемы хищений значительно возрастут. Перед посещением салонов связи мошенники с помощью вредоносных компьютерных программ (в основном «троянов») узнают логины и пароли — но для операций нужны одноразовые пароли, которые в большинстве случаев приходят на мобильный телефон. По словам источника, главным образом среди пострадавших — клиенты крупных банков (не ниже топ-40 по активам). Он указал, что в ближайшие недели представители регулятора встретятся с банкирами для обсуждения возникшей проблемы и выработки оперативных методов борьбы со злоумышленниками.Всплеск мошенничества происходит как раз после ужесточения правил ЦБ по части удаленного банкинга. С 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты.— Но поскольку ЦБ пока не прописал четких правил для банков, введя требование, эти новые нормы исполняют только банки из первой сотни по активам — и то не все, а те, кто исполняет, делают это по своему разумению, — указывает источник. — Крупные банки с марта ведут базу мобильных телефонов клиентов с фиксацией уникальных идентификаторов SIM-карт (IMSI-коды — International Mobile Subscriber Identity). При смене IMSI банки перестают проводить удаленные операции по мобильному номеру — до тех пор, пока клиент не позвонит в банк. По звонку личность клиента установят, внесут в базу его новый IMSI, и тогда проведение трансакций через интернет снова станет возможным. Кроме того, сотовые операторы стали оповещать банки о смене их клиентом IMSI, правда, на коммерческой основе. Банки в рамках партнерства с мобильными операторами направляют им списки телефонов своих клиентов с IMSI — без других идентификационных данных, и при смене IMSI операторы сразу же предупреждают банки.Таким образом, возможно, что мошенники получили списки номеров банковских клиентов. В пресс-службе Сбербанка заявили, что госбанк одним из первых на рынке внедрил контроль замены SIM-карт еще в 2012 году и использует его как один из инструментов предотвращения и выявления мошенничества.— Сбербанк со своей стороны активно развивает внутренние системы безопасности, среди которых: ограничение лимитов по рисковым операциям, онлайн-выявление подозрительных операций, пресечение вывода денежных средств со счетов и онлайн-информирование клиентов, — рассказали в пресс-службе банка. — Также Сбербанк развивает взаимодействие с участниками рынка, среди которых операторы сотовой связи (контроль смены владельца номера и замены SIM-карты), эксперты по кибербезопасности (выявление потенциально скомпрометированных логинов интернет-банка и проактивное оповещение клиента), производители мобильных устройств, антивирусов и операционных систем (совместная работа по повышению безопасности). Налажена работа с правоохранительными органами. Мы помогаем выявлять киберпреступников и пресекать их деятельность. За последние полгода при содействии Сбербанка ликвидированы две преступные группы.Александр Ковалев, замгендиректора Zecurion, которая специализируется на IT-безопасности, указывает, что изготовить фальшивые доверенности не составляет труда —их никто никогда не проверяет на подлинность.— С паспортами немного сложнее, но опять же в салоне работают далеко не сотрудники полиции, поэтому и качество фальшивого паспорта может быть средним, — указывает Ковалев. — Для изготовления подделок высокого качества связи в ФМС, нотариате.В компании Digital Security отметили, что относительная простота изготовления поддельных документов, с помощью которых возможен данный тип мошенничества, — это полбеды.— Основная же проблема, на которой строится эта схема, — возможность перевыпуска SIM-карты в любом отделении оператора связи, где осуществлять надлежащую проверку предоставляемых документов и контроль над сотрудниками оператора не представляется возможным, — отмечают в Digital Security.Представители операторов «большой тройки» заявили «Известиям», что возможность проведения финансовых операций через интернет предоставляет своим клиентам банк, и поэтому именно он должен обезопасить клиента от мошенничества, связанного с заменой SIM-карт.Банкиры, в свою очередь, хотели бы увеличения регулятивных требований к операторам связи.— Необходимо вводить более жесткие требования к сотовым операторам по оформлению контрактов, а также передаче номеров старой номерной базы, — отмечает директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков. — Например, в Иркутске был случай, когда гражданин получил номер с привязанным к нему личным кабинетом из крупного госбанка и сам себе перевел 11 тыс. рублей. Новый эффективный способ повышения безопасности клиентов — отправка push-уведомлений на мобильные устройства клиента для подтверждения трансакции. Эти уведомления кодируются в интернет-трафике и приходят, минуя незащищенный канал доставки SMS,— а значит, являются более защищенными. Многие банки регистрируют IMSI, но при смене аппарата клиентам нужно вновь проходить верификацию. В Турции проблема борьбы с мошенниками, которые охотятся за «симками», решена так: SIM-карта гражданина жестко привязана к устройству, и дубликат без предъявления самого аппарата получить нельзя. Если же старый номер привязали к новому устройству, "пару" нужно будет перерегистрировать в банке. К борьбе с мошенничеством, связанным с заменой SIM-карт, можно подключить и Росфинмониторинг.Вице-президент банка "Открытие" Юрий Божор говорит, что нужно на законодательном уровне ввести обязанность для сотрудников компаний-сотовых операторов проверять достоверность данных, предоставленных россиянами при обращениях в офисы для замены SIM-карт. Как отмечает Божор, замена SIM-карт не должна производиться без предварительного разрешения сотрудников службы безопасности мобильных операторов.В Zecurion отмечают, что в прошлом году Центробанк зафиксировал более 300 тыс. операций за год на сумму более 3,5 млрд рублей. В этом году ущерб, по прогнозам Ковалева, может увеличиться всего на 10–15%, притом что рост операций через интернет-банки и количества их пользователей, по разным оценкам, составит 35–50%.
 
По данным ohrana.ru 
печать

создание сайта