Прив'язка SIM-карти до паспорта: чи це врятує нас від крадіжки грошей і цифрових осіб
Як шахраї крадуть гроші й отримують кредити на імена жертв, знаючи лише їхні номери мобільних телефонів, і чи зможуть українці захистити свої дані, прив'язавши SIM-картки до паспорта, розповідає Фокус.
Нещодавній інцидент, що стався з мешканкою Львова Іриною Ілик, схвилював багатьох українських користувачів, які в соцмережах обговорюють нашумілу історію про шахрайство. За допомогою перевипущеної SIM-картки та даних, можливо, здобутих із програми "Дія", зловмисники змогли оформити кредити на ім'я Ірини.
Фокус звернувся до еспертів, які пояснили, що таке заміна SIM-картки та чи можна убезпечити себе від цього виду шахрайства, прив'язавши свою SIM-картку до паспорта.
Що таке SIM-свопінг і чому він популярний в Україні
Шахраї вдаються до SIM-свопінгу (підміна SIM-карти, — ред.) досить часто, а все тому, що в Україні донедавна "сімки" ніяк не були захищені. Дізнавшись ваш номер телефону, зловмисник може просто зателефонувати оператору мобільного зв'язку, переконати його, що він — це ви і що йому необхідна така послуга як перевипуск SIM-картки. Якщо співробітник мобільного оператора (МО) погоджується це зробити, то буквально за лічені хвилини аферист може отримати доступ до вашого номера телефону та всіх даних, які до нього прив'язані. А в цей час ваша справжня сімка буде заблокована.
За словами телеком-експерта Романа Хіміча, можна отримати доступ до номера телефону будь-якої людини, навіть якщо вона має статус VIP-клієнта. У коментарі Фокус Роман поділився таким кейсом: у американського підприємця Майкла Терпіна вкрали на $213 млн криптовалюти, незважаючи на його абонентський VIP-статус. Злочинцям вдалося підкупити співробітника сервісного центру МО, який надав номер телефону бізнесмена.
У випадку з Іриною Ілик невідомо, як саме шахраї отримали її номер, але судячи з її слів, перевипустити "сімку" вони змогли, просто зателефонувавши в компанію "Київстар" і залишивши голосовий запит.
ВажливоФахівець у галузі кібербезпеки Андрій Баранович каже, що дізнатися про номер мобільного відносно нескладно. Найпопулярнішими є такі методи:
- соціальна інженерія (коли людину змушують зателефонувати зі свого смартфона за певним номером)
- доступ до телефонних книг родичів і друзів,
- підкуп співробітників салонів мобільного зв'язку,
- надання підроблених документів із метою перезапуску сімки (часто в салонах мобільного зв'язку просто немає пристроїв для перевірки справжності документів).
Роман Хіміч вказує на важливу деталь: не всі салони належать самим операторам стільникового зв'язку – це, як правило, партнери. Співробітники таких салонів відповідають перед власником, а не перед мобільним оператором, тому і в Україні не виключений підкуп шахраями з метою перезапуску сім-карт.
Фахівець із кібербезпеки Кір Важницький дуже доступно описує схему, за якою, можливо, діяли шахраї щодо Ірини Ілик:
- За допомогою сім-свопінгу (відновлення чужої картки) перехоплюється BankID. Ні, ні прив'язка до паспорта, ні контракт не допомагає, а лише трохи збільшують (або ні) вартість.
- Оскільки BankID, порушуючи логіку, є єдиним необхідним засобом автентифікації в "Дії", у шахрая на руках з'являється повноцінний екземпляр "документів", законодавчо прирівняних до справжніх [...]
- За допомогою введеного BankID не можна взяти кредит, не можна відкрити рахунок. Максимум — злити гроші з поточної картки в банку, який не дуже турбує вашу (і його) безпеку. А ось за допомогою "Дії" можна. Мінцифри може скільки завгодно розповідати, що вони заборонили це робити. Факти свідчать про інше. Та й Національний банк України нічого не змінював у своїй інструкції (див. фото — ред.) та покладається на ту саму модель віддаленої ідентифікації, довіряючи "Дії".
До речі, Vodafone Україна унеможливив можливість віддаленого відновлення SIM-карти.
Чому не варто прив'язувати свої дані до номера мобільного
Як пояснює Роман Хіміч, абоненти мобільних операторів, тобто пересічні громадяни, не є ні власниками, ні розпорядниками власних номерів. І це велика проблема, вважає експерт, адже отримавши номер, шахрай отримує "ключ від квартири, де гроші лежать".
"В Україні власником номерів мобільного зв'язку є органи влади в особі НКРЗІ (Національна комісія, яка здійснює державне регулювання у сфері зв'язку та інформатизації, — ред.). Вони передають номери в користування операторам, які є первинними розпорядниками та користувачами. А ми номерами користуємося на вторинній основі, тобто на пташиних правах. Саме тому використовувати мобільний номер як автентифікатор просто протипоказано”, — каже Роман.
Фахівець стверджує, що систему аутентифікації за номером телефону було запропоновано багато років тому, і що авторами такої ідеї виступив топменеджмент "ПриватБанку", який на той час належав бізнесменові Ігорю Коломойському. За словами Хіміча, ця ідея була прийнята фінустановами повсюдно, оскільки була незатратною і, що ще важливіше, дозволяла перекласти відповідальність на МО та клієнтів якраз у таких випадках, як із Іриною Ілик.
"Фінустановам взагалі нічого не варто запровадити нові правила, внести до своїх договорів нові умови та зобов'язати клієнтів реєструвати свої фінансові номери, а ще краще — використати повноцінні засоби аутентифікації", — розмірковує Хіміч.
Чи захистить прив'язка SIM-картки до паспорта від шахраїв
Із 1 січня 2022 року в Україні набули чинності зміни до "Закону про електронні комунікації", згідно з якими українці можуть прив'язати свої сім-карти до паспорта, однак робити це не обов'язково. Відповідно до ст.104 п.5 Закону, "кінцевий користувач, не ідентифікований постачальником електронних комунікаційних послуг, має право здійснити ідентифікацію в порядку, встановленому регуляторним органом, у тому числі дистанційну із застосуванням відповідно до законодавства про електронні довірчі послуги будь-яких засобів електронної ідентифікації середнього та високого рівня довіри, передбачених зазначеним порядком ідентифікації".
Як пояснює експерт із кібербезпеки Костянтин Корсун, в Україні жодний засіб електронної ідентифікації не захищений належним чином, тому що в основі захисту е-паспорта лежить не дуже добре захищений BankID — а все тому, що BankID прив'язаний до зовсім незахищеної СІМ-картки.
"Вкравши "сімку", злочинці отримують контроль над нашими документами. Фактично – викрадають цифрову особистість, яка, згідно із Законом України, прирівняна до справжніх документів. Тобто довести, що "я – це я", стає досить непростим завданням. Поки що шахраї використовують викрадені "Дії" тільки для "лівих" кредитів, але маючи цифрові документи, можна ними і петицію підписати, і на виборах проголосувати, і в будівлю на вулиці Банковій зайти, між іншим", — пише Костянтин у Facebkook.
Роман Хіміч рекомендує українцям ознайомитися із Законом "Про платіжні послуги", заснованим на другій версії Директиви ЄС про платіжні послуги (PSD 2), яка взагалі виводить із правового поля телефонний номер як ідентифікатор. Справа в тому, що PSD 2 вимагає посиленої автентифікації, і український закон, відповідно, також.
"Це означає, що при аутентифікації та ідентифікації має використовуватися комбінація кількох, не менше двох факторів різної природи", — пояснює телеком-експерт.
Багатофакторна ідентифікація/автентифікація має бути комбінацією:
- пароля, пін-коду, секретного слова, відомих лише клієнту,
- біометричних даних: відбитки пальців, сканування сітківки очей, FaceID, розпізнавання голосу,
- фактора володіння матеріальним об'єктом
"Як бачите, номер мобільного зв'язку не відповідає цій вимозі. Як я пояснив раніше, ми ним не володіємо, він не є матеріальним, він не є унікальним і секретним, — підсумовує Роман. — А ось SIM-картою ми володіємо, вона унікальна та матеріальна".
Телеком-експерт, однак, не впевнений, що прив'язка SIM-карти до паспорта захистить від шахраїв.
"Справа в тому, що в lifecell можна проходити реєстрацію по BankID, який, як ми вже з'ясували, не проблема вкрасти або купити. Ба більше, маючи чужий BankID від "ПриватБанку", можна без проблем отримати повнофункціональний ЕЦП, щоб згодом використати для реєстрації чужого номера на своє ім'я. Загалом процедури онлайн-реєстрації всіх операторів мають ваду, оскільки спираються на дефектну систему BankID", — резюмує Хіміч.
Як прив'язати SIM-картку до паспорта
Зазначимо, що насправді до паспорта прив'язується не сама "сімка", а номер телефону, але при реєстрації вам потрібно підтвердити, що саме ви нею володієте, тобто її необхідно пред'явити співробітнику фірмового магазину МО. Такий метод може захистити від SIM-свопінгу, адже, щоб перевипустити СІМ-карту, потрібно буде особисто прийти в магазин оператора та показати документи.
Зверніть увагу: експерти з кібербезпеки рекомендують показувати фізичні документи, а не е-паспорт у "Дія" і процедуру реєстрації SIM-карти проводити наживо, а не віддалено.
Абонентам "Київстар"
МО дає можливість провести процес реєстрації СІМ-карти або у фірмовому салоні-магазині, або онлайн. У першому випадку потрібно буде прийти в салон, заповнити відповідну заяву, пред'явити оригінальний паспорт і оригінальний ІПН.
У разі онлайн-реєстрації :
- зайдіть у особистий кабінет "Мій Київстар",
- виберіть номер свого мобільного,
- перейдіть на вкладку "Користувач",
- виберіть спосіб реєстрації "за допомогою ЕЦП" (електронний цифровий підпис),
- скачайте ключ ЕЦП та введіть пароль,
- перевірте правильність ваших даних і підтвердіть реєстрацію.
Для абонентів "Vodafone Україна"
При реєстрації онлайн слідує:
- перейти на registration.vodafone.ua
- ввести свій номер,
- підтвердити введені дані щодо коду в СМС,
- підтвердити особу за допомогою ЕЦП,
- заповнити анкету,
- підтвердити дані.
Також ви можете прийти до магазину МО, пред'явити SIM-картку та свій фізичний паспорт і пройти процедуру реєстрації.
Для абонентів lifecell
В онлайновому режимі необхідно:
- зайти на my.lifecell.ua, або — у додаток "Мій lifecell",
- зайти до свого кабінету,
- перейти до "Основна інформація" — "Персональні дані" — "Реєстрація".
В офлайновому режимі:
- відвідати салон МО,
- оформити заяву для фізичної особи,
- пред'явити оригінальний паспорт,
- підтвердити, що ви володієте SIM-карткою.
Якщо ви хочете ще більше убезпечити свій BankID, то придбайте нову СІМ-карту, прив'яжіть її до паспорта, а отриманим новим номером ні з ким, крім фінустанови, не діліться. Бажано також завести для цього інший смартфон.
Важливо