Можно ли
однажды проснуться и обнаружить в своем банковском приложении кредит на 700 000
рублей, который вы не брали? Да, можно. И для этого не нужны вирусы, звонки от
мошенников или переход по фишинговым ссылкам. Эта схема работает тихо,
автоматически и использует уязвимости в системах, которыми мы все пользуемся
каждый день. Она похожа на цепную реакцию, где одно слабое звено тянет за собой
другое. Давайте разберем, как это устроено, почему это в принципе возможно, и
что конкретно нужно сделать, чтобы такая история никогда не произошла с вами.
Анатомия
аферы: разбор на винтики
Схема
работает не из-за гениального взлома, а из-за комбинации двух факторов: вашей
цифровой «забывчивости» и стандартных бизнес-процессов телеком-операторов.
У некоторых из
нас наверняка имеется банковский счет, про который давно забыли. Чаще всего это карта от
старого зарплатного проекта. Работа сменилась, карта брошена в ящик стола, на
ней нулевой баланс. Мы уверены: раз счет пуст, он мертв. Это ошибка. Для банка
этот счет — активный, просто неиспользуемый. Закрывать его автоматически банк
не станет, ведь вы однажды можете вернуться. И к этому «спящему» счету намертво
привязан номер телефона, который вы указывали в договоре. Вот она, та самая
первая точка входа.
Вы должны
четко понимать: номер телефона вам не принадлежит. Оператор связи выдает его
вам в аренду. Как только вы перестаете платить, договор аренды расторгается.
Номер не исчезает, а отправляется в «отстойник» или «карантин» на 3-6 месяцев. Если за этот период вы не проявили активности (пополнение, звонки и прочее), оператор
деактивирует ваш ключ, и SIM-карта в вашем телефоне превращается в бесполезный
кусок пластика.
Зачем нужен
этот карантин? Это мера предосторожности со стороны оператора. Он дает вам
время одуматься и восстановить номер. Но по истечении этого срока номер
считается «очищенным» и возвращается в общую базу для продажи. И любой человек
может легально прийти в салон и купить его. Для оператора такой подход просто
бизнес-процесс, ведь номерной фонд — ресурс ограниченный. Но для вас это
равносильно тому, чтобы оставить ключ от квартиры под ковриком и уехать на пять
лет.
Что делает
мошенник? Он покупает такую «перевыпущенную» SIM-карту. Дальше начинается
рутина. Он вставляет ее в телефон и методично пытается восстановить доступ к
личным кабинетам самых популярных банков. Он просто вводит номер телефона и
нажимает «Забыли пароль?».
Да, в
большинстве случаев система ответит «клиент с таким номером не найден». Но рано
или поздно происходит совпадение. На его SIM-карту приходит СМС с кодом для
сброса пароля от того самого банка, где у вас остался «спящий» счет. Все. Замок
и ключ совпали. Мошенник входит в ваш личный кабинет, меняет пароль и получает
полный контроль, в том числе, и возможность оформить кредит.
И тут у вас может возникнуть вопрос: откуда мошенник знает, что SIM-карта перевыпущена? А он и не знает. Ему это и не нужно. Мошенник просто методично перебирает дешевые, скупленные пачкой SIM-карты (зачатсую на подставных лиц), пока не получит положительный ответ. Для мошенника это не лотерея, а промышленный метод перебора.
Кто виноват:
анализ сбоя
Винить одного
лишь пользователя в забывчивости — неправильно. Это провал всей системы
безопасности на нескольких уровнях.
-
Оператор
связи. С юридической точки зрения он чист. Его зона ответственности — оказание
услуг связи текущему владельцу номера. У него нет ни технической возможности,
ни законных оснований отслеживать, к каким сотням сервисов был привязан этот
номер у прошлого владельца.
-
Банк. Вот
здесь и кроется основная проблема. Банковские системы безопасности, особенно
старые, работают по простому алгоритму: есть номер телефона в базе -> на
него отправлен код -> код введен правильно -> доступ разрешен. Эта
система не делает ключевой проверки: а не сменился ли владелец SIM-карты? Для
нее SIM-карта и ее владелец — одно и то же. Почему? Потому что такая проверка
требует сложной и дорогой интеграции с базами данных всех сотовых операторов.
Удобство и скорость выдачи онлайн-кредитов оказываются для банка важнее, чем
этот, казалось бы, очевидный риск.
-
Бюрократия и
закон. Почему полиция часто бессильна? Из-за юридической казуистики. Когда
мошенник берет кредит на ваше имя, с точки зрения закона обманутым оказывается
банк — ведь это он выдал свои деньги мошеннику. А вы — жертва кражи личных
данных. Пока правоохранительные органы и службы безопасности банка разбираются,
кто из них потерпевший и кто должен писать заявление, драгоценное время уходит.
Протокол
личной безопасности: четыре конкретных шага
Надеяться,
что эти системы починят завтра, наивно. Защищаться нужно самому, причем
конкретными действиями.
-
Проведите
ревизию счетов. Вам не нужно помнить все свои банки. Зайдите в личный кабинет
на сайте ФНС (nalog.ru) через Госуслуги. Там есть раздел «Сведения о счетах»,
где отображаются абсолютно все счета, открытые на ваше имя. Это работает,
потому что банки обязаны по закону передавать эти данные в налоговую. Увидели
счет, которым не пользуетесь, — идите в отделение этого банка и пишите
заявление на его закрытие. Физически, с бумагой.
-
Смена номера
— это «цифровой переезд». Относитесь к смене номера как к переезду в новую
квартиру. Вы же сообщаете новый адрес почте и банкам. Так же и здесь. Прежде
чем выкинуть старую SIM, вы должны методично зайти во все важные сервисы
(особенно банки и Госуслуги) и не просто добавить новый номер, а принудительно
отвязать, удалить старый.
-
Активируйте
«стоп-кран». На Госуслугах есть функция самозапрета на выдачу кредитов. Это не
просто галочка в настройках. Эта информация попадает в бюро кредитных историй.
Любой легальный банк перед выдачей кредита обязан сделать запрос в это бюро.
Увидев запрет, он обязан отказать. Этот механизм ломает всю мошенническую схему
на последнем шаге — они просто не смогут получить деньги.
-
Консервируйте
старый номер. Если к номеру привязано очень много всего и отвязывать лень, есть
решение. Не бросайте его. Переведите на самый дешевый тариф без абонентской
платы (такие еще есть у некоторых операторов). Пусть SIM-карта лежит в старом
телефоне. Расходы на поддержание ее жизни несоизмеримо малы по сравнению с
потенциальным ущербом.
Система
безопасности, построенная на слепом доверии к номеру телефона, имеет
фундаментальные изъяны. Мы только что их разобрали. Ваша задача — не ждать,
пока систему починят, а самостоятельно установить «заплатки» в своей личной
цифровой обороне. Четыре шага, описанные выше, — это и есть эти заплатки.
Примените их.
Изображение в превью: