Мошенники атакуют украинцев по всем каналам. Как защититься от мобильных воров

Ежедневно в Украине проходит порядка 300 успешных мошеннических атак на пользователей

Мошенники приловчились использовать современные и недешевые инструменты связи для обмана мобильных абонентов. Журналисту UBR.ua пришло текстовое сообщение о якобы "оформленном на Ваше имя переводе денег".

Для дальнейших деталей был указан номер 0-800-ххх-ххх и код. Вместо обычного набора из цифр в строке отправителя значилось слово – MaxMoney. В телеком-кругах это называется "альфа-имя", такой подход широко используют, например, банки и ритейлеры.

В любом случае, сотовый пользователь имеет право пожаловаться своему оператору. Правда, если SMS или звонок поступил с "обычного" номера, то смысла практически нет.

Другое дело, когда задействованы определенные бизнес-инструменты, подчеркнул Владимир Максимчук. Например, номер для приема бесплатных для абонентов звонков (0-800) или сервисы для массовых рассылок.

По его словам, оператор не обязан и даже не имеет права выполнять работу полиции. Но у него может быть определенный интерес защитить своих клиентов.

Главное, что в данном случае у компании могут быть действенные возможности. Ведь обычно в соглашении на использование подобных бизнес-сервисов, во-первых, есть определенные ограничения.

Во-вторых, возможность со стороны оператора в одностороннем порядке отказать в таком сервисе. Это уже дело хозяйственных субъектов, поэтому оператор может и не ждать обращения полиции или решения суда, объяснил бизнес-консультант.

Оператор вряд ли закроет такой подозрительный номер по первому обращению. Ему нужно будет понять, что происходит. Даже если номер очевидно используется с сомнительными целями, компания будет взвешивать все "за" и "против" относительно такого решения.

В любом случае, подчеркну Владимир Максимчук, жалоба абонента может помочь оператору улучшить качество своего сервиса. В данном случае – проверить, надлежащим ли образом используются бизнес-инструменты.

"Оператор предоставляет услуги, юридически он не отвечает за действия мошенников или нечестных пользователей этих услуг, но если он занимается безопасностью своих клиентов, то понимать, что происходит, и по возможности принять превентивные меры – в его интересах", – убежден он.

По словам эксперта, пользователям услуг нужна четкая процедура реагирования на подозрительные обращения (как кнопка "спам" и "заблокировать" в мессенджерах). А провайдерам услуг – четкие и продуманные процессы реагирования.

Как власть и операторы должны защищать сотовых абонентов

Телеком-эксперт Роман Химич в комментарии UBR.ua отметил, что все более значительная часть жизни украинского общества протекает в виртуальном пространстве.

"Очевидно, что цифровая среда должна быть безопасной, то есть должны отсутствовать риски катастрофического ущерба вроде шантажа, кражи имущества или финансовых активов, кражи цифровой идентичности. С другой стороны, эта среда должна вызывать у граждан доверие, уровень наличествующих в ней рисков не должен превращаться в системное препятствие, барьер для реализации интересов и потребностей граждан", – подчеркнул он.

При этом эксперт отметил, что на сегодня архитектура и дизайн абсолютного большинства пользовательских услуг оставляет желать лучшего. Они попросту игнорируют либо не учитывают в достаточной степени проблематику безопасности и доверия в цифровой среде.

По его словам, в нынешних условиях обеспечить доверенность каналов общения финансовых учреждений и клиентов можно по-разному. Но прежде всего "категорически необходимо" получить от регулятора этого рынка – Нацбанка – внятные и, желательно, исчерпывающие рекомендации на этот счет.

В качестве возможного решения проблемы Роман Химич привел опыт Украины и соседних стран. Он отметил, что доверенный характер общения между финансовым учреждением и его клиентом обеспечивается (в порядке возрастания сложности и стоимости) соответствующими решениями:

Финучреждение использует для связи один на все случаи жизни единый номер, избегая обычного "зоопарка".

Этот номер защищается от подделки (подмены идентификатора) посредством заключения соответствующих соглашений с операторами. Аналогично поступают с SMS.

Финучреждение отказывается от традиционных общедоступных (внешних по отношению к нему, находящимся вне его контроля) каналов голосовой связи и переходит к использованию собственных VoIP сервисов. Грубо говоря, в "Приват24" добавляется функция голосовой связи и любое общение с банком происходить только через него. У кого нет смартфона, тот находится в зоне повышенной опасности, о чем его прямо предупреждают.

Банк раздает своим клиентам аппаратные средства идентификации вроде специальных SIM-карт, которые позволяют отправлять абоненту подтверждение полномочий звонящего сотрудника даже по обычному недоверенному каналу общедоступной телефонной связи. Т.е. при звонке сотрудник банка обязан сообщить пароль, который параллельно высвечивается на мобильном телефоне клиента.

"В общем, решения есть, вполне надежные и эффективные, однако они не являются бесплатными для финучреждений, в отличие от SMS-авторизации и прочих "костылей", – подытожил телеком-эксперт.

Потери мобильных пользователей от "социальных инженеров"

По данным Украинской межбанковской ассоциации членов платежных систем (ЕМА), ежедневно 1-2% украинцев сталкиваются с киберпреступниками. Злоумышленники используют телефоны, электронную почту, интернет-магазины, различные онлайн-сервисы. По имеющейся у этой организации статистике, в 2020 году ежедневно осуществлялось в среднем 280 успешных для мошенников незаконных операций. Получается – 12 в час.

"Мошенники чаще всего прибегают к методам социальной инженерии. Речь идет о введении в заблуждение граждан любыми способами, чтобы они открыли персональные данные, реквизиты платежных карточек, банковские коды и пароли мобильных операторов или осуществили перевод средств под психологическим воздействием на пользу мошенников", – констатировал директор Ассоциации ЕМА Александр Карпов.

По его словам, убытки от операций с использованием социальной инженерии в разы превышают потери от других методов платежного мошенничества. В первом случае средняя сумма 2,4 тыс. грн. Если же "угонялась" SIM-карта – то 12,5 тыс. грн.

В то же время средняя сумма незаконной операции в интернете составляла 198 грн.

Что могут и реально делают операторы

В lifecell подтвердили, что альфанумерические "имена" выбираются клиентами "согласно определенных правил и согласовываются оператором".

Оператор отметил, что в своей работе руководствуются действующим законодательством при рассмотрении случаев мошенничества.

"Однако мы рассматриваем индивидуально каждую жалобу или подозрение на спам, недобросовестность и принимаем все возможные меры, чтобы в дальнейшем обезопасить абонентов от подобных рассылок. Перед этим мы проводим внутреннее расследование с целью выявления источника возможного спама", – заверили в пресс-службе.

Мобильный оператор советует абонентам самим "заботиться о своей безопасности". То есть, не переходить по сомнительным ссылкам, не разглашать никому свои персональные данные.

"Наша компания постоянно повышает информированность абонентов о том, как обезопасить себя от мошенничества. Мы делаем это во всех имеющихся каналах связи, в частности через наши официальные страницы в соцсетях", – подчеркнули в третьем по величине сотовый операторе Украины. Отметив, что он создал отдельный раздел на своем сайте с описанием самых популярных мошеннических схем и алгоритмов действия в случае возникновения сомнительных ситуаций.