Блокировка входящих sms от банков на 24 часа после замены sim карты как отключить
Вкратце, схема мошенничества заключается в следующем. К вашему номеру телефона привязан доступ и подтверждение операций в банках и платежных системах. Мошенник идет в салон связи или внедряет подельника, получает новую симкарту по поддельному паспорту или чаще по доверенности и восстанавливает доступы и пароли, привязанные к номеру. Затем денежки тютю. Этой схеме много лет, описана она везде подробно, но есть нюансы, а которых я и хочу рассказать. Далее будет изложена сугубо личная точка зрения, в которой при желании можно найти элементы рекламы и антирекламы.
Банки, зная про данную схему, внедрили защиту по IMSI, уникальному идентификатору симкарты. Когда кто-то меняет симку, при любой активности номера фигурирует уже новый IMSI, а банк блокирует доступ к ДБО до подтверждения личности клиента по звонку или после визита в офис. Работоспособность этой защиты зависит от банка и оператора связи. У банков существует единственный способ узнать текущий IMSI для данного MSISDN - при помощи HLR-запроса к SMS-шлюзу по SMPP-протоколу. В этом случае SMS-шлюз, используя МАР-протокол сети SS7, получает IMSI от оператора сотовой сети и возвращает его банку в ответе на HLR-запрос. Чтобы банк мог оперативно реагировать на каждый чих, связанный с заменой/перевыпуском симкарты клиента, банк должен перед отправкой каждой SMS клиенту делать проверку текущего IMSI при помощи HLR-запроса. Фактически это означает удвоение количества SMS, отправляемых банком в SMS-шлюз, так как HLR-запрос - это специальная SMS, поэтому тарифицируется HLR-запрос как отправка SMS. В сегодняшних реалиях банки экономят на безопасности клиентов, поэтому проверка IMSI банками становится редкостью. Актуального списка банков, которые контролируют IMSI, нет, но обычно этот вопрос можно выяснить на форумах или в техподдержке банка, есть косвенная зависимость от технологичности банка, например Альфа и Тинькофф. Платежные системы (электронные кошельки) вообще IMSI не проверяют.
В реальной жизни многие операторы используют SMS Home Routing, он же SMS Firewall, он задумывался как защита абонента в незащищенной сети SS7 от прослушки или внедрения (такое было актуально на волне распространения GSM). А весь фокус в том, что в этом случае HLR-запрос выдает липовый IMSI или не выдает данных вовсе. А значит, любой банк проигнорирует замену симкарты, что мошенникам только на руку. В России SMS Home Routing используют все операторы, кроме Билайна. Формально это означает уязвимость к атакам на оператора через SS7, например можно успешно перехватывать SMS. Но для этого затраты намного выше, поскольку доступ в SS7 могут получить только операторы связи. Остальные операторы сами заключают договоры с банками о предоставлении IMSI в реальном времени, минуя SMS Home Routing, но это уже зависит от региона и банков, у меня например Мегафон-Сибирь сотрудничает только со Сбербанком.
Теперь еще немного о банках. Основные претензии и внимание мошенников адресованы Сбербанку. Он конечно самый большой и счета есть почти у всех, но он еще и самый дырявый, соревнуясь с ВТБ24 по числу косяков. Подробно их грехи задокументированы тут: http://www.banki.ru/blog/KiraSoft/ Основная дыра в Сбербанке называется "Быстрый платеж", позволяет через SMS переводить до 10 тыс в сутки. Это надо сразу отключать через ИБ или SMS. Большинство троянских программ для Android используют именно эту функцию. Меня забавляют банки, которые много говорят про безопасность, но не предоставляют никаких инструментов для управления ею. Основа основ это вообще отказ от использования мобильного телефона в качестве средства подтверждения операций. В некоторых банках есть карты переменных кодов (КПК), криптокалькуляторы или генераторы токенов. Например у Альфы и РСХБ это отдельное приложение. У Авангарда и ПСБ это КПК. Во-вторых, важна изоляция счетов, например карт и депозитов. Например лютая совковость РСХБ оборачивается против мошенников, т.к. там с депозитами можно работать только в отделении банка. Зато всеми "любимый" Сбер позволяет вычищать любые счета и депозиты (даже сберкнижки!) и при доступе по карте. А третьих, нужны лимиты по картам, месячные, суточные и на операции без присутствия. В большинстве технологичных банков это все есть, а в Сбере лимиты только по заявлению в офисе, включаются через сутки и действуют только в регионе регистрации. Весело, да?
Ну и наконец многабукав про собственную безопасность, желающие могут сразу перейти к выводам. Безопасность сводится преимущественно к теме компьютерных вирусов, но для кражи информации правильнее говорить о троянских программах. Тут главное понимать, что никакой антивирус не способен вас защитить. Ни для кого не секрет, что троянов под винду действительно масса, давайте разберемся, как они работают (с отдаленного взгляда) и как от них защищаться. На данный момент трояны используются для трех вещей: спам с зараженных машин, кража денег и в кач-ве DDos ботов.
Цикл жизни трояна:
Злоумышленник покупает сам троян у автора (это может быть популярный Zeus, или SpyEye или еще куча никому не известных троянов).
Покупает абузоустойчивый сервер.
Настраивает трояна и идет за денежку шифрует его тело на специальном сервисе.
Безопасность телефона по сути то же, мошенники уделяют внимание преимущественно системам Android, поэтому тут рекомендация подобная, использовать простые звонилки, но можно и iPhone, если есть возможность и желание. Троянские программы под Android распространяются чаще всего через взломанные приложения, в альтернативных каталогах или просто на сайтах в виде apk. Они скрывают и отправляют SMS именно по тем банкам и сервисам, где все завязано на номер телефона.
Отдельного внимания заслуживает социальная безопасность. Она заключается в сокрытии реальной личной информации от публичного просмотра. Эти данные можно найти в социальных сетях и они часто используются для восстановления доступа через оператора поддержки. Самое главное, что нужно скрыть или не публиковать, это сам номер телефона и паспортные данные. Нежелательно светить адрес проживания/прописки и день рождения. Ну и горе вам, если в друзьях вконтактика есть ваша мама с девичьей фамилией. Мошенники часто используют сайты бесплатных объявлений, вот в таких местах и важно НЕ оставлять номера, привязанного к банкам. Лучшим вариантом считаю использование дополнительного номера Мегафона или отдельной симкарты в звонилке. В этом случае важно знать про периоды неактивности у разных операторов, после которого включают абонентскую плату.
Dreamsim - год бездействия, счетчик обновляется при любых операциях по счету
МТС - 150 дней бездействия
Теле2 - 120 дней бездействия
Билайн - 90 дней бездействия, счетчик обновляется при любых исходящих звонках/смс кроме сервисных номеров, любых ussd запросах, любых операциях по счету (например я закидываю 1 рубль через банк)
Йота - 90 дней бездействия, счетчик обновляется при любых исходящих и входящих звонках/смс (при регистрации в сети) кроме сервисных номеров, любых операциях по счету
Мегафон - 90 дней бездействия, счетчик обновляется при любых платных действиях типа исходящих звонков/смс
1. Банк должен предоставлять безопасное средство подтверждения операций (КПК, токены, криптокалькулятор)
2. Оператор должен защищать номер от взлома (запрет действий по доверенности) или не препятствовать внешней защите (контроль IMSI)
3. На ПК и смартфоне не должно быть вредоносных программ (ПК на Unix и звонилка)
4. Должен быть мозг (не сообщать коды из SMS первому звонящему, не публиковать привязанный к банку номер на Авито, не устанавливать apk с левых сайтов и т.п.)
Пример. Не использовать Сбербанк или ВТБ24, использовать Билайн, Linux и бабушкофон
Мошенники, ворующие деньги со счетов граждан, попадаются на каждом шагу. При этом многие их них используют в своих схемах мобильные номера потенциальных жертв. В связи с этим операторы сотовых сетей приняли решение блокировать возможность пользования банковскими продуктами на телефоне клиента в случае замены сим-карты.
Схема мошенничества
Для начала разберемся, как действует стандартная схема мошенничества:
- В банковской системе существует понятие финансового номера. Это мобильный номер клиента, который подвязывается к его счету и становится ключом доступа к совершению некоторых платежных операций.
- Под разными предлогами мошенники овладевают этим номером. Самое простое – заблокировать, а потом восстановить номер у оператора сотовой связи.
- Теперь доступ к счетам жертвы в интернет-банкинге открыт. Осталось только сменить пароли, что можно сделать с помощью того же финансового номера.
У сотовой сети «Билайн» предусмотрена услуга по оформлению запрета действий по доверенности. Это единственный оператор, который выдает на руки подтверждающий документ. В случае мошенничества с восстановлением сим-карты этот документ может быть использован в суде.
Реакция разных банков на новый способ защиты от кибермошенников
Далеко не все финансовые учреждения поддерживают решение проблемы мошенничества путем блокировки смс. Например, «Сбербанк» – самый крупный банк России, – не торопится пользоваться нововведениями.То же самое касается и «ВТБ-банка».
С другой стороны, в «Альфа-Банке», «Открытии» и «Росбанке» нововведения приняли. Восстановить доступ к заблокированным счетам можно с помощью подтверждения кодового слова в режиме голосового звонка или личного визита в отделение.
Блокирование симки после ее замены – это неплохой способом защиты от мошенничества. Единственным недостатком является то, что в таком случае клиенту придется повозиться, чтобы получить свои доступы обратно.
Воровство SIM-карт методом их замены в салоне оператора или дилера приобретает масштабы эпидемии. Способов утянуть деньги с привязанного к номеру банковского счёта много, о них нужно знать и по возможности не «подставляться». Будьте аккуратны и рассчитывайте только на себя: сотрудники оператора не всегда помогут, а банки не всегда спасут.
Тема «горячая» и неоднозначная. Вроде людей нужно просвещать и предупреждать, но помогать советами потенциальным ворам тоже не хочется. И всё-таки писать об этом нужно, слишком велик масштаб бедствия. Механизмы защиты предусмотрены, но срабатывают не всегда. В сочетании с пресловутым человеческим фактором последствия бывают печальны.
Целевая аудитория
Очевидно, что «организовывать» фальшивую доверенность, не говоря уже про подделывание паспорта, дело затратное как по времени, так и по деньгам. Просто так, наобум, мошенники заниматься этим не будут. Затевают эту операцию в том случае, когда известны данные владельца номера и есть надежда на то, что номер привязан к банковским счетам и/или электронным кошелькам. Вероятность того, что мошенники позарятся просто на баланс вашего телефона, тоже есть, но близка к нулевой, затраты редко окупаются.
Публиковать в сети связку номер/имя бывает необходимо, но такой номер категорически не должен быть привязан ни к каким банковским инструментам. Особенно в тех случаях, когда речь идёт о торговых площадках (Avito), рекламе интернет-услуг, удалённой работе и т. п. То есть, во всех случаях, когда можно предположить ваше тесное общение с электронными средствами платежа. В идеале, такой номер телефона должен быть не основным, но обязательно оформленным на вас. И наоборот, привязанный к банковским счетам номер следует беречь от посторонних глаз. Лучше, если такой номер вообще не будет задействован для телефонного общения. Неудобно и непрактично, но приходится выбирать между удобством и безопасностью.
Пример ситуации
Характерный случай, один из многих. Но свежий и хорошо описанный, потому и взят в качестве примера для разбора. Ниже - цитаты из диалога со службой поддержки МТС, имена и фамилии убраны:
Предохранители, которые не срабатывают
Меняли, скорее всего, по фальшивой доверенности, но это не принципиально. Произошло то, что произойти было не должно. Но регулярно происходит. Почему? Давайте разбираться. Технически система отработала именно так, как должна была отработать, а владелица SIM-карты сделала всё, что от неё зависело. При инициации замены симкарты система отправляет SMS владельцу на номер и ждёт пять минут. Отменить это ожидание сотрудник не может, даже если клиент будет топать ногами и кричать, что опаздывает на поезд. На экране появляется предупреждение о начавшейся процедуре замены, при звонке с заменяемой SIM-карты сотрудник обязан блокировать процесс. Девушка в контактном центре предупреждение не увидела? Более того, владелица отреагировала на SMS мгновенно, успела позвонить и объяснить ситуацию. Даже если бы не объяснила, то логика очевидна: если с меняемой SIM-карты поступает звонок, то что-то явно не так. Процесс замены нужно останавливать, а SIM-карту блокировать, наверное, с запретом замены и разблокировки хотя бы на час-два, разбираться в происходящем будем потом. Почти уверен в том, что процедуры такой сценарий предусматривают. Человеческий фактор? Он, родимый. Возникает вопрос: неужели так сложно предусмотреть автоматическую блокировку SIM-карты просто по факту поступления входящего вызова в течение этих пяти минут? Повторюсь, любой звонок с SIM-карты в процессе замены — сигнал о нештатной ситуации, на которую нужно реагировать сразу. «Тупая машина» отреагирует быстрее и надёжнее. Известны случаи, когда вместо немедленного блокирования симкарты сотрудники контактного центра начинали дозваниваться в салон и выяснять, кто и по какому документу менял симку. А в это время мошенник спокойно обчищал банковские счета жертвы.
Поехали дальше. После замены SIM-карты услуга «Лёгкий платёж» блокируется на сутки. Также в течение этих суток SIM-карту должны блокировать по звонку с жалобой с любого телефона, без всяких особых идентификаций и советов прогуляться в салон с паспортом. Это второй предохранитель, который тоже не сработал. Звонок с жалобой (уже второй) был, симкарту не заблокировали. Опять человеческий фактор? Просто фактор на факторе сидит и фактором погоняет.
Третий предохранитель — блокировка «Лёгкого платежа». К сожалению, мошенники о нём прекрасно осведомлены и действуют соответственно, пытаясь быстро «почистить» банковские счета другими способами.
Четвёртый предохранитель уже на стороне банка, после замены симкарты операции через телефон блокируются. Владельцу номера нужно звонить (или ему звонят из банка), и запрет снимают после идентификации со всякими кодовыми словами, паспортными данными и прочей бодягой. С большинством банков это работает, хотя, по отзывам, пока не во всех банках и не во всех регионах.
Отдельная тема — Сбербанк, в том числе в Москве. Почему-то операции перевода денег со счёта через SMS на номер 900 работают и на свежезаменённой симкарте. Операции не блокируются либо блокируются со значительным опозданием (свежие примеры этого года — минимум около часа). Необязательны хитроумные трояны, красть коды подтверждения или сам смартфон тоже незачем. Достаточно заполучить симкарту, и вперед, через SMS выводят деньги вплоть до срабатывания ограничения на сумму или обнуления банковского счёта.
Причём вероятность «попадания в цель» очень велика, убедился в этом самолично три дня назад. Открывал 15 февраля в Сбербанке счёт, выдали карту и послали к консультанту её активировать. Тот сразу потребовал номер телефона для активации карты через мобильный банк. Отказаться не удалось, хотя я долго упорствовал, заверяя, что никаких мобильных банков мне не нужно. Консультант заявил, что активировать карту можно только через подключение мобильного банка, причём только полного пакета. И никак иначе, без этого карта не заработает. «Не беспокойтесь, он два месяца бесплатный, а если не будете пользоваться, то сам отключится». Небольшой зал был забит посетителями, и после минут 7-10 пререканий народ начал возмущаться моей тупой упёртостью. Плюнул и согласился, уж как-нибудь сам отключу. Я это к тому, что увильнуть от привязки своей симкарты к счёту в Сбербанке крайне трудно на грани невозможности. А о степени проникновения услуг Сбербанка в широкие массы населения вы сами догадываетесь.
Как жить дальше?
А нам с вами следует принять к сведению описанные выше случаи и, если что вдруг, действовать быстро и настойчиво. Помнить о дополнительной опасности «Автоплатежей» и решить, стоит ли рисковать ради удобства и предлагаемых за включение автоплатежа бонусов и прочих «коврижек». А уж если решились, то хоть тщательно настройте этот автоплатеж по расписанию и максимальной сумме. А не просто на автопополнение при достижении определенного баланса. Если мобильный банк не нужен, то отключить его, даже если это бесплатная версия. Это не тот случай, когда «авось, пригодится!», так как «пригодиться» может не вам. Наконец, невредно написать заявление с запретом менять симкарту по доверенности и/или по кодовому слову (зависит от оператора). Не факт, что спасёт (человеческий фактор), но не помешает.
Злоумышленники стали использовать новую форму мошенничества: они оформляют копии SIM-карт по поддельным доверенностям и получают таким образом доступ к мобильному банку жертвы.
Для авторизации в интернет-банке требуется подтверждение через СМС, поэтому мошенники дублируют «симки».
Для борьбы с этим представители Минкомсвязи и Центробанка хотят запрашивать данные о смене абонентом SIM-карты. Эксперты считают, что это необходимая мера, повышающая безопасность клиентов.
Операторам потребуется создать промежуточную базу данных и выполнить ряд технических доработок. Представитель МТС Дмитрий Солодников считает, что есть шанс кражи личных данных абонентов из дополнительной БД.
Неизвестно, согласятся ли операторы на предоставление доступа к данным клиентов, в том числе о SIM-картах. [Известия]
(1 голосов, общий рейтинг: 4.00 из 5)
Артём Баусов
Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. Telegram: @TemaBausov
Посмотрел «Охотники за привидениями: Наследники». Удивлён до мурашек
Apple просит правительство США не делать наценку на импорт Apple Watch и Mac Pro из Китая
Apple хочет брать комиссию за покупки внутри приложений, даже если они используют альтернативные способы оплаты
В Apple Music появился плейлист «С любовью, Apple Music» с новогодними песнями. Обновляется каждый день
Федеральная торговая комиссия США потребовала запретить Nvidia покупать ARM
Скорость мобильного интернета в России снизилась впервые за 10 лет
билайн сообщил о многократном росте интернет-трафика в метро Москвы и Петербурга
Чёрная пятница в билайне. Скидки до 75% на технику и аксессуары
🙈 Комментарии 37
В тинькофф давно тречат. Меня оператора, номер остался тот же, но пришлось у
Звонить подтверждать смену симки, чтобы заработал мобильный банк
@Ontry , альфабанк тоже. Видимо уже есть способ.
@Kiri11 , у каждой симки есть id, к ней привязывается номер телефона. У МТС при смене симки на старый номер отправляется уведомление о замене и делается пауза примерно в полчаса.
несколько лет назад сталкивался уже на МТС
Мегафон + сберыч. Когда менял симку, мне заблокировали личный кабинет и выключили смс-оповещение. Все заработало лишь через после звонка. Дело было 3 мес. назад
Тема есть уже очень давно, но пока не является обязательной.
была такая история. Просто пришло смс, что симка заблокирована в связи с заменой на новую (как выяснилось потом, кто-то якобы явился в офис с доверенностью от меня). Причем случилось во время длительного отсутствия в стране, из-за чего не мог обратиться в офисы МТС за выяснением обстоятельств. Смс пришла ночью, т.е. времени у преступников было предостаточно. От кражи денег, видимо, спасло только то, что заведомо установил на карту региональные ограничения на оплаты. Рекомендую не забывать про эту опцию.
Так защищайте Сим-карту PIN-кодом
@Owlish , Так делается другая сим карта с вашим номером ;)
@Owlish , Не знаю как вы делали. Я приходил в салон связи и мне выдавали новую сим карту, старая им вообще не нужна была. Правда просили паспорт. После активации новой карты старая перестала работать тут же.
Разве можно так просто пойти в салон и взять дубликат сим карты?
@bikke , ну через подставных работников оператора делается. Они все в доле и получают деньги от мошенников. Так же делается через левые документы и доверенности.
@bikke , делается временное удостоверение личности (при потере паспорта) с ним мошенники и идут к оператору.
Нет смысла в промежуточной базе, потому что уже отслеживается банками и операторами. Это лишнее звено.
Разве что это еще один способ быстро и втихую заменить симку любого человека российскими спецслужбами. И да, вероятность утечки повышается многократно.
в Тинькове все просто: на номер приходит смс и входишь в интернет-банк.
это после двукратной смены симки.
безопасность нулевая.
@toivan , после смс верификации, надо еще пароль ввести. Разве нет? Буквально недавно проделывал эту процедуру, тоже сначала понадеялся только на смс, но в итоге пришлось и пароль вспоминать.
@Alex Fadeev , зная IMSI, можно перехватывать SMS через SS7
Может в моем городе Сбербанк неправильный , но пару месяцев назад менял симку на наноразмер и никто даже на секунду не тормознул работу СберОнлайн.Я вообще про такую тему впервые услышал!
В Альфабанке блокируют даже если вы ту же симку вставили в новый телефон. Интернет-банк не давал ничего делать до проверки в контактном центре
У Мегафона в Питере при замене симки SMS блокируются на 6 часов. И приложение Сбербанк перестает работать.
меня симку
звонил в сбер чтоб активировать моббанк
по мне так отличная фича
Может быть имеется ввиду что хотят таки реализовать идею с тем чтобы операторы по запросу отдавали ФИО владельца?
Вроде все правильно и у меня тоже отваливался Сбербанк при смене симки, но меня интересует, как все же воруют средства с карточек того же Сбера через замену симки, так как историй про воровство полно
Как мошенники могут дублировать симки? Симки, которые можно было дублировать, уже лет десять не используют операторы. Чтобы авторизоваться в интернет-банке нужно ввести пароль. Какая смска? Что вы людей будоражите?
Можно изготовить дубликат симки, но пользоваться одновременно в реальном времени не получится.
Читайте также: