Имя, сестра! Как мошенники воруют по SMS и при чем здесь Monobank
Фото: iStock/Global Images Ukraine

Спам и новые случаи мошенничества с помощью SMS всплывают в инфополе каждые несколько месяцев. Украинцы давно привыкли пользоваться SMS-подтверждениями для входа в интернет-банкинги или другие онлайн-сервисы. На это и рассчитывают мошенники. От имени крупного бизнеса, например банка, они присылают SMS, в которых сообщают о выигрыше автомобиля, блокировке карты или задолженности перед налоговой.

Срабатывает импульс: выиграть машину хочется, терять карточку или получить проблемы с фискалами - нет. Поэтому человек звонит по указанному номеру, переходит по вредоносной ссылке, загружает вирус, который считывает коды доступа к банкингу. Такая “социальная инженерия” чистит карманы не хуже обычных воров.

Кто в таком случае несет больше ответственности: сам банк, мобильные операторы или получатель SMS? Оказалось, что все понемногу. LIGA.net поговорила с мобильными операторами и экспертами по телеком-рынку.

Проблемы, парень?

Недавно телеком-эксперт Роман Химич поднял тему SMS-мошенничества в очередной раз. Он решил хорошенько потроллить команду Monobank и лично Олега Гороховского за утверждение о том, что работающий только со смартфона банкинг - один из главных способов обеспечить безопасность клиентов и защиту от мошенничества.

Мы реализовали систему, в которой есть жесткая связка IMEI устройства, ID версии приложения, установленной у клиента, номера телефона и ПИНа, и если хоть один параметр не совпадает - это фрод. Такую связку практически невозможно взломать, и главное в ней - это, конечно же, IMEI, - говорит в своем посте Олег Гороховский. - Также мы нигде не просим вводить ПИН, а SMS-код клиент monobank вводит всего один раз, когда регистрируется в приложении”.

Читайте также: Viber vs мобильщики: война за СМС проиграна, на очереди - голос

У Романа Химича другой взгляд на ситуацию. “Проблема касается использования мобильного телефона как инструмента доступа к критическим IT-ресурсам, в частности - к банковским сервисам”, - считает он.

Согласно его комментариям журналисту LIGA.net, на сегодняшний день, учитывая все возможные варианты угроз и рисков, наиболее надежным инструментом безопасности признаны физические ключи, использующие специализированные микросхемы. Никакая сугубо цифровая сущность, включая программы и пароли, не признается достаточно надежной. Дело в том, что ее можно клонировать или перехватить и, таким образом, скомпрометировать.

“Любую цифровую услугу можно эмулировать или скопировать. Дело только в уровне сложности вопроса и его цены. Можно хакнуть даже суперзащищенные серверы спецслужб. Не говоря уже об услугах банков или операторов”, - поясняет Назар Грынык, основатель и директор агентства мобильного маркетинга LEAD9.

Однако и у физических ключей много недостатков, связанных с их дороговизной, сложностью в обслуживании и применении. Роман Химич уверен: именно поэтому в свое время ПриватБанк сознательно пошел на упрощение процедур контроля за доступом. А снижение уровня защищенности имело целью агрессивное наращивание клиентской базы.

Аутентификация с помощью SMS остается слабым местом, постоянным источником угроз.

Технологии мобильной связи позволяют любому проходимцу разослать SMS, которые будут содержать заветные буквы monobank в имени отправителя, и любой, буквально любой набор знаков в теле сообщения. Например, ссылку на фишинговый сайт. Или сразу троян, чтобы не возиться. И тогда в распоряжении злоумышленников окажутся и IMEI устройства, и ID версии приложения, и номера телефона и даже ПИН. Поскольку абсолютное большинство добрых граждан не в курсе этих дивных возможностей, они, не долго думая, и откроют и загрузят”, - пишет в своей публикации Химич.

Читайте также: "Я кажу ні": как lifecell пролетел во втором 4G-тендере

Эксперт добавляет, что единственный способ предотвратить такие проблемы - просить у операторов связи настроить соответствующим образом спам-фильтры. В частности, проверять источник поступления SMS, содержащих ключевые слова. Однако это требует договорных отношений с операторами и увеличивает издержки компаний, использующих технологии мобильной связи.

(Обновлено) Что касается самого Monobank, Олег Гороховский ответил так: "У нас производится идентификация по SMS, аутентификация происходит по ЭЦП (электронной цифровой подписи, - ред.), ключ от которой находится на мобильном телефоне в зашифрованном виде".

Операторы: хочешь имя - докажи

Оказалось, что как минимум первичные фильтры у операторов есть. Для того чтобы отправлять SMS от так называемого альфанумерического имени (до 11 символов, которые получатель видит в поле “отправитель”. - Авт.), абонент должен обслуживаться на контрактной основе и подписать определенное соглашение.

Например, в пресс-службе lifecell говорят, что для рассылки массовых сообщений бизнес-клиентам необходимо заключить с компанией коммерческий договор на услугу Массовые SMS. И предоставить регистрационные данные своей компании, что уже частично нивелирует анонимность.

“После заключения договора, в котором прописаны штрафные санкции за спам, клиент указывает в договоре альфа-имя/альфа-имена, которые он будет использовать для рассылок. Соответственно, самостоятельно осуществлять рассылки с любого альфа-имени клиент не может без предварительной регистрации данного альфа-имени”, - отмечает пресс-служба оператора.

А если абонент хочет использовать в качестве альфа-имени название известного бренда - например, тот же Monobank?

В таком случае, говорят в lifecell, клиент обязан предоставить официальное свидетельство о регистрации данной торговой марки или разрешение от правообладателя ТМ на использование данного альфа-имени в качестве франшизы.

“Также массовые рассылки однотипных рекламных сообщений (куда в основном попадают спам-рассылки мошенников) проходят премодерацию, где мы можем отфильтровать вероятную спам-рассылку. За содержание текста и ссылок в нем всецело несет ответственность отправитель данных сообщений”, - резюмирует пресс-служба.

Читайте также: “Ну это ж надувательство”. Почему бы Украине не выйти на ICO

В Киевстар тоже говорят об ответственности отправителя: распространение вирусного контента влечет за собой приостановку сервиса или расторжение договора - если такие действия осуществляет SMS-агрегатор.

Что касается настройки фильтров и отсечения вредоносного содержания, каждая ситуация требует отдельного рассмотрения, отмечает пресс-служба Киевстар. Например, в 2014 году различные телеком-рынки столкнулись с SMS-вирусом Photo_albom.apk, который распространялся путем загрузки абонентами вредоносной ссылки из текста SMS. Вирус поражал операционную систему смартфонов Android и воспроизводился путем рассылки по адресной базе контактов клиента. В этом случае была оперативно заблокирована возможность активации вирусных ссылок.

“Для защиты осуществляется круглосуточный мониторинг работы информационных систем и показателей работы сети, задействованы SMS-антиспам фильтры, действуют жесткие нормы контроля за рассылкой SMS компаниями-партнерами”, - утверждают в Киевстар.

Мойте смартфоны перед едой

Хотя операторы отсекают кусок проблем, связанных с SMS-мошенничеством, терять бдительность не стоит.

“SMS как услуга со стороны оператора не является ни защищенной, ни гарантированной, - утверждает Назар Грынык. - У оператора настроены спам-фильтры по определенным параметрам. Но, насколько мне известно, нет такой услуги, как отдельно что-то для кого-то донастраивать. И, зная операторов, сделать это будет довольно трудно”.

Поэтому личная цифровая гигиена - все еще требование № 1. А именно - внимательность и презумпция виновности. Например, в недавних случаях SMS якобы от Ощадбанка о блокировке карты или “предупреждения” от Государственной фискальной службы приходили даже не с альфа-имени, а с обычных номеров телефонов. Фальшивое имя было только в тексте сообщения.

Читайте также: Покорившие Walmart: украинский AR-стартап пошел дальше Disney

В Киевстар напомнили о простых мерах безопасности: никогда не открывать ссылки на незнакомые или подозрительные интернет-сайты, которые присылают в тексте SMS даже знакомые люди. И порекомендовали установить на смартфоны антивирусные программы.

Назар Грынык добавляет: “Все можно подделать. Необходимо менять пароли, следить за сертификатами безопасности, антивирусами, апдейтами систем, подозрительными обращениями - и никому не доверять. Особенно если речь идет о деньгах”.

Подписывайтесь на наш канал в Telegram, чтобы быть в курсе последних новостей телекома и технологий