Мошенничество с перевыпуском SIM-карты — постоянная проблема для операторов мобильной связи, и с ней бывает сложно бороться. Хотя это не влияет на их доходы напрямую, многие операторы справедливо обеспокоены из-за негативных последствий для своих абонентов.
Эти последствия могут быть весьма серьезными. В 2018 году, при помощи мошеннической схемы с перевыпуском SIM-карты, злоумышленниками была украдена личность криптовалютного инвестора, что привело к потере миллионов долларов в криптовалюте. В результате жертва предъявила своему оператору мобильной связи иск на сумму 224 миллиона долларов США на том основании, что они не предприняли адекватных мер для защиты его личных данных.
Год спустя тем же способом был взломан твиттер-аккаунт генерального директора Twitter Джека Дорси. Хотя это и привело к гораздо большему общественному резонансу, поспособствовав распространению информации о возможных рисках, мошенничество с перевыпуском SIM-карт остается распространенным явлением.
Каковы риски?
Мошенничество с перевыпуском SIM-карт основывается на вполне легальном механизме, который позволяет абонентам мобильного оператора «переносить» свой номер мобильного телефона одной SIM-карты на другую. Мошенники часто используют эту возможность, чтобы завладеть номером своей жертвы и получить таким образом доступ к ее аккаунтам и входящим сообщениям, содержащим пароли двухфакторной аутентификации (2FA).
Учитывая, что перевыпуск SIM-карт невозможен без активного участия оператора мобильной связи, этот тип мошенничества чреват крупными репутационными потерями. Фактически, оператор несет основную ответственность за то, что позволяет мошенникам красть номера абонентов.
Итак, как операторам мобильной связи бороться с подобными манипуляциями и защищать своих клиентов? Убедившись, что человек, запрашивающий перевыпуск SIM-карты, действительно является тем, за кого себя выдает. Слишком многие операторы полагаются на контрольные (секретные) вопросы, ответы на которые злоумышленники могут подобать в результате сбора информации о жертве или посредством фишинга.
#1 Используйте 2FA
Рассмотрите возможность использования 2FA в качестве первичной меры безопасности. Код для авторизации перевыпуска карты может понадобиться абоненту, желающему сменить ее форм-фактор (например, перейти с mini-SIM на nano-SIM). Мошеннику, уже получившему доступ к телефону или номеру жертвы, такие манипуляции ни к чему.
#2 Проверяйте личность абонентов
Если обратившийся к вам абонент не может получить 2FA-сообщение (к примеру, он утверждает, что его телефон был украден или же повреждена его SIM-карта), лучшим решением будет посещение физического магазина для подтверждения личности по документу с фотографией. Ваши сотрудники в точках физического присутствия также должны быть проинформированы о важности этой процедуры, дабы пресечь попытки «ускорить процесс», потенциально подвергая опасности данные абонентов.
#3 Обучайте свой персонал
Все ваши сотрудники — независимо от того, работают ли они в ваших магазинах или отвечают на звонки в вашем колл-центре — должны осознавать угрозу, которую представляет для ваших клиентов мошенничество с перевыпуском SIM-карт. Исследование, проведенное учеными из Принстонского университета, показало, что многие агенты службы поддержки клиентов задают вопросы, ответы на которые легко угадать, а в некоторых случаях подсказывают звонящим, как правильно ответить. Цитируя: «Это говорит о том, что конфиденциальные данные учетных записей хранятся в открытом виде и доступны сотрудникам службы поддержки клиентов, а значит — уязвимы для атак со стороны злоумышленников, использующих приемы социальной инженерии». Более надежные методы аутентификации требуют, чтобы агенты поддержки вносили в систему предоставленный абонентом ответ, а система сообщала им, правильный он или нет, но ни в коем случае не показывала ответ заблаговременно.
#4 Работайте с клиентами сообща
На сегодня корпоративный трафик — отличный источник дохода для операторов мобильной связи. 2FA-трафик составляет основную его часть и является главной целью злоумышленников, замешанных в мошенничестве с перевыпуском SIM-карт. Чрезвычайно важно держать партнеров из корпоративного сектора в курсе потенциальных угроз: это позволит им защитить своих клиентов, отслеживая подозрительные случаи входа в систему, а также повысить эффективность 2FA-сообщений при помощи таких инструментов, как проверка IMSI.
#5 Просвещайте своих абонентов
Важно помочь абонентам понять риски мошенничества с перевыпуском SIM-карт. Важно не просто обозначить возможные риски, но рассказать и как распознать признаки атаки и какие меры стоит принять. Они должны знать, что внезапная потеря возможности совершать или принимать звонки и обмениваться текстовыми сообщениями является тревожным признаком, и что им стоит проверить, является ли это просто сбоями в работе сети или чем-то более зловещим.
Мошенничество с перевыпуском SIM-карт — проблема, актуальная в немалой степени потому, что не существует способов автоматически идентифицировать атаку злоумышленников. Операторы, стремящиеся уменьшить ее влияние на своих абонентов и репутацию, должны предпринять действия по нескольким направлениям, чтобы предотвратить эксплуатацию мошенниками каких-либо лазеек в своих процедурах переноса номеров (MSISDN) абонентов. Защищая пользовательские данные, используя надежные процедуры аутентификации и поддерживая информированность и бдительность всех задействованных сторон, операторы могут противостоять угрозе мошенничества с заменой SIM-карты.