G-news

Среда, 21-е Августа 2019
06:04:13

Недавно интернет взорвала история о том, как у одной айтишницы сначала увели припейдную СИМ, а потом и 300 тысяч гривен с различных счетов и аккаунтов.

Позиция оператора была странной, мол сама дура, нужно было зарегистрировать на себя у оператора эту СИМ-карту. Регистрация, конечно, штука хорошая, у меня возник вопрос – а какая проблема защитить от угона анонимную СИМ-карту с длинной историей?

Короткий ответ – никакой. Для тех, кто не в теме, объясняю. У мобильного оператора огромный цифровой массив данных про любую его СИМ-карту. При этом этот массив не зависит от того, контрактная эта СИМ или припейдная (предоплаченная). В этом массиве хранится телефония – информация о звонках и СМС, данные о пополнениях счёта, геоданные и много-много чего другого. Эти данные можно назвать цифровым паспортом абонента. Причём, в отличие от обычного паспорта, эти данные есть только у мобильного оператора. Ксерокопия же паспорта хранится во многих местах, а просто паспортные данные хранятся в огромном количестве баз данных, которые периодически сливаются в сеть.

Мошенники давно пытаются использовать процедуру восстановления СИМ-карты для её угона. Успешность угона зависит от двух главных факторов – сложности процедуры идентификации владельца и наличия сообщника в рядах мобильного оператора.

Сразу скажу, что наличие сообщника в среде оператора сильно упрощает задачу угона, но при грамотном подходе к организации защиты СИМ-карты и с этому можно противостоять.

А вообще идеальное решение это максимально исключать человеческий фактор из доступа к «цифровому паспорту». Хороший пример – компьютерная сдача экзаменов и тестов.

Сейчас для удалённой идентификации абонента используется довольно небольшой набор данных:

- ПИН-ы и ПАК-и

- кодовое слово

- информация о последних входящих и исходящих вызовах

- информация о пополнениях счёта.

Обычно мошенники не знают первых два пункта и пытаются сымитировать информацию по последним двум пунктам – сами пополняют счёт, делают входящие звонки, вынуждают к перезвону и так далее.

Как мы видим, алгоритмы идентификации, построенные на этой информации, выглядят малонадёжными.

Поэтому возникает вопрос – а почему операторы не используют весь массив информации, который у них есть.

Ну, например, мобильный оператор может легко определить, что номер является финансовым. Об этом говорит большое количество СМС от банка(ов). Оператор видит координаты абонента. Например, что он находится заграницей. Оператор видит координаты того, кто пытается восстановить СИМ-карту. Даже без алгоритмов так называемой бигдаты можно распознать подозрительные действия.

С использованием алгоритмов бигдаты мошенники отсекаются просто на раз.

И это только первая линия защиты. Вторая линия защиты это взаимодействие банка и оператора.

Вы спросите, почему операторы не напрягаются с защитой анонимных СИМ-карт. Всё просто – лень и деньги.

Но, что самое удивительное – с таким подходом к защите от угоны СИМ-карты операторы активно развивают свои сервисы мобильных платежей.

Да, там суммы могут быть небольшие – припейдный счёт ограничен суммой четыре тысячи гривен, но на кону репутация и надёжность сервиса.

Ну и в заключение – операторы крайне неохотно комментируют данную проблему, всё сводя к необходимости регистрации припейда.

Гораздо удобнее рассказывать про бигдату, диджитализацию, чем реально внедрять это в нашу жизнь.

А пока в комментариях к истории на Фейсбуке мы видим, что эта история совсем не единичная. Более того, в большинстве упомянутых случаев мобильный оператор один и тот же - Водафон Украина.

Сергей Горбачевский

P.S. Уже после публикации заметки появились рекомендации Водафон Украина и инсайд о том, что поменяли СИМ-карту в Украине, в магазине по последним звонкам. Никакого антифрода, позволяющего проверить местоположение реального хозяина СИМ-карты или понять, что это финансовый номер, нет. Бигдаты нет тем более.

скриншот из Фейсбука

Вы здесь: Home Новости Телеком и IT Колонка редактора Так а можно ли защитить от угона анонимную СИМ?