В пятницу столкнулся с крайне неприятной ситуацией – Киевстар на основе какой-то внутренней инструкции изъял мою СИМ-карту со всеми контактами. На все мои вопросы «Зачем вам моя СИМ-карта?», ответ был: «У нас так положено». А когда мне выдали чек, то выяснилось, что это вовсе и не Киевстар, а третье лицо – Сота-Альянс.

Пока не понятны масштабы завладения Киевстаром и его партнёрами чужой персональной информацией, но это точно миллионы СИМ-карт, на каждой из которой хранится чувствительная информация.

Зачем она Киевстару, сам Киевстар и его СЕО, мистер Комаров пока не комментирует. А жаль. Возможно поможет с объяснением отраслевой регулятор – НКРСИ. На каком основании Киевстар изымает чужую собственность, которая ещё и содержит много персональной информации.

А может работают на ФСБ?

Сергей Горбачевский

В конце июня в нашей стране каждый год происходит замечательный перфоманс – политический бомонд, а также финансовые и деловые журналисты вдруг превращаются в страстных любителей джаза. Джаза имени российского олигарха Михаила Фридмана. Зачем это Фридману понятно. Достаточно сравнить санкционный и невъездной статус другого российского олигарха Евтушенкова со статусом любимчика Фридмана.

Пока в стране не было войны, это действо воспринималось более спокойно. Сейчас же люди, которые вопят про гибридную войну, российских оккупантов, вдруг спокойно принимают милостыню из российских рук и едут на шарика веселиться во Львов, превращаясь из журналистов в писунов на поводке.

!Помимо россиян в покатушках задействована и уважаемая компания MasterCard. Причём раньше хоть обеспечивали какой-то минимальный формальный повод – показывали современные безналичные платёжные технологии. Сейчас не заморачиваются и на это – едут сугубо за релаксом. Надеюсь, что и комплаенс их не пострадал.

Но и это пол-беды. Дело в том, такая взятка за лояльность запускает цепную реакцию  – конкуренты всех этих мастеркардов с киевстарами должны предпринять ответные действия в борьбе за лояльность писунов. И в результате получаем всеобщую лояльность писунов, отвратительную джинсу и отсутствие приличных деловых СМИ.

А, ещё момент – писуны научились делать деревянные медали и в конце года делают ответный перфоманс – определяют лучшего по профессии в отрасли, о которой они пишут. Наибольшие шансы на деревянную медаль у организаторов лучших покатушек. Это же очевидно.

На выходе имеем круглогодичный слащавый пиар и самую бедную страну в Европу, в которой мало что меняется. В том числе и состояние войны.

А чтобы не раздражать патриотов джаз фест перекрасили, убрав оттуда слово Альфа, как прямое указание на Фридмана.

Недавно интернет взорвала история о том, как у одной айтишницы сначала увели припейдную СИМ, а потом и 300 тысяч гривен с различных счетов и аккаунтов.

Позиция оператора была странной, мол сама дура, нужно было зарегистрировать на себя у оператора эту СИМ-карту. Регистрация, конечно, штука хорошая, у меня возник вопрос – а какая проблема защитить от угона анонимную СИМ-карту с длинной историей?

Короткий ответ – никакой. Для тех, кто не в теме, объясняю. У мобильного оператора огромный цифровой массив данных про любую его СИМ-карту. При этом этот массив не зависит от того, контрактная эта СИМ или припейдная (предоплаченная). В этом массиве хранится телефония – информация о звонках и СМС, данные о пополнениях счёта, геоданные и много-много чего другого. Эти данные можно назвать цифровым паспортом абонента. Причём, в отличие от обычного паспорта, эти данные есть только у мобильного оператора. Ксерокопия же паспорта хранится во многих местах, а просто паспортные данные хранятся в огромном количестве баз данных, которые периодически сливаются в сеть.

Мошенники давно пытаются использовать процедуру восстановления СИМ-карты для её угона. Успешность угона зависит от двух главных факторов – сложности процедуры идентификации владельца и наличия сообщника в рядах мобильного оператора.

Сразу скажу, что наличие сообщника в среде оператора сильно упрощает задачу угона, но при грамотном подходе к организации защиты СИМ-карты и с этому можно противостоять.

А вообще идеальное решение это максимально исключать человеческий фактор из доступа к «цифровому паспорту». Хороший пример – компьютерная сдача экзаменов и тестов.

Сейчас для удалённой идентификации абонента используется довольно небольшой набор данных:

- ПИН-ы и ПАК-и

- кодовое слово

- информация о последних входящих и исходящих вызовах

- информация о пополнениях счёта.

Обычно мошенники не знают первых два пункта и пытаются сымитировать информацию по последним двум пунктам – сами пополняют счёт, делают входящие звонки, вынуждают к перезвону и так далее.

Как мы видим, алгоритмы идентификации, построенные на этой информации, выглядят малонадёжными.

Поэтому возникает вопрос – а почему операторы не используют весь массив информации, который у них есть.

Ну, например, мобильный оператор может легко определить, что номер является финансовым. Об этом говорит большое количество СМС от банка(ов). Оператор видит координаты абонента. Например, что он находится заграницей. Оператор видит координаты того, кто пытается восстановить СИМ-карту. Даже без алгоритмов так называемой бигдаты можно распознать подозрительные действия.

С использованием алгоритмов бигдаты мошенники отсекаются просто на раз.

И это только первая линия защиты. Вторая линия защиты это взаимодействие банка и оператора.

Вы спросите, почему операторы не напрягаются с защитой анонимных СИМ-карт. Всё просто – лень и деньги.

Но, что самое удивительное – с таким подходом к защите от угоны СИМ-карты операторы активно развивают свои сервисы мобильных платежей.

Да, там суммы могут быть небольшие – припейдный счёт ограничен суммой четыре тысячи гривен, но на кону репутация и надёжность сервиса.

Ну и в заключение – операторы крайне неохотно комментируют данную проблему, всё сводя к необходимости регистрации припейда.

Гораздо удобнее рассказывать про бигдату, диджитализацию, чем реально внедрять это в нашу жизнь.

А пока в комментариях к истории на Фейсбуке мы видим, что эта история совсем не единичная. Более того, в большинстве упомянутых случаев мобильный оператор один и тот же - Водафон Украина.

Сергей Горбачевский

P.S. Уже после публикации заметки появились рекомендации Водафон Украина и инсайд о том, что поменяли СИМ-карту в Украине, в магазине по последним звонкам. Никакого антифрода, позволяющего проверить местоположение реального хозяина СИМ-карты или понять, что это финансовый номер, нет. Бигдаты нет тем более.

Недавно предложили одну удалённую работу на фрилансе. Задаю вопрос заказчику «Какой механизм оплаты?» Ответ «Пополняем мобильный счёт». Интересная история, да?

Причём привлекательность мобильных денег для взаиморасчётов резко возросла после того как НБУ разрешил выводить деньги с мобильного счёта на платёжную карту, а по сути обналичивать. Более того, совсем недавно крупнейший мобильный оператор Киевстар выводил деньги с мобильного счёта на карту совершенно бесплатно с целью популяризации своих мобильных денег.

Казалось бы какая угроза в мобильных деньгах, никто же не платит зарплату или пенсию на мобильный счёт. Но на самом деле, существует огромная армия людей, которые получают вознаграждение на мобильный счёт и не платят с заработка никакого налога.

Кто это? Перечислим:

- фриланс

- мобильные игры

- выплаты букмекерских контор

- оплата запрещённых товаров и многое другое.

Кто-то может возразить, что есть ограничения по объёму платежей за раз, за месяц и так далее. Но при этом нет ограничений на количество мобильных счетов. Тем более, что мобильный припейд в нашей стране анонимный.

В принципе, со стороны государства было бы правильным запретить вывод мобильных денег на банковскую карту. Это бы резко снизило привлекательность мобильных денег для выплаты вознаграждения и никак не повлияло бы на микро-платежи с мобильного счёта.

А вот размер микро-платежей тоже нужно законодательно ограничить. Как может оплата ЖКХ относиться к микро-платежам? Микро-платежи это аналог мелких денег – кофе купить, билет в кино и т.д.

Мы же нормально относимся к ограничениям на бесконтактные платежи без ввода PIN-кода. Примерно тоже самое должно быть и с мобильными деньгами.

Сергей Горбачевский