Коли і чому потрібно прив’язувати SIM-карту до паспорту


В Україні абсолютна більшість абонентів використовують припейд – зв’язок. Один з наслідків цього: абоненти анонімні, компанія-оператор не володіє даними про те, кому саме належить ця SIM-карта, тільки даними про пристрої, його локації і т. д. Кілька разів в країні намагалися ввести обов’язкову реєстрацію припейд-абонентів, але ці ідеї залишилися на стадії проектів, часто наражаючись на критику, мовляв, держава хоче деанонімізувати користувачів.

Однак є один випадок, коли така прив’язка абоненту необхідна: якщо він використовує свій припейд-номер для авторизації важливих онлайн-сервісах: інтернет-банкінгу, основної пошти і т. д. Р

Чому не можна прив’язувати анонімний номер до інтернет-банкінгу або пошти?

Багато сервісів, на кшталт Facebook або Gmail, пропонують прив’язати телефонний номер до аккаунту для більшої безпеки. Найбільший за кількістю користувачів інтернет-банкінгу «Приват24» авторизує своїх користувачів у два етапи: після введення пароля користувачу пропонується відповісти на дзвінок робота, зісканувати QR-код або підтвердити авторизацію в додатку.

Це означає, що якщо шахраям вдається отримати контроль над SIM-картою, вони фактично отримають доступ до всього цифрового життя абонента: соцмереж, робочого та особистого листування, грошей. А процедура відновлення для анонімної припейд-карти — недостатньо складна, щоб нею не користувалися шахраї.

Киянка Ганна Карачинцева нещодавно зіткнулася саме з такою шахрайською схемою. Поки вона була за кордоном, шахраї перереєстрували її SIM-карту на себе і очистили її банківські рахунки на загальну суму в 256 000 грн. Подібні випадки нерідкі і за межами України: інженер з кріптостартапа BitGo втратив $ 100 000, коли шахраї перереєстрували його SIM-карту, поки він спав.

Хто за це відповідає?

Після розглядів, заяви в поліцію і публікацій в ЗМІ банк повернув Ганні гроші. Але ні банк, ні оператор не зобов’язані ні забезпечувати безпеку такого доступу, ні компенсувати збитки. «У договорі оферти оператора написано, що компанія не несе відповідальність у подібних випадках, і у неї немає засобів зі 100% гарантією ідентифікувати анонімного користувача припейду, який прийшов міняти нібито свою SIM-карту», — говорить телеком-експерт Роман Химич. З ним погоджуються і юристи.

«Винищити такий вид шахрайства розчерком пера якогось слуги народу буде досить складно, так як і оператор, і банки в даній ситуації працюють в рамках закону… Якщо ми хочемо піти від такого виду шахрайства тут і зараз – треба заборонити SMS-авторизацію», — говорить Денис Береговий, партнер Axon Partners. Дійсно, в договорах публічної оферти операторів (тобто умовах, за якими погоджується працювати абонент, коли купує послугу) є обов’язок оператора, приміром, не допускати злом своїх мереж або зберігати таємницю телефонних розмов, але немає нічого про забезпечення безпеки фінансового номеру.

Самі оператори говорять про те, що небажано використовувати номер, яким абонент ділиться з усіма, як фінансовий. І рекомендують реєструвати SIM-карту, щоб міняти її можна було тільки за паспортом. До речі, «Vodafone Україна» нещодавно закрив послугу віддаленого відновлення SIM-карти саме через активізацію шахраїв.

Як зареєструвати свій номер?

У всіх українських мобільних операторів є процедура прив’язки анонімного номера до паспорту його власника. Вона більш-менш однакова у всіх операторів: потрібно заповнити заявку, де вказати свої паспортні дані та номер, який абонент хоче таким чином зареєструвати. Для ідентифікації може використовуватися також і паспорт у вигляді ID-картки, водійське посвідчення, закордонний паспорт. Потім піти у фірмовий магазин оператора, де співробітники приймуть заявку, пред’явити документ, що засвідчує особу. З цього моменту замінити SIM-карту можна буде тільки, прийшовши в магазин особисто і показавши документи.

Але є і більш радикальні методи захисту доступу до пошти та рахунків. Можна прив’язувати такі сервіси до номера, який куплений спеціально для цього і ніде не «світився». В цьому випадку доведеться постійно мати при собі два телефони. Або ж використовувати апаратний токен для авторизації: на подібних USB-пристроях, наприклад, можна зберігати зашифровані електронні підписи. Вони можуть використовуватися і замість пароля, і разом з ним.

Насправді викрадення SIM-карти — це тільки окремий, хоч і поширений випадок шахрайства з використанням мобільного зв’язку в ланцюжку авторизації. Адже і SMS, дзвінки можуть надходити фактично з того номера, з якого здійснюються: шахраї можуть представлятися працівниками банку, телефонуючи з телефонів, які виглядають схоже або ідентично банківським.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

two + eight =