У меня зазвонил смартфон: в чем опасность покупки «чужой» SIM-карты
Перевыпущенные SIM-карты — серьезная проблема, заявляют эксперты по безопасности. А ведь, по разным данным, от 19 до 62% предлагаемых в салонах связи номеров уже раньше кому-то принадлежали. Злоумышленник, получивший такой номер, может восстановить пароли и получить доступ к соцсетям и почте, переписке в мессенджерах. Хуже, если мошенник сможет привязать клонированную «симку» к интернет-банку и получить доступ ко всем счетам. Как обезопасить себя от угроз утраты конфиденциальности личных данных — в материале «Известий».
Местo ограниченно
При покупке новой SIM-карты вы с высокой долей вероятности получите уже ранее кем-то использовавшийся номер. Таких номеров, по приблизительным оценкам источников «Известий» в крупных компаниях-операторах мобильной связи, в салонах мобильной связи от 19 до 62% от общего числа предложения. Например, на конец 2020-го года компания «Мегафон» представляла отчет, в котором указывала, что имеет 70,4 млн абонентов и при этом обнаружила 5 млн бесхозных «симок», указали «Известиям» эксперты. Приведенные цифры подтверждают данные и других российских телекоммуникационных компаний.
— Пул номеров, используемый операторами связи, ограничен, поэтому, к сожалению, нет возможности всегда представлять только новые номера, — разъяснили «Известиям» в пресс-службе ПАО «Таттелеком».
В Роскомнадзоре это подтверждают и предупреждают, что, приобретая такой номер, абонент может столкнуться с историей прежнего владельца.
В компаниях отмечают, что если человек не пользуется номером больше полугода, то договор автоматически расторгается и через какое-то время номер может поступить в повторную продажу. Эти условия предусмотрены в договоре и оговариваются с абонентом заранее.
При смене пользователя номера основные риски несет прежний владелец, разъяснили в «Таттелекоме». Ведь номер привязан к SIM-карте, поэтому все SMS-уведомления будут приходить фактическому, то есть новому пользователю SIM-карты.
— Увы, но перепродажа сотовыми операторами SIM-карт с бывшими в употреблении номерами сегодня обычная практика, — говорит Александр Тимофеев, доцент кафедры информатики РЭУ им. Г. В. Плеханова. — Роскомнадзор выделяет ограниченное количество номеров для распределения среди операторов. Чтобы удовлетворить спрос при ограниченном числе номеров, операторы пускают «бесхозные» номера в повторную продажу. К повторному использованию прибегают и в целях экономии. Оператор платит государственную пошлину за каждый приобретенный номер, а также за его обслуживание в биллинговой системе.
Доля вторично используемых номеров значительна и со временем будет расти, прогнозирует руководитель аналитического центра Zecurion Владимир Ульянов.
Каковы потенциальные угрозы
Новый владелец перевыпущенной «симки» вполне может получить доступ, например, к учетным записям прежнего пользователя в соцсетях, если они привязаны к номеру телефона, а не к электронной почте. Особые риски при этом несут владельцы банковских карт, которые не изменили номер телефона, привязанный к карте. Поэтому при прекращении пользования номером необходимо обязательно отвязать его от своих аккаунтов и карт, настоятельно советуют специалисты.
— Для нового владельца риски могут быть связаны в основном с нежелательными звонками, спамом, но вероятность этого не такая высокая, учитывая длительность «карантинного» периода. Речь об обязательном периоде после прекращения договорных отношений с прежним собственником SIM-карты, — говорят эксперты «Таттелекома». — Одним из способов выяснить, использовался ли номер ранее, может стать самостоятельная проверка в интернете (в поисковых системах) пользователем после выбора номера и до его оформления.
Если же оказалось, что номер на нового абонента уже оформлен, но ранее на него был зарегистрирован аккаунт в соцсети, можно попробовать связаться с владельцем с просьбой о смене номера — это в интересах прежнего пользователя SIM-карты. Либо обратиться в администрацию сайта с предоставлением подтверждающих документов, говорят представители телекоммуникационной компании.
В теории новый владелец может просто сбросить пароль и удалить аккаунт или же заменить все данные на свои. Но руководитель аналитического центра Zecurion Владимир Ульянов не советует так делать — неизвестно, каким образом будут расценены подобные действия владельцем аккаунта, администрацией сайта или даже правоохранительными органами, особенно если аккаунт принадлежит активному пользователю. Лучше сообщить о технической накладке, чтобы администраторы выбрали оптимальный вариант, отвечающий условиям использования соцсети.
Бывают случаи, когда владелец телефона покидает страну на длительное время, не меняет привязанный к различным сервисам, в том числе к интернет-банку, номер телефона и сам телефон при этом остается отключенным, отмечает директор по росту BI.ZONE Рустэм Хайретдинов. Тогда оператор перепродает SIM-карту, а ее новый пользователь может восстанавливать пароли от сервисов первого владельца и совершать различные операции. Однако данная схема мошенничества не прибыльна, поэтому используется крайне редко, указывает эксперт. Риски же для последующих владельцев SIM-карты минимальны и скорее представляют собой неудобства, чем реальную угрозу, успокаивает Хайретдинов.
— Когда пользователь покупает новый номер для мобильного, старый или ненужный номер сначала попадает в условный карантин, затем идет на утилизацию. Провайдер связи сам принимает решение относительно того, как долго номера будут находиться в карантине перед утилизацией. Тем не менее такая практика создает потенциальные угрозы с точки зрения безопасности пользователей, которые киберпреступники могут использовать, — подчеркнул в беседе с «Известиями» ИБ-евангелист компании Avast Луис Корронс. — В сети можно найти записи о тысячах миллионов утечек учетных данных, и во многих случаях они содержат номера телефонов. Их можно использовать для взлома учетных записей в обход многофакторной аутентификации по SMS.
Когда пользователь меняет номер, очень важно сразу обновить все учетные записи, в которых этот номер был зарегистрирован, объясняет Корронс. Мессенджеры (например, WhatsApp) также позволяют изменить номер телефона, связанный с учетной записью. При этом вся информация переносится со старого номера на новый, а учетная запись WhatsApp, привязанная к старому номеру телефона, удаляется — ваши контакты больше не будут видеть ваш старый номер телефона в своих списках контактов WhatsApp. Это тоже желательно сделать.
— Хорошей практикой с точки зрения информационной безопасности является использование двухфакторной аутентификации в социальных сетях и других сервисах, — рекомендуют в Angara Technologies Group. — Основная идея такого подхода — кроме пароля, использовать еще и другой фактор, подтверждающий личность пользователя, например push-уведомления или SMS-код для завершения аутентификации. В случае с номером телефона, который потенциально мог уже использоваться другим человеком, усилить уровень безопасности поможет пароль пользователя. Но не стоит забывать, что пароли необходимо регулярно обновлять и изменять.
Поскольку мошенник может привязать клонированную симку к интернет-банку и получить доступ ко всем счетам в Group-IB, советуют следующее.
— Внимательно следите за приходящими SMS о блокировке SIM-карт или перевыпуске, — говорят в Group-IB. — Это действительно важно, ведь у гражданина есть, как правило, сутки на обращение в салон связи и банк, чтобы мошенник не успел ничего предпринять. Чтобы злоумышленники не могли перевыпустить вашу SIM-карту и перепривязать к ней ваш интернет-банкинг, напишите в отделении сотового оператора заявление, ограничивающее смену SIM-карты без вашего участия (например, по доверенности). Уточните, что будет делать ваш банк в случае перевыпуска SIM-карты.
Как быть с чужими долгами
Вместе с приобретением перевыпущенной SIM-карты можно получить плохую кредитную историю (номера телефонов попадают в базы банков и коллекторов) или даже стать объектом «телефонных атак». Кроме того, есть реальный шанс, что вы не сможете зарегистрировать аккаунт в соцсетях. Увы, но в части законодательства существуют некоторые пробелы, досадуют эксперты. Можно, конечно, предъявлять претензии оператору, который не представил необходимую информацию о наличии предыдущих владельцев, но обращений в суд по этому поводу сегодня практически нет, отмечает Александр Тимофеев. В лучшем случае истец может рассчитывать только на компенсацию в пару тысяч рублей.
— Основной риск в том, что вам будут звонить, если у владельца первого номера были большие долги, — говорит гендиректор Telecom Daily Денис Кусков. — Необходимо проверить в интернете или по базам данных, входит ли ваша SIM-карта в различные списки должников.
Если вам звонят коллекторы по долгам прежнего собственника номера, укажите на то, что ваш номер телефона уже переоформлен, и спокойно потребуйте прекратить вас донимать (им за это может грозить штраф по ст. 13.11 КоАП РФ).
— Приобретение SIM-карты у официального представителя мобильного оператора, корректное заполнение формы договора и указание действительных данных нового владельца номера позволит добиться соблюдения своих прав в случае поступления навязчивых звонков, адресованных прежнему владельцу, — советуют в Роскомнадзоре.
