Мы все под колпаком! Раньше это была просто фраза из фильма, теперь у меня есть опасения, что многие наши тайны, контакты и личная переписка действительно могут стать секретом Полишинеля. Произошло вот что: одному из домочадцев понадобился еще один номер телефона, купили SIM-карту у одного из известных операторов связи. Далее стандартная процедура регистрации в мессенджерах. Telegram предлагает: “Введите номер телефона”, на него приходит код, вводишь цифры и волшебным образом открывается не новый чистый аккаунт, а… аккаунт прежнего владельца номера. В нашем случае это был гость с юга по имени Хамидулло. Вероятно, это был молодой человек - на аватарке установлено фото кучерявого мальчика лет трех с огромными, как блюдца, удивленными глазами. Молодые родители часто выставляют снимок своего маленького сокровища - это греет душу. Особенно, когда ты вдалеке от этого сокровища. При этом и в телефоне и в Telegram доступны все контакты и переписки старого владельца SIM-карты (Хамидулло, не переживай, мы ничего не читали - Авт). Залезаю в интернет - наша история далеко не уникальна, другие пользователи описывают аналогичные, не менее впечатляющие ситуации. И удивляются: значит, если я решу поменять SIM-карту, то новый владелец тоже сможет получить доступ к моей переписке?
Кто виноват и что делать? Разобраться в этой ситуации я решил с помощью экспертов по кибербезопасности.
1. Чья это вина: оператор связи плохо “зачистил” SIM-карту или это дыра в безопасности мессенджеров?
- Перевыпуском SIM-карт занимаются операторы связи, - говорит Дмитрий Галов, руководитель Kaspersky GReAT в России. - Почему старые номера используются повторно в общем-то понятно - номерной фонд не бесконечен. Некоторые номера могли сменить уже несколько владельцев. У операторов есть внутренние правила сколько номер должен «отлежаться» после того, как от него отказался владелец. В зависимости от оператора это может разный срок. То есть если вы сегодня отказались от номера, то завтра он в продажу попасть не должен. Считается, что за это время пользователь либо привяжет свои аккаунты к новому номеру телефона, либо они будут заблокированы самим сервисом, как неиспользуемые. Такой период неактивности – по сути основной инструмент, который используют операторы, ведь они не знают, какими сервисами вы пользуетесь.
- Что касается сервисов, то проблема в том, что в какой-то период времени они стали использовать двухфакторную идентификацию, в виде sms-уведомлений, которая на самом деле двухфакторной не является, - объясняет Игорь Бедеров, генеральный директор компании «Интернет-Розыск».
- Что вы имеете в виду?
- Когда мы не регистрируемся заново, а восстанавливаем доступ, то просто получаем на телефон (который сервис распознает, как принадлежащий старому владельцу) код подтверждения, не зная оригинальный пароль от сервиса. То есть в sms-авторизации у нас отсутствует второй фактор. Поэтому sms-восстановление не дает двухфакторной защиты, отсюда возникает главный риск - возможность доступа к данным, переписки и личным аккаунтам человека, который ранее этим номером телефона владел. Пользуясь этой уязвимость, люди - кто случайно, а кто и целенаправленно - начали получать несанкционированный доступ к чужим аккаунтам.
2. Ходят страшные слухи, что мошенники специально покупают б/у номера в надежде выудить конфиденциальную информации и использовать либо для шантажа, либо для взлома банковских приложений. Действительно ли такая практика распространена?
- Теоретически злоумышленники могут покупать SIM-карты и пытаться авторизоваться по номеру телефона в аккаунты других людей, - говорит Дмитрий Галов. – Но ограничений здесь очень много, например с банковским приложением так сделать не получится. Мошенникам должно очень сильно повезти: им должна попасть в руки SIM-карта человека, который не заботился о своей безопасности, у этого человека должен быть зарегистрирован аккаунт в сервисе, который интересует злоумышленников и так далее. В итоге: может ли существовать такой сценарий? Потенциально да. Будет ли он массовым? Нет. Надо добавить, что операторы такую деятельность со своей стороны пресекают. Контроль постоянно ужесточается, например уже невозможно встретить людей, которые в переходах продают SIM-карты с рук. При покупке SIM-карты абонент обязан предъявить паспорт, таким образом оператор может контролировать, кто покупает SIM-карты и в каком количестве. К тому же сейчас пользователь может оформить ограниченное число SIM-карт.
3. Не только Telegram и WhatsApp, но и другие сервисы привязаны к номеру телефона. Госуслуги, например. Какого чувствительного ущерба стоит опасаться здесь?
- Учетная запись в сервисах, где телефон используется в качестве авторизации и не настроена двухфакторная идентификация, может быть потенциально скомпрометирован злоумышленниками, - считает Дмитрий Галов. – Пользователям важно понять, в каких сервисах у них хранятся секретные данные. Многие компании, к счастью, при авторизации просят пользователей пройти верификацию, например даже сфотографироваться или сделать селфи – в частности, каршеринг. Но есть организации, которые такими мерами предосторожности пренебрегают.
- Помимо всего прочего, риск еще и в том, что многочисленные
банковские, кредитные, платежные сервисы тоже привязываются к номеру телефона, - говорит Игорь Бедеров. - И если вы покупаете SIM-карту, которой пользовался должник или злостный неплательщик по кредитам, то получаете все прелести общения с представителями коллекторских агентств. Учитывая, что мы сейчас все SIM-карты жестко привязываем через Госуслуги, то хотелось бы эту проблему как-то решить, чтобы не осложнять жизнь легальным и законопослушным обладателям телефонных номеров. Но она до сих пор не решена.
4. Если пользователь решил поменять номер, какие “гигиенические” процедуры можно провести, чтобы обезопасить себя?
- Важно задуматься о безопасности заранее, не дожидаться момента, когда доступа к SIM-карте и конкретному номеру уже не будет, - объясняет Дмитрий Галов. - Главное правило –использовать двухфакторную аутентификацию. Установить ее можно в настройках сервисов – на сайте или в приложении. В России во всех популярных сервисах такая возможность есть, нельзя ей пренебрегать. Если пользователь отказывается от номера, ему следует сначала подумать, где этот номер используется и написать в техподдержку сервиса о смене номера или указать это в настройках. Многие приложения сами время от времени устраивают эту проверку, тогда человек получаете уведомление с вопросом «является ли такой-то номер телефона вашим?». Важные сервисы предоставляют возможность смены номера. Это делается абсолютно безболезненно. Когда вы привязали аккаунты к новому номеру, зайти в них со старого уже невозможно. К тому же не лишним будет сообщить о смене номера своим друзьям, коллегам, близким, тем с кем вы контактируете.
- А я хочу напомнить, что с этого года появляется риск уголовной ответственности за передачу личных аккаунтов третьим лицам, если они были использованы в противоправных действиях, - обращает внимание Игорь Бедеров. - Это и мессенджеры и социальные сети и электронная почта.
- То есть если ты покупаешь SIM-карту, а к ней привязаны данные прежнего владельца, то попадаешь под проблемы с законом?
- По факту, следуя букве закона, вас можно обвинить в том, что вы получили несанкционированный доступ к персональным данным. А если новый пользователь при помощи этих аккаунтов стал совершать преступления - распространять вирусы или применять мошеннические схемы - то к ответственности может быть привлечен и владелец аккаунта. Который к этому вообще никакого отношения не имеет. Например, он когда-то зарегистрировал на эту карту аккаунт и потом ее утратил и пользовался сервисом не зная, что он еще привязан к этому номеру.
5. Что делать, если вам попала SIM-карта, к которой привязаны данные прежнего владельца?
Во-первых, если случайно открылся доступ к чужому аккаунту - не надо в него заходить.
Во-вторых, необходимо обратиться в техническую поддержку сервиса (например, Telegram или ВКонтакте) и попросить отвязать чужой аккаунт от своего номера. В качестве подтверждения законных прав на SIM-карту верифицируйте ее через Госуслуги, предоставьте договор с оператором связи. Далее просто следуйте указаниями сотрудников техподдержки. Вам должны предоставить новый аккаунт.
В-третьих, стоит связаться с оператором связи. Они могут перевести вас на новый номер, если тот, который вы купили, является источником нерешаемых проблем.
P.S.
Эксперты считают: чтобы решить проблему с бэушными SIM-картами необходимо повсеместное внедрение полноценной двухфакторной идентификации. Либо через доверенное приложение (банковское, Госуслуги или приложение Аутентификатор генерирующее уникальный код на каждую вашу авторизацию), через внешний портал или МФЦ. Потому что sms-оповещение не является достаточно надежным и безопасным способом идентификации пользователей.
Автор: Ярослав КОРОБАТОВ
Оценили 11 человек
16 кармы