В 2018 году Америка обнаружила, что беззащитна перед кражей номеров мобильной связи. Этот негативный опыт имеет непосредственное отношение к нашей стране. Дело в том, что источником проблем в США стала услуга переносимости номеров (MNP).
Как было рассказано в первой части материала, в США кража номеров мобильной связи оказалась популярным криминальным бизнесом. Причиной этого является широчайшее распространение двухфакторной авторизации всевозможных интернет-сервисов, включая банковские, криптовалютные, социальные и т.п.
В абсолютном большинстве случаев американские мошенники используют услугу переноса (porting) номеров мобильной связи. Именно поэтому данный приём известен в США под названием «port out scam». Эту идиому можно перевести как «фуфловый перенос» или «портирование фуфла». Восстановление утерянных или испорченных SIM-карт также используется в этих целях, но намного реже.
Мне стало интересно понять, почему имеет место такой дисбаланс и как можно использовать американский опыт в родных палестинах.
Риски MNP
Принятая в США процедура переноса номеров предполагает, что абонент подаёт заявление только один раз тому оператору, к которому собрался переходить. Получив заявку, этот оператор самостоятельно связывается с оператором, от которого абонент уходит. Доминирует удалённая (дистанционная) процедура подачи заявки посредством заполнения анкеты и, насколько могу судить, не предусматривающая сколь-нибудь серьёзных процедур идентификации заявителя.
Очевидно, что такая схема резко увеличивает риски злоупотреблений, с одной стороны, и приводит к размыванию ответственности, с другой. Фальшивая заявка на перенос номера может возникнуть как у оператора-донора, так и у принимающей стороны. Отсутствие верификации персональных данных заявителя затрудняет оперативное выявление подлога. Если законный пользователь номера находится на отдыхе за рубежом, он может узнать о хищении только постфактум, через много дней.
Между тем решение НКРСИ «Про затвердження Порядку надання послуг із перенесення абонентських номерів» предлагает аналогичную схему взаимодействия абонента и операторов:
«5. Після отримання письмової або здійсненої дистанційно за допомогою засобів зв’язку заяви абонента про припинення надання послуги (послуг) у зв’язку з перенесенням абонентського номера до мережі оператора-отримувача базовий оператор припиняє базове надання телекомунікаційної послуги (послуг) та нарахування абонентної плати в момент завершення перенесення абонентського номера.
15. Абонент, який бажає отримати ППН, звертається до оператора-отримувача із заявою, оформленою одним з таких способів:
— в письмовому вигляді до пункту обслуговування абонентів оператора-отримувача;
— дистанційно з використанням засобів зв’язку за допомогою телефону або з заповненням інтерактивної форми заяви на офіційному веб-сайті оператора-отримувача».
Текст решения не содержит указаний касательно идентификации абонентов при дистанционной подаче заявки. Мало того, ничего не говорит на сей счёт и технический регламент переносимости номеров, известный как «Опис технологічного процесу обробки даних в АІС ЦБД ПН». Учитывая тот факт, что ЭЦП и Mobile ID располагает дай бог если 10% населения, речь может идти разве что об отправке пресловутых сканов паспорта.
Пока что вырисовывается картина, при которой идентификация заявителей в этом случае будет происходить по ксерокопиям их документов. Не знаю как сейчас, а год назад дилерские салоны как минимум одного из операторов не имели доступа к Единому государственному демографическому реестру. Всё, что может сделать сотрудник такого салона, это отсканировать документы заявителя да сличить его физиономию с фотографией. О полноценной проверке личности заявителя в такой ситуации речи быть не может.
Необходимо принять как факт, что в условиях нынешней Украины невозможно защитить свои персональные данные от разглашения. Ксерокопии паспорта и прочих документов, данные о регистрации и кредитная история — всё можно раздобыть за не очень большие деньги. Давайте исходить из того, что мы уже оказались в мире, где невозможно сохранить что-либо в секрете. Поэтому целесообразно обсуждать то, каким образом предотвратить противоправное использование наших персональных данных.
В случае мобильной связи основные риски связаны с потерей контроля над SIM-картами и номерами, которые наряду с адресами электронной почты или учётными записями в социальных сетях являются важным элементом нашей «цифровой идентичности». Точнее, цифровой части нашей идентичности, нашего «я».
Каким именно образом злоумышленники будут использовать захваченный номер — для кражи наших денег или секретов, — неважно. Важно понять какие лазейки имеются в их распоряжении.
В случае той процедуры MNP, которая утверждена в настоящее время, имеются, как минимум, две возможности для злонамеренного завладения чужими номерами. В рамках первой из них злоумышленникам необходим сообщник в салоне обслуживания хотя бы одного из операторов. А это, напомню, даже не обязательно штатные сотрудники «большой тройки», поскольку в Украине абсолютное большинство таких салонов поддерживают мультибрендовые сети. Что может понадобиться такому «кроту», чтобы отчитаться и прикрыть задницу? Правильно, ксерокопии заявления и паспорта заявителя. Злоумышленникам достаточно изготовить ксерокопии поддельного (с переклеенной фотографией) удостоверяющего документа и доверенности, якобы оформленной пользователем искомого номера. Это, наверное, самая простая задача, для которой не нужно ничего, кроме фотошопа, принтера и некоторого количества денег.
При разбирательстве коррумпированный сотрудник дилерского салона или центра обслуживания сможет озвучить железобетонную версию: доверенность и паспорт выглядели как настоящие, вот ксерокопии, фото в документе соответствовало физиономии заявителя, а данные в доверенности — данным его паспорта. Ничего не знаю, ни в чём не виноват… Напомню, что у сотрудников дилерских салонов нет доступа к реестру паспортов, а данные о доверенностях в принципе невозможно проверить.
Я не вижу оснований полагать, что в нищей Украине будет сложнее коррумпировать сотрудников, нежели в куда более зажиточных США. Вот и криминальные новости это подтверждают: всего-то за 400 гривен сотрудник известного своими инновациями «Приватбанка» сливал информацию о клиентах неназванным преступникам. Кстати, 400 грн. это примерно дневной доход, как и 80 долларов в США. Остаётся догадываться, сколько подобных случаев в Украине остаются неизвестными.
Если же приём заявок действительно будет возможен путём заполнения электронной анкеты и предоставления цифровых копий документов, тогда всё окажется ещё проще. Достаточно купить цифровые копии документов жертвы и прислать от её имени запрос. Именно так, к слову, оставшиеся неизвестными мошенники оформили сотни, если не тысячи подложных онлайн-кредитов в компании в Moneyveo. Об этом можно будет прочитать в четвёртой части.
Если операторы попытаются проверять личность заявителя, присылая SMS с условным кодом, мошенникам поможет использование давно известных уязвимостей технологий мобильной связи. Впрочем, эти же уязвимости можно использовать и для взлома двухфакторной авторизации на базе SMS напрямую, без хищения номера.
Однако переносимость номеров всё ещё остаётся умозрительной перспективой. Не факт, что в 2019 году случится чудо и украинцы смогут, наконец, беспрепятственно менять шило на мыло. Уже сегодня, сейчас есть ряд проблем, требующих своего решения. Напомню, что данная услуга будет предоставляться только тем абонентам, которые себя так или иначе персонифицировали, то ли в рамках контрактной формы обслуживания, то ли с помощью добровольной регистрации своего предоплаченного номера.
Учитывая тот факт, что свыше 90% украинцев используют именно предоплаченную форму обслуживания, успех MNP в Украине тесно связан с возможностью добровольной регистрации своего номера. А с регистрацией, к сожалению, тоже всё далеко не гладко. Об этом — в следующей части.
Оглавление
Цена наших данных: как это делается в Америке
Цена наших данных: переносимость мобильного фуфла
Цена наших данных: риски добровольной персонификации
Цена наших данных: треш и угар украинского «финтеха»
Цена наших данных: вызовы и ответы
