Мошенники научились получать доступ к онлайн-банкингам клиентов российских банков с помощью кражи их мобильных номеров eSIM. Ведущий аналитик Регионального общественного центра интернет-технологий, координатор Центра безопасного интернета Урван Парфентьев рассказал корреспонденту Finfeel.ru о том, есть ли возможность уберечься от подобного взлома, из-за которого можно полностью потерять контроль над своей «цифровой жизнью».
Как пишет «Российская газета» со ссылкой на аналитиков компании F.A.С.С.T., злоумышленники крадут номера телефонов при помощи процедуры восстановления или подмены встроенной цифровой карты, которая во многих смартфонах выполняет функцию стандартной SIM-карты.
Чтобы получить QR-код или код активации адреса SM-DP+ хакеры формируют заявку на перевод номера. В результате мошенники получают коды доступа, которые дают возможность пользоваться всеми аккаунтами, привязанными к номеру жертвы. Иными словами, вся «цифровая жизнь» человека, которая сегодня защищена именно мобильными номерами, переходит под контроль преступника.
«Здесь мы видим классическую «кражу идентичности», когда пользователь теряет целиком и полностью управление своей «цифровой жизнью», потому что ключ от нее — мобильный номер — выходит из-под его управления. В данном случае преступники атакуют мобильные аккаунты, где для доступа к мобильным услугам используется eSim, так как в данном случае снижаются риски по перевыпуску физической SIM-карты», – объясняет ведущий аналитик РОЦИТ Урван Парфентьев.
Как отмечает эксперт, не менее уязвимы физические SIM-карты, оформленные на другое лицо, приобретенные не по паспорту. В обоих случаях преступникам проще совершить «кражу идентичности».
«Аналогичная ситуация может возникнуть и в случае с «физической» SIM-картой, если пользователь использует так называемую «левую симку» — то есть мобильный номер, оформленный на другое лицо. В последнем случае ситуация в чем-то аналогична «покупке автомобиля по гендоверенности», популярной в 90-е и начале 2000-х — человек физически имеет возможность пользоваться вещью, но юридически она ему не принадлежит и легко может выйти из его владения по закону», — отмечает Урван Парфентьев.
Специалист советует особое внимание уделить защите личного кабинета. А в случае, если возникнут подозрения в том, что номер пытаются «угнать», обращаться к мобильному оператору. Но и тут стоит помнить важные правила.
«Личный кабинет пользователя требует соответствующей защиты — сложного пароля и обязательно двухфакторной аутентификации (до тех пор, пока номер не «угнали», она защищает пользователя, а после «угона» начнет уже «работать на мошенника»). В случае выявления подозрительных действий нелишне связаться с Вашим мобильным оператором, но только не по номеру или ссылке, который Вам прислали (допустим, в мессенджере) — номер лучше уточнить на сайте оператора (во всех случаях это «короткий номер») и набрать его на телефоне вручную», - порекомендовал Урван Парфентьев.