К списку вопросов
Кибербезопасность
Чем опасно пользоваться общедоступными виртуальными номерами телефонов при регистрации на сайтах?
Дебетовая карта+2
Какие схемы мошенники применяют чаще всего для кражи денег?
И какие вредные привычки пользователей облегчают им задачу?
Банк+3
Что сделать, если забыл логин и пароль от интернет-банка?
Дебетовая карта+2
Можно ли взломать биометрические данные клиента банка?
Сегодня в интернете можно встретить описание новой схемы кражи денег с карты: мошенники звонят клиенту под видом сотрудника банка, но не спрашивают CVV-код или пароль из СМС, а просят ответить на простые, безобидные вопросы, хорошо ли их слышно, например. Клиент отвечает «да» и именно это мошенники и записывают. А потом звонят в банк, используя технологию подмены номера (банк видит, что звонок поступает с номера клиента), и используют записанный голос для проведения операций по карте. Такое вообще возможно? И если да, то как защититься от нового способа мошенничества?
Задайте свой вопрос
Эксперты по финансам и страхованию подробно ответят на него в течение дня
В эпоху интернета для регистрации на любой площадке требуется смс активация или звонок на мобильный телефон. Как правило, это останавливает большинство алгоритмов (ботов) и вредоносных программ. Однако для обычных пользователей, не желающих «светить» номер телефона, система представляет определенную опасность, так как есть риск передачи данных мошенникам.
Для чего нужен виртуальный номер
Виртуальным номером называется услуга, предоставляемая операторами связи или сторонними площадками. Главное преимущество — отсутствие привязки к местоположению пользователя, что гарантирует анонимность. Чтобы использовать виртуальный номер, достаточно иметь стабильное соединение с интернетом и соответствующую технику (смартфон, ПК, ноутбук).
Обычно пользователи арендуют номер на небольшой промежуток времени для регистрации в интернете. Алгоритм действия прост: указываются временные цифры, на которые приходит СМС или звонок. Как уже упоминалось выше, это нужно для предотвращения любого вида спама, так как недобросовестные интернет-площадки передают данные в колл-центры.
Помимо защиты от мошенников и спама виртуальные номера используют для бизнеса. Существуют программы, позволяющие принимать звонки потенциальных покупателей с помощью функции переадресации. Цифровые значения ничем не отличаются от обычных городских или мобильных телефонов.
Преимущества использования виртуальных номеров
С каждым годом все больше людей предпочитают использовать виртуальные номера. Обусловлено это следующими преимуществами:
- выгода от использования (программы позволяют сделать звонки практически бесплатными, что особенно актуально для связи с людьми из других стран);
- простота использования — потребуется только стабильное соединение с интернетом;
- номер не привязан к конкретному местоположению;
- при необходимости есть возможность выбрать любой код города;
- разделение личного номера и рабочего.
Кроме того, используя программы, можно делать массовую рассылку СМС-сообщений абсолютно бесплатно (конечно, понадобится внести оплату за пользование виртуальным номером). Для фирм и компаний, занимающихся продажей товаров или услуг, доступна многоканальная линия связи, позволяющая обрабатывать большое количество вызовов.
С каждым годом для виртуальных номеров предусматривается дополнительный функционал, например голосовое меню, позволяющее связаться сразу с нужным отделом или человеком. Для бизнеса сложно переоценить значение подобных услуг. Для обычных пользователей доступна краткосрочная аренда.
«Новая эра конфиденциальности»
В начале декабря разработчики Telegram объявили о глобальном обновлении. Одно из ключевых нововведений — теперь аккаунт в Telegram можно зарегистрировать без SIM-карты, воспользовавшись анонимными номерами на базе блокчейна. Приобрести такие номера можно на платформе Fragment. Стоимость случайного номера оценивается в 9 TON (около 1 тыс. руб.), а для желающих приобрести «золотые» и узнаваемые номера добавили возможность купить их на торгах.
В пресс-релизе к обновлению разработчики связывают нововведение с «новой эрой конфиденциальности». Так, по заверению создателей сервиса, пользователи мессенджера смогут чувствовать себе в еще большей безопасности.
Между тем, в беседе с «Газетой.Ru» генеральный директор Telecom Daily Денис Кусков отметил, что покупка анонимных номеров для регистрации в мессенджере может заинтересовать владельцев так называемых «скрытых» Telegram-каналов.
«Новая фишка, конечно, интересна скрытым Telegram-каналам, которые не хотят афишировать своих владельцев. Но с точки зрения правопорядка у нас это не приветствуется.
Вполне вероятно, это может привести Роскомнадзор в активную стадию — возможно, попросят отменить анонимные номера на территории России.
Потому что Роскомнадзор боролся за идентификацию пользователей во всех мессенджерах по номеру телефона, а сейчас, получается, это делать совершенно не нужно», — заявил Кусков.
Генеральный директор юридического бюро «Лабазнов и партнеры» Антон Лабазнов в беседе с «Газетой.Ru» напомнил, что в октябре 2018 года правительство России утвердило правила, согласно которым на оператора мессенджера возлагается обязанность по проверке связи учетной записи с телефонным номером. Причем номер должен быть зарегистрирован на реально существующего человека.
«Обычно организатор сервиса обмена сообщениями предлагает пользователю совершить действия с использованием абонентского номера путем ввода SMS-кода или комбинации цифр номера телефона из входящего звонка. После этого организатор обязан направить запрос оператору мобильной связи о наличии номера в базе данных последнего. По итогу организатор сервиса получает либо положительный, либо отрицательный ответ и принимает окончательное решение относительно регистрации пользователя. Передачи паспортных данных в данном случае не происходит, однако такая идентификация позволяет избежать мошенничества, экстремизма, терроризма и других уголовно-наказуемых деяний в социальных сетях», — отметил Лабазнов.
Эксперт не исключает вероятность появления множества аккаунтов, преследующих цель совершения мошеннических действий или ведения незаконной предпринимательской деятельности. К тому же невозможность отслеживания геопозиции делает пользование мессенджером практически полностью анонимным.
«Прямого законодательного запрета на использование виртуальных номеров в настоящий момент в России нет. Административная ответственность предусмотрена за предоставление возможности использования анонимайзеров и VPN-сервисов их владельцами для доступа к информационным ресурсам.
Однако к продаже и использованию виртуальных номеров никакого отношения это не имеет. Введение ограничений и запретов представляется вполне вероятным при условии, что будут серьезные поводы и основания для их введения — например, возрастет число правонарушений или преступлений с использованием анонимных номеров», — рассказал Лабазнов.
Эксперт считает, что в настоящий момент об этом сложно судить, поскольку неизвестно, какое распространение данное нововведение получит в российских реалиях.
Новая эра мошенничества?
Заместитель главы комитета Госдумы по информационной политике Антон Горелкин в беседе с «Газетой.Ru» выразил уверенность в том, что нововведение не будет пользоваться популярностью у кибермошенников.
«Телефонные номера, которые продаются на аукционе Fragment, могут использоваться только для привязки к аккаунту Telegram. Это внутренние виртуальные номера, позвонить с них можно только другому пользователю мессенджера. Получить на такой номер SMS, а значит, привязать его к каким-либо сервисам невозможно. По этой причине виртуальные анонимные номера Telegram вряд ли будут пользоваться популярностью у мошенников — к тому же, это платная и сравнительно недешевая услуга», — считает Горелкин.
Похожим мнением с «Газетой.Ru» поделился и руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
«Что такое платформа Fragment? Это, вероятно, созданная самим Дуровым платформа для дополнительного заработка. Это платформа, на которой в том числе реализуются коммерческие никнеймы. Пойдем по конкретике — стоимость виртуального номера составляет 9 TON. Это очень дорого по сравнению с тем, что пользователь может купить в интернете и не так анонимно — приобрести просто на развале SIM-карту стоит 200 руб. Примерно таких же денег стоит купить виртуальную SIM-карту где-нибудь за границей и оплатить это криптовалютой, что будет намного безопаснее для конечного пользователя», — отметил Бедеров.
По словам эксперта, ни один киберпреступник не станет покупать виртуальные номера Telegram не только из-за высокой стоимости, но и из-за недоверия к основателю Telegram Павлу Дурову.
«Ни один киберпреступник, скорее всего, предложением Дурова не воспользуется, потому что все и так понимают, что Дуров читает переписку, контролирует полностью всех своих пользователей, продает их данные. Google, Apple и Яндекс — это все прекрасно понимают. Подарить ему свою коммерческую информацию, данные кредитки и всю сопутствующую подноготную никто не хочет. Кроме всего прочего, мы уже исследовали эту историю и выяснили, что использование платформы Fragment позволяет повысить, а не понизить степень идентификации пользователей», — считает Бедеров.
Однако само появление платформы Fragment, на которой пользователи могут покупать никнеймы и виртуальные анонимные номера, приведет к росту фейковых предложений под видом Fragment, добавил руководитель департамента информационно-аналитических исследований компании T.Hunter.
«Этой историей с продажей номеров и никнеймов через платформу Fragment естественно воспользуются злоумышленники. Начнут клепать левых ботов, левые сервисы, сайты, через которые будут предлагать подобного рода услуги. Возможно, со скидками, и это будет обычным прямым мошенничеством», — считает эксперт.
Мы пользователи, и обычно хотим всего и сразу. Сначала нам нужна двухфакторная аутентификация для защиты наших аккаунтов, а ещё удобные оповещения на почту и по SMS. Потом мы ищем приватности и пытаемся уберечь свои телефоны и e-mail от спама.
В результате такого противоречия набрали популярность сервисы, где можно получить временный почтовый ящик или временный телефонный номер.
Последние заинтересовали аналитиков Digital Security. Некоторое время мы наблюдали за активностью на подобных сервисах и анализировали, для чего люди используют временные номера, и безопасная ли это вообще затея. (Спойлер: нет). Результатами наблюдений делимся в статье.
Disclaimer: ни один беспечный пользователь не пострадал (от наших рук). При подготовке материала специалисты Digital Security не нарушали приватность пользователей данных сервисов. Все сценарии атаки сконструированы на основании открытой информации и нашего профессионального опыта.
Итак, начнём. По запросам «временный номер», «телефонный номер онлайн», «бесплатный прием смс» и подобным в поиске выпадает множество сервисов, платных и бесплатных. Они могут выглядеть, например, так.
Далее вы можете «арендовать» номер и указать его по месту требования (при регистрации где-либо, оформлении заказа и т.д.). Для каждого из номеров доступен чат, где в режиме реального времени отображаются приходящие на него СМС. Например, так:
На первый взгляд выглядит довольно невинно, но давайте посмотрим глубже.
Больше, чем код
Большинство сообщений на временные номера — это коды подтверждения. Казалось бы, кому нужен мой код подтверждения? Код, действительно, бесполезен. Однако в сообщении также виден ресурс, к которому был привязан телефонный номер.
Это значит, что злоумышленник может попытаться получить доступ к аккаунту, нажав «забыл пароль». Многие ресурсы позволяют сменить пароль и отправляют СМС с кодом подтверждения всё на тот же номер.
Варианты дальнейшего развития событий самые разные: зайдя в учетную запись, можно увидеть конфиденциальную информацию (вроде адреса доставки посылки, данных привязанной банковской карты и т.д.). Или отменить совершенную покупку. Или потратить уже накопленные бонусные баллы. В любом случае довольно неприятно.
Кстати, некоторые ресурсы присылают по СМС не просто код подтверждения, а сам пароль от учетной записи. И злоумышленник опять-таки может украсть аккаунт, если сменит пароль на новый.
Пароли, присылаемые по СМС, мы советуем сразу менять в личном кабинете на собственные, даже если вы используете свой настоящий номер телефона
А вот и примеры подобных сообщений:
Ставки растут
В практике Digital Security встречается разное, но, признаться, нас всё же удивило, что временные номера часто использовались для серьёзных вещей: оформления документов, совершения покупок и банковских операций.
Начнём с предоплаченных покупок в интернет-магазинах. Самое безобидное последствие — покупатель может упустить дальнейшие сообщения о статусе заказа. К тому же, иногда курьеры звонят по указанным номерам, чтобы уточнить место или согласовать время доставки, что будет затруднительно в данном случае. Но главный риск в том, что уже оплаченную покупку заберут раньше покупателя.
Нам попалось, например, такое сообщение:
Надеемся, оплаченный заказ на сумму почти 13 тысяч рублей дождался своего настоящего хозяина в DNS на Народном бульваре.
А вот кто-то оформил с помощью временного номера полис ОСАГО. Злоумышленник, отловивший такое сообщение, может зайти в личный кабинет и получить доступ к паспортным данным.
Далее несколько примеров взаимодействия с банками:
И напоследок мы обратили внимание на функциональность перевода по номеру телефона в мобильных банковских приложениях и решили кое-что проверить. Забив рандомные временные номера в своих приложениях, мы обнаружили, что да, есть банковские карты, привязанные к ним. Например:
Мария Р., вы разбиваете наши сердца. С уважением, сотрудники Digital Security.
К счастью, в банк-клиент нельзя войти, зная только лишь номер телефона. Однако оформлять карту на виртуальный номер, указывая при этом свои паспортные данные или любую другую чувствительную информацию, не стоит.
Подведём итоги
Итак, насколько страшно всё, что мы обнаружили? Зависит от того, кто и для чего использует номер. Преимущественно они пригождаются не для самых благородных дел.
Например, при регистрации ботов в немереном количестве для накрутки лайков. Для небольших махинаций — получить промокод/подписку за новую регистрацию, и для мошенничества посерьёзнее — привязать чужую бонусную карту к своему аккаунту и потратить бонусные баллы (многое было написано про взлом программы лояльности «Перекрёстка»).
Однако виртуальные номера «арендуют» и простые пользователи в своих вполне невинных целях. Количество утечек баз данных с номерами телефонов удручает, возможность перевыпустить сим-карту без ведома владельца — тоже давно не новость.
Поэтому нежелание светить свой реальный номер телефона вполне объяснимо, и подобные сервисы могут быть удобны. Регистрируйтесь с ними, если не боитесь потерять аккаунт или раскрыть важную информацию.
В противном случае безопаснее использовать свой настоящий номер телефона. Например, при регистрации в мессенджерах и соцсетях. Одни почтовые сервисы и мессенджеры идентифицируют временный номер как ненадёжный и блокируют его, а другие легко предоставляют доступ к уже зарегистрированной учетной записи.
Поэтому любые ресурсы, где хранится личная информация о вас, не лучшее место для использования общедоступных номеров. Мобильный банк также должен быть привязан к настоящему номеру телефона.
Мы понимаем, что большинство пользователей, используя данные сервисы, не предполагают всех возможных последствий. Надеемся, что наш материал заставит задуматься о них и осознанно использовать либо свои настоящие контактные данные, либо же «арендованные».
Виртуальный номер — это телефонный номер, который не привязан к конкретному оборудованию или сим-карте. Эта услуга доступна у большинства популярных мобильных операторов. Эксперты Центра цифровой экспертизы Роскачества разбираются в преимуществах такого номера.
В современном мире много ситуаций, когда человек не хотел бы «светить» своим личным номером телефона, чтобы сохранить максимальную конфиденциальность и не получать нежелательные звонки или СМС с рекламой.
Например, вы заполняете анкету на получение бонусной карты в магазине. Если указать свой личный номер, то вместе с бонусами рискуете обнаружить в СМС-сообщениях и рекламный спам. Выход — завести виртуальный номер.
Он выручит при разных жизненных обстоятельствах:
-
Оставляя свой основной номер в объявлениях о продаже чего-либо, вы рискуете отбиваться от звонков даже по окончании сделки. А виртуальный номер можно отключить сразу после продажи.
-
Регистрация на различных сайтах также будет более быстрой и «безболезненной». Вам не придется волноваться, что кто-то узнает ваш номер или что алгоритмы соцсетей будут рекомендовать вам в друзья всю вашу записную книжку.
-
Виртуальный номер можно привязать к своей банковской карте и использовать его только для этой цели. Таким образом снижается вероятность получать подозрительные звонки — ваш номер будут знать только работники банка.
-
Виртуальный номер поможет упорядочить звонки и сообщения. Разделить рабочие и нерабочие, личное и очень личное.
Сергей Кузьменко
старший специалист по тестированию цифровых продуктов
Виртуальный номер — отличное решение для сиюминутных нужд. Однако не стоит забывать, что среди бесплатных сервисов многие не внушают доверия, поэтому отдавайте предпочтение хорошо известным компаниям, которые предлагают услугу «виртуальный номер».
Кроме того, теневая сторона технологии в том, что мошенники также могут воспользоваться виртуальным номером и звонить, например, с красивого номера 900. Поэтому будьте бдительны и не доверяйте цифрам, которые видите на экране телефона при входящем вызове.