Десятки петербуржцев ежедневно теряют свои смартфоны по невнимательности или в результате кражи. Но утрата гаджета далеко не самое страшное. Пользуясь халатностью сотрудников колл-центров, преступники получают доступ к банковским приложениям и деньгам горожан, просто переставив сим-карту в другой смартфон, а затем создают новый аккаунт в банковском приложении. Операторы колл-центров легко выдают PIN и PUK коды, не задумываясь о том, кто именно обращается к ним за помощью в предоставлении секретных данных.
Дополнительный доход
История с периодическими утечками персональных данных россиян через операторов мобильной связи далеко не нова. Скандалы с масштабными сливами баз телефонных номеров и имен абонентов с завидной периодичностью сотрясают интернет. Но стать строчкой в базе данных телефонных мошенников — не самая большая опасность, которая может грозить пользователю смартфона. Только в декабре этого года правоохранители задержали преступную группу, облегчившую кошельки граждан на 122 миллиона рублей, предварительно похитив данные их смартфонов. В год, в масштабах всей страны потери простых людей от действий киберпреступников исчисляются десятками миллиардов рублей, а мошенники в большинстве случаев остаются безнаказанными.
НЕВСКИЕ НОВОСТИ выяснили, как преступный мир умело обчищает банковские приложения петербуржцев, пользуясь халатностью, а порой, и преступным умыслом, операторов колл-центров.
«Мошенничество с данными абонентов операторов сотовой связи встречается реже, чем с банковскими картами. Но здесь слив данных происходит массово. Базы данных просто продают в даркнете (теневом сегменте интернета — прим. редакции). У сотрудников колл-центров маленькая заработная плата, им надо на что-то жить», — объяснил юрист Владимир Берестовский.
Действительно, в среднем по Петербургу, специалист горячей линии мобильного оператора зарабатывает около 30 тыс. рублей в месяц. Прожить на такие деньги в нашем городе практически невозможно. Поэтому, большинство работников рассматривают такую должность как временную и не сильно держится за свои рабочие места. Кроме того, сотрудников таких центров зачастую трудоустраивают не напрямую в компании-операторы, а через фирмы-посредники, предлагающие услуги колл-центров на основе аутсорсинга. В случае преступления, найти ответственных не так-то просто. В Петербурге так трудоустраивают, по крайней мере, в контактные центры «Билайн» и «Теле-2». Попасть на такую работу можно безо всякого опыта и квалификации, а сотрудников вряд ли знакомят с основами информационной безопасности и законодательством.
Дело нескольких минут
Мы решили проверить, насколько легко можно получить данные чужой сим-карты, не зная паспортных данных владельца. Дозвониться до сотрудника контактного центра МТС у нас не получилось. Зато нам быстро ответили в чате мобильного приложения. Корреспондент НЕВСКИХ НОВОСТЕЙ не стал представляться, а просто спросил PIN и PUK коды «своего» телефона. Нам прислали данные примерно через три минуты. Подтвердить личность корреспондента не просили и не поинтересовались «кодовым словом». Причины утечки данных в пресс-службе оператора МТС не комментируют, наши звонки были проигнорированы.
Чем грозит утечка данных
Специалист по информационной безопасности рассказал, что может произойти, если данные PIN и PUK кода окажутся в руках злоумышленников.
«Получив доступ к пин-коду и телефонному номеру, мошенники смогут частично завладеть паспортными данными через личные кабинеты. Кроме того, можно взломать электронную почту, узнать детализацию вызовов. Имея доступ к сим-карте, выйдет заполучить доступ к социальным сетям. Потом человек останется без страницы. Кроме того, личные данные можно использовать для шантажа. Лично у меня была похожая ситуация с «Теле-2». Мне сообщили данные сим-карты моего брата, хотя я даже не запрашивал. Пришлось писать жалобу», — поделился специалист по информационной и компьютерной безопасности Сергей Вакулин.
Что могут рассказать по телефону
Проблемы с безопасностью есть и других операторов. На сайте «Теле-2» говорится, что абонент может получить доступ к PUK коду, обратившись в контактный центр оператора. При этом, для получения данных, обязан назвать сотрудника кодовое слово. Но читателю НЕВСКИХ НОВОСТЕЙ эти данные сообщили без подтверждения личности. Потеряв PUK код, он попросил оператора колл-центра переслать секретные цифры на номер постороннего человека, принадлежащий другому оператору, и сотрудник колл-центра тут же беспрекословно выполнил просьбу абонента. Читатель рассказал, что обратился с этой просьбой ночью, когда ему срочно потребовалось восстановить доступ к забытой им сим-карте. Зачастую, именно ночью и действуют мошенники, когда законопослушный гражданин отдыхает, и не сможет вовремя заметить, что его банковский счет опустошают злоумышленники. Трубку в пресс-службе, как и в случае с МТС, не взяли.
На официальном портале сотовой сети «Билайн» прямо говорится, что абонент может восстановить PIN код через контактный центр, сообщив свои паспортные данные. Однако PUK код могут предоставить только в салоне сотовой связи при проверке паспорта. Тем не менее, злоумышленнику может оказаться достаточно данных одного только PIN кода. И тут пресс-служба компании не ответила на неоднократные звонки НЕВСКИХ НОВОСТЕЙ.
И что им за это будет?
Какая ответственность грозит нерадивому сотруднику колл-центра, который сообщит данные абонента злоумышленникам? Эксперт-криминалист объяснил НЕВСКИМ НОВОСТЯМ, что до суда такие дела практически никогда не доходят, а самое серьезное наказание для беспечного или нечестного на руку сотрудника — максимум увольнение.
«Такие данные сотрудник колл-центра не имеет право разглашать по звонку клиента. Это грубое нарушение должностных инструкций и законодательства. Такая практика существует в обход правопорядка. Я не думаю, что это случайно. Здесь, скорее всего, есть корыстная составляющая. Если у вас проблемы с сим-картой, нужно идти в салон с документами. Только после предъявления паспорта можно проводить манипуляции с сим-картой. Но если сотрудник колл-центра озвучит ваши данные, то его обязаны уволить по статье. Однако на практике до суда доходит очень редко, так как незаконные действия можно списать на ошибку. Только если другой мошенник даст показания на того, кто передал ему данные, оператор колл-центра может оказаться за решеткой», — объяснил криминалист Михаил Ипатов.
Более ответственное отношение к данным своих клиентов показал «МегаФон». В пресс-службе оператора отметили, что абонент действительно может получить PIN и PUK коды через контактный центр. Однако, услугу окажут лишь только после того, как специалист в несколько этапов удостоверится в том, что к нему обратился именно владелец сим-карты.
«Если абонент забыл или потерял PIN-код своей SIM-карты, он может обратиться в колл-центр «МегаФона» и дистанционно его узнать после прохождения идентификации по нескольким параметрам. Сначала определяется номер, с которого звонит абонент, его привязка к конкретному договору. Если человек звонит с чужого номера, у него запрашивается кодовое слово, год рождения, последние четыре цифры паспорта и другие данные. Таким образом оператор колл-центра может удостовериться в том, что SIM-карта принадлежит человеку, находящемуся на противоположном конце провода, и только после сообщить ему пин-код. В колл-центре соблюдаются все необходимые политики безопасности, данные клиентов «МегаФона» защищены», — рассказали в пресс-службе компании.
Спасение утопающих — дело рук самих утопающих
За время, пока НЕВСКИЕ НОВОСТИ готовили эту статью, городская криминальная хроника обогатилась еще несколькими преступлениями, связанными с потерей денежных накоплений горожан, путем мошенничества с банковскими приложениями.
По мнению экспертов, операторы «сквозь пальцы» смотрят на мнимую кибербезопасность своих колл-центров, в угоду быстроте обработки пользовательских запросов. Не секрет, что показатели эффективности колл-центра, и зарплата его сотрудников, прямо зависят от количества обработанных вызовов, а наиболее частые жалобы пользователей связаны с долгим ожиданием на линии.
Почему операторы связи экономят на подготовке персонала, подвергая риску кошельки петербуржцев? Когда в этой сфере будет наведен порядок? НЕВСКИЕ НОВОСТИ надеются, что пресс-службы сотовых операторов прервут многодневный «обет молчания» и ответят на наши вопросы.
Связаться с редакцией можно в любое время по телефону +7(981) 722-50-48. Кстати, у нас пока «ТЕЛЕ-2», и хоть, редакционный номер и не привязан к банковским приложениям, мы переживаем. Кто знает, в какую из ночей, у нас захотят «угнать» PIN-код.
Автор:
Никита Нестеров
Источник: