В гостях у программы «Утро в Петербурге» Игорь Ушаков, доцент кафедры защищённых систем связи Университета имени Бонч-Бруевича, кандидат технических наук.
Михаил Спичка, ведущий: Мошенники придумывают все новые схемы бесчестного отъема денег у добропорядочных граждан. Раньше угоняли лошадей, потом стали угонять машины, это, увы, происходит и по сей день. Теперь стали угонять еще и телефонные номера. Каким образом сим-карты имеют отношение к этому мошенничеству? Как действует эта схема?
Игорь Ушаков, доцент кафедры защищённых систем связи Университета имени Бонч-Бруевича, кандидат технических наук: У нас существуют сим-карты физические, которые мы вставляем в телефон, а есть еще электронные сим-карты, так называемые embedded sim, то есть встроенные сим-карты, которые находятся внутри самого аппарата. В этом случае необходимо загрузить профиль с сайта либо оператора связи, либо придя в салон, по паспорту, который подгружает вам необходимый номер и активирует ваш телефон для того, чтобы он мог звонить. Идея эта не новая, с 2016 года появилась. В России активно операторы связи стали внедрять эту опцию в 2020 году. По сути, законодательным уровнем они приравнены. Но удобство здесь стоит в том, что если злоумышленник украдет физически ваш телефон, то симку оттуда он вытащить не сможет, потому что она как бы прошита профилем в самом аппарате. То есть это некий маленький элемент, который находится внутри телефонного аппарата. Не все смартфоны поддерживают электронные симки, это нужно учесть.
Дарина Шарова, ведущая: Мы все-таки говорим не о той ситуации, когда злоумышленник украл телефон, а о той ситуации, когда как раз-таки не украв телефон, он угнал номер телефона. Как здесь все происходит?
Игорь Ушаков, доцент кафедры защищённых систем связи Университета имени Бонч-Бруевича, кандидат технических наук: Да, эта ситуация достаточно актуальна по сей день, потому что она появилась в прошлом году активно. Стали угонять номера — злоумышленник пытается создать профиль в рамках использования личного кабинета оператора связи, когда он пытается представиться вами, и получить соответствующий QR-код. В рамках этого кода он сканирует его на свой телефон уже новый, который приобрел, и пытается активировать ваш номер на своем новом аппарате. Здесь хитрость в том, что если ему это удается сделать, то он получает доступ ко всем вашим банковским счетам, потому что все это завязано на двухфакторную аутентификацию с использованием номера, когда нам приходят смс-ки. Поэтому это очень опасная история и действительно нужно быть очень внимательным, потому что, когда мы оформляем eSIM, у нас есть два подхода либо идем в офис с паспортом, либо в худшем случае по доверенности. Такую ситуацию лучше исключить, написав заявление у оператора связи, чтобы никто не мог без личного вашего присутствия такие манипуляции производить. Второй момент, как можно это сделать, зайдя в личный кабинет, у современных операторов связи есть опция «Перейти на eSIM». Справедливости ради стоит отметить, что внедряются механизмы защиты, то есть делать это просто так довольно сложно. Первое, злоумышленнику нужно получить доступ к вашему личному кабинету, то есть подобрать ваш пароль и получить каким-то образом смс. Второе, он должен в рамках этой процедуры получить доступ в Госуслугах. Только после этого вам приходит QR-код, который является некоторым опасным элементом. То есть если злоумышленник его получает, то он получает доступ к вашему телефону, к вашей симке, который становится активным теперь на его аппарате.
Дарина Шарова, ведущая: То есть получается, что мы себя можем обезопасить тем, что не через телефон запрашиваем всю необходимую информацию, пароли, которые приходят на наш номер, а каким-то другим способом?
Игорь Ушаков, доцент кафедры защищённых систем связи Университета имени Бонч-Бруевича, кандидат технических наук: Мы себя обезопасим тем, что лично только у оператора меняем профиль и следим за тем, чтобы наши данные персональные, в частности, пароли, профиль Госуслуг, были достаточно зачищены. Если вдруг такая ситуация происходит, вы отключаетесь от мобильной сети, то есть видите, что появляется сигнал SOS, и в этом случае нужно максимально быстро связаться с оператором и заблокировать эту процедуру, потому что самое важное здесь – это смс. Когда злоумышленник получает доступ к телефону, его цель – получить сообщение для того, чтобы получить доступ в онлайн-банки и другие услуги. Для этого операторы ввели защиту — 24 часа смс не приходит. Попробуйте поменять сим-карту, то есть 24 часа никто не сможет, включая вас самих, получать смс-ки в течение суток после того, как вы меняете симку. Даже если она у вас сломалась, и вы просто ее поменяли — это тоже очень большой элемент положительный, который сказывается на защите наших пользователей от такой ситуации.
Михаил Спичка, ведущий: Что делать, если номер угнали? Его надо обязательно поменять или есть еще какие-то пути?
Игорь Ушаков, доцент кафедры защищённых систем связи Университета имени Бонч-Бруевича, кандидат технических наук: Нет, менять номер не надо, потому что вы его уже много кому дали и к нему привыкли. Вы звоните, сообщаете альтернативным каналам, потому что вы уже не можете позвонить с вашего номера оператору связи, сообщаете ему о том, что номер деактивировался, скорее всего, это была попытка взлома. Оператор должен в этом случае вернуть ваш номер, вы уже с паспортом приходите в соответствующее отделение связи. С момента звонка деактивируется номер на той стороне злоумышленника, который получил доступ к вашему номеру, то есть ваш номер в итоге не теряется. Вы просто его возвращаете себе законодательным образом. Самое главное, что нужно запомнить: писать заявление у оператора, чтобы никто не мог получить доступ, только через личное присутствие, обязательно обращаем внимание на уведомления, которые нам приходят, на любые смс-сообщения. Пароли, двухфакторную аутентификацию оставляем, потому что сейчас она и в Госуслугах стала обязательной. Если приходит смс-ка о том, что вы деактивировались в сети, то это первый признак того, что номер ушел стороннему человеку, поэтому максимально быстро возвращаем все обратно.