Риски и угрозы в контексте переноса номеров

Круглый стол «Последствия и риски изменений в регулировании услуги переносимости номеров», состоявшийся в УНИАН 29 июля, ознаменовал примечательный поворот в истории рынка мобильной связи. Едва ли не впервые прозвучало мнение о необходимости рассматривать нормативную базу телеком-рынка, исходя из принципиально нового ракурса. Таковым предложено принять цифровую идентичность как едва важнейший феномен последних лет. Вокруг этой позиции сложилась коалиция, включающая не только большинство операторов, но и представителей рынка финансовых услуг, включая банки, платёжные системы и небанковские учреждения. В полной мере проявили себя и оппоненты во главе с регулятором.

Стоит заметить, что круглый стол был собран в экстренном порядке как реакция на общественные слушания, организованные НКРСИ 23 июля. На слушаниях обсуждался новый порядок предоставления услуги переноса номера. К сожалению, ни записи, ни протокола я до сих пор не получил, поэтому сужу о происходившем по словам присутствовавших. Два дня спустя, 31 июля НКРСИ провела ещё одно публичное обсуждение вопроса. На этот раз я получил приглашение и смог проверить полученные ранее впечатления.

Получив от УНИАН приглашение модерировать круглый стол и открыть его своим докладом, я переосмыслил собственные взгляды на проблематику безопасности абонентов и принадлежащих им цифровых активов. Мне не нравится идея искать во всяком конфликте чей-то злой умысел и сама логика конфронтации, которая заметна и в моих собственных публикациях. В результате появился доклад, текст которого приведён ниже. Пока же предлагаю открыть видеозапись круглого стола и ознакомиться с общими впечатлениями от него.

В полной мере подтвердила себя гипотеза о том, что участники рынка просто не успевают за изменениями и не учитывают поэтому в достаточной степени проблематику цифровой идентичности. В этом смысле идеи, изложенные в моём выступлении можно принять как руководство к действию. В частности, участники стола не очень хорошо (а местами вовсе плохо) ориентируются в нюансах той эпидемии фрода, которая не первый год бушует в их собственных сетях.

Неожиданно категоричную позицию заявил отраслевой регулятор, причём по ходу всех трёх вышеупомянутых публичных мероприятий. «Есть мошенничества, а есть замена SIM-карты. Услуга переноса номера находится в другой плоскости…», — на видео с отметки 1:07:26. «Если это переклеенный паспорт, то это уже плоскость МВД«, — там же с отметки 1:13:00. В ходе совещания в пятницу 29-го прозвучала ещё более поразительная мысль — «если есть проблема с уязвимостью OTP паролей, их можно удлинить«. Приходится констатировать — в Нацкомиссии проблему мошеннических действия и кражи идентичности не просто игнорируют, но даже не понимают её форм и содержания.

Инициатор и лоббист обсуждаемых изменений компания lifecell также не хочет обсуждать по существу криминальные риски для абонентов. Показателен пример с Монобанком, посредством которого представители компании пытались обесценить аргументы о неприемлемости удалённой идентификации абонентов. Впрочем, оппоненты в лице Киевстар и Водафон тоже не очень хорошо (очень примерно, скажем прямо) ориентируются в картине криминальных рисков. Видно, что проблема осознанна, но ещё далеко не изучена, наличный материал не структурирован и не разложен по полочкам.

Между тем на круглом столе впервые озвучены масштабы проблемы с противоправным переоформлением номеров мобильной связи, смотреть с отметки 13:30. По словам директора Украинской межбанковской ассоциации членов платёжных систем Александра Карпова, в 2019 году банки насчитали порядка 60 тыс. случаев кражи номера, на 170% больше, нежели в 2018-ом. По итогам 2018-19 годов использование методов социальной инженерии, включая противоправную замену финансового номера, приводит к увеличению потерь клиентов примерно в два раза, до 6200 грн. за инцидент. Совокупно в ассоциации оценивают ущерб от замены сим-карт в 330 млн. грн. Господин Карпов особо отметил, что эти деньги не были возмещены, поскольку для этого не было оснований, жертвы мошенников предоставляли необходимую информацию добровольно.

В ходе обсуждения в полной мере проявил себя тот факт, что сторонники упрощения процедур идентификации то ли не понимаю, то ли игнорируют основополагающий факт, ключевой для понимания проблемы. Финансовый номер это ключ, точнее отмычка к банковскому счёту. Заполучив его, преступники действуют очень быстро, не теряя буквально ни одной минут. Поэтому подход «если у вас что-то случилось — идите в суд», просто не адекватен проблеме. Действующий порядок переноса номеров, как и процедуры регистрации абонентов также уязвимы. Если у преступников есть по-настоящему сильная мотивация, они, скорее всего, найдту способ украсть номер. В частности, до сих пор не решена толком проблема проверки предоставляемых документов. Вообще говоря, подлежит внимательному изучению и обновлению, должна быть в очередной раз переписана едва ли не вся нормативная база, затрагивающая различные аспекты абонентского опыта. В этот раз во главу угла необходимо положить безопасность цифровой идентичности абонентов и доверие к самой цифровой среде. Для этого нужны интерес и воля НКРСИ, а с этим пока не очень.

Пока же Комиссия избрала тактику процедурных проволочек, предложив всем несогласным доказать, что у проблемы мошенничеств достаточного масштаба. С одной стороны, озвучен тезис понятный и обоснованный, чтобы привлекать к обсуждению проблемы другие органы власти, чтобы признать её заслуживающей внимания в целом, необходимы цифры. Нужна статистика преступлений, убытков и прочего. Нет статистики или цифры незначительные — нет проблемы. При этом, с другой стороны, НКРСИ требует от операторов данные, которые они даже в принципе не могут собрать. Сколь-нибудь полные сведения о финансовом ущербе от кражи номеров и прочих мошеннических действий доступны только финансовым же учреждениям, к которым обращаются потерпевшие. В меньшей степени — правоохранительным органам, поскольку латентность подобных преступлений весьма высока. К операторам обращается небольшая часть пострадавших.

Ждём 13 августа, когда должно состояться итоговое обсуждение.

Доклад на круглом столе «Последствия и риски изменений в регулировании услуги переносимости номеров», Роман Химич, 29.07.2020

Спасибо УНИАН за возможность представить позицию абонентов. К сожалению, от их имени говорят все, кроме них самих. Между тем и бизнес-сообщество, и органы власти не могут рассматриваться как стороны, уполномоченные вещать от нашего имени. Их интересы не тождестсвенны интересам абонентов, а временами прямо им противоречат. Об этом стоит помнить.

Я хочу предложить новый взгляд на проблему, которую собрались обсудить. Мне не нравится идея искать чей-то злой умысел и следовать логике конфронтации, чем, кстати, грешат и мои публикации. На мой взгляд, проблема лежит в иной плоскости.

Смотрите, услуга переноса номеров известна в мире, по крайней мере, 20 лет. В Украине соответствующие нормы законодательства появились более 10 лет назад. За это время проявило себя одно очень важно явление, до сих пор не осознанное всеми нами.

За это время возник, набрал сил и стал вездесущим принципиально новый феномен — цифровая идентичность. В данном контексте я предлагаю понимать под нею все те цифровые активы — адреса эл. почты, учётные записи мессенджеров, номера телефонной связи, блоги, сайты и прочее, — которые, во-первых, однозначно ассоциируются с индивидом и, во-вторых, выполняют важную, даже исключительную роль в его жизни.

Цифровая идентичность — не просто новая сущность, это новая ценность, причём одна из важнейших. Отсутствие связи редко становится катастрофой. Кража идентичности практически всегда означает очень серьёзные и долгосрочные проблемы для индивида.

Как результат интересы абонентов существенно изменились. Теперь это безопасность и доверие к той цифровой среде, в которой теперь происходит жизнь граждан. Защита цифровой идентичности от злонамеренных посягательств — категорический императив для провайдеров телекоммуникаций и органов власти.

Это мой исходный и самый важный тезис.

Я не буду пересказывать все свои публикации по данной теме, напомню только некоторые, самые яркие цифры.

Весна прошлого года. Киевлянка Анна Карачинская сталкивается с тем, что её телефонный номер захвачен мошенниками. Когда мошенники попытались установить контроль над её банковскими счетами, из четырёх банков устоял только один. Потери жертвы составили впечатляющие 285 тыс. грн. В комментариях к FB-записи о её злоключениях сообщили об подобных случаях около десятка человек, которые примерно тогда же стали жертвами аналогичных преступлений.

Ни оператор мобильной связи, ни банковские учреждения оказались не готовы к такого рода ситуациям. Прошло несколько часов, прежде чем оператор жертвы заблокировал ворованную карту. При этом нормативный срок исполнения заявки на блокировку составляет один рабочий день. Учитывая, что 9 мая был выходным, фактически речь могла идти про двое суток.

Однако блокировка номера не помешала злоумышленникам её снять, причём даже без визита в сервис-центр. На помощь им пришла услуга удалённой замены SIM-карт. Эта услуга по умолчанию активирована для всех номеров предоплаченной связи, о чём г-жа Карачинская узнала только постфактум.

В США по итогам 2018 года известно про 679,000 случаев кражи телефонного номера против 380,000 случаев в 2017 году. (Source: Javelin Strategy)». Рост едва ли не на 100% в год, отличные показатели. Абсолютное большинство хищений произошло посредством процедуры переноса номера. При всём при этом первые в истории США судебный приговор по такому делу был вынесен только зимой 2019 года, против чуваков, которые крали миллионы долларов у «криптанов» прямо по ходу тематических тусовок. Рекордный улов — 5 миллионов за один вечер. И это на рынке, институционально намного более зрелом, с эффективной правоохранительной системой.

Сложившиеся практики на рынке телекоммуникаций игнорируют проблему доверия и безопасности в цифровой среде. Просто потому, что нормативная база на 99% сложилась в до-цифровую эпоху. Все вообще практики и регулирования подлежат переосмыслению и пересмотру из этого ракурса.

Ситуация с переносимостью номеров — модельный пример того, как проявляется неадекватность всё ещё популярных подходов к разработке и регулированию потребительских услуг. Когда её разрабатывали, приоритет был один — удобство для потребителей. Также часто звучал тезис о благотворном влиянии на конкуренцию. Теперь на передний план должен выйти другой аспект — предотвращение кражи идентичности тех же абонентов.

Риски кражи идентичности связаны с безопасностью номеров телефонной связи. В абсолютном большинстве случаев кража идентичности начинается с захвата номера.

Не знаю как сейчас, а ещё два года назад Приватбанк предлагал перевод денег между картами, используя финансовый номер как единственный инструмент аутентификации. В результате имеем историю в Луцке, где мошенники переоформили на себя несколько десятков номеров.

Переносимость номера сама по себе создаёт новый и довольно удобный для злоумышленников вектор атаки. Обсуждаемый порядок предоставления услуги не решает существующие изъяны и создаёт новые возможности кражи номера.

Я говорю о не о каких-то умозрительных вещах. Я говорю о рисках всех присутствующих. В 2007 году с банковского счёта моей родственницы в три часа ночи сняли почти две тысячи долларов. В тот раз использовалась поддельная карта, данные для которой были украдены при помощи сотрудников банка. Поэтому родственнице повезло и банк вернул ей всё до копейки. В случае кражи предоплаченного и неперсонифицированного номера мобильной связи исход был бы совершенно другим.

В зоне риска все мы, наши родственники, особенно пожилые.

Я призываю не пытаться с помощью услуги переноса номеров решить чьи-то бизнес-задачи. Ни в одной из соседних стран MNP не вызвала ажиотажного спроса. Ничего, похожего на передел рынка или иное заметное без микроскопа влияние.

Я призываю принять как безусловный приоритет безопасность цифровых активов абонентов, а именно номеров мобильной связи. Всё, что увеличивает риски их злонамеренного переоформления, подлежит пересмотру.

Спасибо.

Вероятные сценарии атаки

Мошенники звонят жертве под видом сотрудников операторской компании. Они сообщают ей о том, что оператору поступила заявка о переносе номера жертвы в сеть другого оператора. Просят подтвердить или опровергнуть этот факт, подробно рассказывают о рисках несанкционированного переноса, всячески втираются в доверие.

Поскольку жертва отрицает авторство заявки на перенос, её просят уделить несколько минут, чтобы отменить заявку и предлагают свою помощь в этом деле. Для этого её просят сообщить пароль, который сейчас поступит ей на телефон. Пока жертва ожидает SMS с паролем, мошенники дистанционно подают заявку на перенос её номера. Получив SMS, жертва сообщает пароль, что позволяет мошенникам завершить подачу заявки.

В указанное в заявке время, скорее всего рано утром в выходной день, когда жертва спит, мошенники приходят в салон оператора, в сеть которого выполнен перенос и забирают SIM-карту с номером. То, что для её получения требуется предъявить удостоверяющие документы, не является непреодолимым препятствием. Во-первых, это может быть паспорт другого человека, в который вклеена фотография мошенника. Во-вторых, это может быть «электронный паспорт», продвигаемый Минцифрой. В силу своей юридической ничтожности он бесполезен в случае судебного разбирательства.

Предложения

Убрать из обсуждаемого проекта нормы о:

а) возможности незарегистрированным пользователям номеров подавать заявку;

б) возможности удалённо подтверждать факт пользования номером посредством отправки SMS OTP;

в) добавить нормы о фиксации юридически значимым личности сотрудников хозяйствующих субъектов, вовлечённых в процесс приёма и обработки заявок на перенесение номера. Например, посредством использования квалифицированной цифровой подписи. Это очень упростит расследование попыток фальсификации таких заявлений и, соответственности, усилит барьеры на пути мошеннических действий;

г) предоставить сотрудникам хозяйствующих субъектов, которые принимают заявки в письменной форме (при личном общении в салонах связи) и осуществляют идентификацию заявителей, доступ к данным Государственного реестра физических лиц. Это позволит избавиться от риска подделки удостоверяющих документов путём переклейки фотографий.