Личный кабинет МТС устроен таким образом, что оператор автоматически отправляет абоненту SMS со временем и датой транзакции, когда он входит в свой кабинет. Независимо от того, вошел ли владелец номера в аккаунт сам или это дело рук мошенников. Эта корреспонденция официально управляется оператором МТС под номером 111764.
Пришла Смс Код Доступа к Сервисам МТС Что Это
Скриншот переписки клиента с представителем банка. Источник.
Клиенты МТС Банка рассказали СМИ, что с конца марта по начало июня 2021 года их счета были украдены без ведома владельцев счетов. Оказалось, что все кражи происходили по одной и той же схеме: мошенники блокировали номера мобильных телефонов клиентов МТС Банка (мобильным оператором большинства жертв был МТС, но были также случаи блокировки номеров клиентов МегаФона, Билайна и Tele2). Затем злоумышленники изменили номер телефона банка на свой собственный, получили доступ к счету и онлайн-банкингу и перевели деньги на другие счета. Большинство пострадавших клиентов пользовались услугами провайдера мобильной связи МТС. РБК сообщил, что одиннадцать потерпевших обратились к ним, заявив, что у них было похищено более 1,8 миллиона рублей. Однако количество обращений и жалоб на форуме banki.ru было гораздо выше.
Объяснение клиента банка, который пытался самостоятельно урегулировать ситуацию.
В настоящее время МТС Банк проводит внутреннюю проверку ситуации, но информация об удалении средств со счетов клиентов не подтвердилась. Банк России также осведомлен о жалобах клиентов и изучает ситуацию. Кроме того, Роспотребнадзор заинтересовался проблемами клиентов банка и сейчас также проводит проверку по жалобам клиентов.
Ниже приведена лишь одна из жалоб клиентов банка.
Оказалось, что большинство пострадавших счетов были связаны с кредитными картами, клиенты также жаловались на случаи с дебетовыми картами и сберегательными счетами.
Один из пострадавших клиентов МТС Банка уже получил ответ от кредитной организации, в котором банк отказывается возвращать деньги, снятые мошенниками, поскольку все операции были подтверждены одноразовым кодом. В этом случае не имеет значения, кто использует этот код — мошенник или клиент.
Эксперты по информационной безопасности объясняют, что в таких аферах мошенники сначала звонят в колл-центр оператора и просят временно заблокировать номер клиента. У каждого оператора есть такая возможность, например, в случае кражи телефона. Для этой процедуры им достаточно знать паспортные данные жертвы. Затем мошенник звонит в колл-центр банка с теми же паспортными данными клиента и просит набрать другой номер телефона вместо прежнего. А затем получает полный доступ к одноразовым SMS-паролям, отправляемым на вновь подключенный номер телефона для подтверждения операций по счету.
Ашот Оганесян, основатель и технический директор DeviceLock, объяснил, что паспортные данные и пароли клиентов можно найти, например, в базах данных, продаваемых в даркнете, или «прощупав» поставщика услуг или сотрудника банка. При этом может быть доступна обновленная информация, включая имена клиентов, их контактные номера и даже текущие остатки на счетах.
Еще в конце мая 2021 года многие клиенты МТС Банка жаловались на то, что банк заставляет их менять пароли для доступа к мобильному приложению. Банк массово разослал новые пароли, и некоторые пользователи не смогли войти с ними в свои личные счета. Затем банк сообщил, что регулярно принимаются меры по повышению безопасности онлайн-услуг. Банк не объяснил, почему пароли были отправлены открытым текстом и только цифры.
Официальное заявление от МТС Банка поступило после того, как стало известно об этом:
Шесть советов, которые помогут защитить данные в вашем смартфоне от злоумышленников
Мы уже давно считаем наш смартфон хранилищем информации, зачастую самой важной. Чего только нет на устройстве современного пользователя: контакты, фотографии, банковские приложения, учетные записи социальных сетей, приложения электронной почты и даже отсканированные личные документы. В общем, вся жизнь. Чтобы не попасть в руки мошенников, необходимо следовать определенным правилам. Мы собрали шесть советов, которые помогут вам защитить свои данные от посторонних и не потерять к ним доступ в случае потери смартфона.
Вы планируете установить новое приложение? Сначала проверьте, к чему вы хотите получить доступ. Это можно сделать, проверив информацию о приложении в магазине приложений.
Отнеситесь с подозрением, если игра или тематически меняющееся приложение на вашем смартфоне запрашивает информацию о ваших счетах, SMS или местоположении. Здравый смысл должен быть руководящим принципом, когда речь идет о разрешениях. Например, приложению Facebook необходим доступ к вашим контактам, чтобы вы могли найти своих друзей в социальной сети. Вы сами решаете, нужно вам это или нет: вы можете отказаться от такого запроса, и он все равно будет работать. Но не все приложения подходят для этого. Некоторые отказываются работать. Если фотофильтру абсолютно необходим ваш список вызовов и он не принимает отказа, лучше не устанавливать его вообще.
Регулярно меняйте пароли
Старайтесь чаще обновлять цифровой пароль, если вы используете его на смартфоне. Эксперты рекомендуют делать это не реже одного раза в 3-6 месяцев. Пароли не должны быть простыми, нельзя использовать дату рождения, имена, серию одинаковых или последовательных символов на клавиатуре — именно эти варианты злоумышленники будут пробовать в первую очередь.
Особенно важно, чтобы пароли для смартфона и банковских приложений не были одинаковыми, поскольку, выбрав пароль для вашего устройства, посторонний человек может получить доступ и к вашим деньгам.
Разные пароли также требуются для связанных приложений, например, если ваш аккаунт в Facebook, Twitter или ВКонтакте связан с вашим почтовым ящиком. В противном случае, если у вас есть нужная комбинация символов для одного ресурса, преступник тут же получит доступ к другому.
Еще одним важным фактором безопасности является использование SIM-карты: если вы потеряете телефон или станете жертвой кражи личных данных, это не имеет значения. Важно то, что ваша SIM-карта может быть вставлена в другой смартфон, и ваши деньги могут быть легко украдены, если вы используете другую платежную систему. Ничто не мешает мошеннику отправить запрос на смену пароля на сайт сервиса, а затем перевести деньги кому угодно. В этом случае не поможет даже двухфакторная аутентификация (см. ниже), поскольку код входа в электронный кошелек передается в ваш бумажник, и если в нем также содержатся данные вашей пластиковой карты, он может войти в банковское приложение и украсть с него деньги.
Если у вас есть иностранная SIM-карта, вы также можете снимать деньги со счета своего мобильного телефона или оплачивать различные товары в пределах суммы, указанной на карте. Имея такую карту, вы сможете избежать подобных рисков или, по крайней мере, успеть отключить карты от телефона и заблокировать их.
Основной принцип безопасности — осторожность и осмотрительность. Не сообщайте никому свои имена пользователей, пароли, пароли и идентификационные номера и не доверяйте никому, кто просит вас сделать что-то неосторожное. Не оставляйте свой смартфон без присмотра и не доверяйте его незнакомым людям.
- Через взломанный аккаунт VK (аналогично любой другой сети или мессенджеру) «старый друг» (злоумышленник) стучится в дверь жертвы и рассказывает о «проблеме недоступного телефона».
- Он просит «помочь попасть куда-нибудь», получив код в текстовом сообщении, и просит прислать ему код или «скриншот», чтобы сделать это.
- Жертва получает текстовое сообщение с кодом подтверждения для одноразового доступа к услугам МТС.
- Жертва выполняет запрос и таким образом получает доступ к своему личному кабинету МТС.
Конечно, я никому не отправил код и задержал злоумышленника подсказками типа «выйди обратно, SMS не приходит», пока звонил знакомому и просил срочно сменить код и что-нибудь сделать. К сожалению, точное число жертв выяснить не удалось, так как человек, которого взломали, совершенно не собирался заходить в VK, срочно менял пароль и возвращался на работу, но на мой вопрос «сколько человек поймали» ответ был «много!».
Предварительный анализ угроз и их ощущаемой «ужасности»
Быстрый опрос 9 постоянных клиентов показал:
- 4 они не рассматривали эту последовательность действий как серьезную угрозу,
- 5 были встревожены и хотели попытаться опознать «старого друга».
- «будет списывать деньги со счета телефона»,
- «биллинговые услуги или списки рассылки»,
- «карта автоматического пополнения баланса»,
- «может переводить деньги на другой телефон»,
- «может настроить переадресацию звонков и мошенничество».
- «может настроить переадресацию SMS и завладеть учетными записями других служб».
Тестовая эксплуатация угнанного доступа в ЛК МТС
Я получил второй номер, чтобы опробовать его, и очень быстро вошел в свой личный кабинет МТС и настроил переадресацию согласно этому плану.
МТС сообщает старый номер жертвы для:
- Изменить пароль,
- подключение к услугам МТС,
- Активация переадресации SMS и SMS Pro.
Примечание: Переадресация устанавливается без уведомления от МТС и даже бесплатно.
Тогда мне удалось это сделать только с помощью нового телефона:
- Я пополнил счет на другом телефонном счете,
- совершил денежный перевод МТС на счет → банковская карта (комиссия 4,3%, но не менее 60р),
- восстановил доступ к некоторым онлайн-аккаунтам,
- получил обратный звонок вместо текстового сообщения,
- заказал телефонный звонок через сайт магазина,
- вошел в интернет-банкинг и отправил деньги на неизвестную карту, см. ниже.
Поэтому я также успешно вошел в один из банков и отправил перевод Card2Card. Это была небольшая сумма, и у банка не возникло вопросов, но раньше у меня никогда не спрашивали ничего сложнее моих личных данных для больших сумм.
Поэтому я оцениваю риск финансовых потерь как чрезвычайно высокий. И большие финансовые потери так же ощутимы, хотя в моем случае задача облегчалась простотой поиска деталей в посте, но, думаю, я не одинок.
Я завершаю свое «Письмо редактору» пожеланием, чтобы вы и ваши близкие были бдительны.
