Мобильная связь и безопасность ваших (и моих тоже) денег

Серия скандалов и уголовных дел, сотрясающих американский рынок мобильной связи с осени прошлого года, ознаменовала конец эпохи, когда удобство и комфорт ставятся выше безопасности. Поразительная легкость, с которой злоумышленники снова и снова крадут у "криптоэнтузиастов" уже десятки миллионов долларов, не позволяет списать эти истории на неосторожность самих пострадавших.

30 июля этого года сетевое издание Vice Motherboard опубликовало подробности уголовного дела 20-летнего студента Джоэля Ортиза (Joel Ortiz), арестованного полицией Калифорнии по обвинению в краже номеров мобильной связи. Как следует из публикации, преступная группа, в которую входил задержанный, противоправным образом завладела номерами примерно 40 человек.

Впоследствии эти номера использовались, чтобы установить контроль над учетными записями разного рода интернет-сервисов, связанных с криптовалютами. Помимо "крипты", преступников интересовали "прокачанные", т. е. с большим количество подписчиков, или же обладающие хорошо запоминающимися адресами учетные записи социальных сетей вроде Twitter или Instagram. "Угнав" такую учетную запись, мошенники продавали ее через специализированные хакерские биржи или присваивали, теша свое тщеславие. Полиция оценивает совокупный "улов" преступной группы более чем в $5 млн.

Мошенники действовали настолько нагло, что увели несколько номеров прямо по ходу одной из "криптоконференций", проходившей в Нью-Йорке в начале мая этого года. Тогда же был поставлен и рекорд по количеству денег, украденных у одного лица. В результате успешной атаки некий предприниматель лишился криптовалют на более чем $1,5 млн, включая примерно миллион, который ему удалось незадолго до этого собрать в ходе ICO.

Portoutscum

Во всех эпизодах использовался один и тот же прием, известный как port out scum. Этот фразеологизм можно перевести как "фуфловый перенос" или "портирование фуфла". Мошенники используют изъяны процедур, связанных с переносимостью (англ. portability) номеров мобильной связи, а также восстановлением утерянных или испорченных SIM-карт. Они обращаются в офис операторской компании под видом или от имени жертвы с просьбой перенести (портировать) якобы их номер на новую SIM-карту либо восстановить утерянную. Как показала жизнь, американские операторы мобильной связи оказались не в состоянии организовать процесс установления личности заявителей и тем самым защитить своих абонентов от банальной кражи их номеров.

Буквально через пару недель после информации о поимке преступника, кравшего телефонные номера у незадачливых "криптанов", стало известно о воистину шокирующей истории с еще одним энтузиастом криптовалют. 

Bitcoin-инвестор Майкл Терпин входит в сотню наиболее влиятельных людей рынка криптовалют. На его счету свыше 75 успешных ICO, которые он организовывал или консультировал. В 2017 году его номер украли в первый раз. Тогда Терпину повезло - большая часть его цифровой наличности находилась на так называемых аппаратных "кошельках", которые невозможно взломать удаленно.

М-р Терпин понял этот знак правильным образом и запросил у своего оператора AT&T максимальный уровень защиты телефонного номера. Компания предоставила ему VIP-статус, который подразумевает, среди прочего, использование специального пароля либо личное присутствие для любых действий с номером. Все выглядело солидно и абсолютно надежно, пока в январе 2018 года неизвестные злоумышленники не получили в свое распоряжение заветный номер и тут же избавили бедолагу от различных криптовалют на общую сумму в $24 млн по курсу на момент подачи им иска, т. е. в августе этого года. На момент кражи их стоимость составляла баснословные $216 млн, большая часть которых оказалась потеряна из-за обвального падения курса криптовалют.

Наиболее вероятной причиной этого криминального дива и сам потерпевший, и многочисленные комментаторы считают участие в преступном сговоре сотрудника AT&T, который выдал мошенникам SIM-карту с номером VIP-клиента. Без проверки пароля или удостоверения личности, вопреки всем правилам и процедурам. Привлеченные запахом жареного журналисты и публичные эксперты рисуют картину настоящей вакханалии, которая творится в этой сфере. Сотрудники операторских офисов готовы помочь с кражей чужого номера за ничтожные, по американским меркам, $80. Среди них попадаются настоящие стахановцы, продающие преступникам данные буквально сотен тысяч абонентов. Ежемесячно фиксируются десятки, если не сотни попыток кражи номера.

И все это, напомним еще раз, происходит в США, чья правоохранительная и правоприменительная системы считаются вполне эффективными.

Какое отношение все это имеет к нам и нашей стране? К сожалению, самое непосредственное.

В 2003 году Приватбанк сделал ставку на использование мобильной связи для идентификации своих клиентов. Движущей силой этого шага было желание максимально упростить жизнь и себе, и своим клиентам. Банк экономил на полноценных технологиях безопасности и выплатах в пользу международных платежных систем. Клиенты не могли нарадоваться тому, что не нужно носить с собой паспорт и разбираться с электронными ключами. Иными словами, переход на SMS-авторизацию и другие формы использования мобильной связи обеспечил классический win-win.

В Приватбанке были прекрасно осведомлены, что украинские операторы не имеют возможности обеспечить защиту своих абонентов от кражи номера. Этому мешала, например, известная особенность отечественного рынка мобильной связи, где свыше 90% абонентов обслуживаются на условиях анонимности, без указания персональных данных. Креативная команда инновационных профессионалов воспользовалась тем, что отношения в треугольнике "оператор связи - банк - их общий клиент" никак не урегулированы и без угрызений совести переложила все риски, ответственность и убытки на своих "партнеров".

Результатом этого стала эпидемия мошенничеств, жертвами которых, судя по косвенным признакам, стали тысячи, если не десятки тысяч украинцев. Точные данные неизвестны, поскольку ни операторы, ни, тем более, банкиры не заинтересованы в огласке. За последние десять лет достоянием публики стали, по меньшей мере, сотня инцидентов такого рода, которые освещались в СМИ. Профильные форумы полны подобных случаев. Максимальный улов негодяям приносят атаки на платежные карты, использующиеся для сбора денег на лечение детям и другую благотворительность. В таких случаях счет может идти на десятки и даже сотни тысяч гривен.

В этой проблеме, как в капле воды, отразились фундаментальные противоречия современной культуры. Масштаб и характер этих противоречий не оставляют надежд на их разрешение ни в ближайшем будущем, ни в отдаленной перспективе.

Во-первых, в нашей повседневной жизни постоянно растет доля разного рода цифровых и виртуальных активов. Наш номер мобильной связи, наши счета в банке - все это цифровые объекты, оптимизированные или изначально предназначенные для работы с ними именно в цифровой среде, максимально удобной не только для нас, но и для преступников новой эпохи. Наши адреса электронной почты и учетные записи в социальных сетях, вся размещенная там информация и все те отношения, в которые мы вовлечены посредством них - все это можно описать как виртуальные объекты, которые не имеют представительства в физической реальности. Утеря пароля от интернет-банка не является катастрофой, поскольку в физическом мире существует банк, куда мы можем прийти и получить новый пароль. В случае виртуального "кошелька" с "криптой" потеря контроля может привести к необратимым последствиям. При этом все наши повседневные привычки, образ мысли и действия ориентированы на жизнь в традиционном физическом мире и зачастую никак не могут помочь ориентироваться в цифровом Зазеркалье виртуальности.

Во-вторых, мы все больше и больше полагаемся на разного рода цифровые устройства, постепенно превращаясь в кибернетические организмы - если не де-юре, то де-факто. Эта тенденция дала жизнь представлению о всевозможных устройствах вроде смартфонов и компьютеров как своего рода "экзокортексе", то есть дополнительном отделе головного мозга. Несмотря на очевидное несовершенство механизмов взаимодействия нашего сознания и психики с нашими электронными устройствами, уже сейчас мы привязаны к ним весьма тесным образом. В ходе многочисленных экспериментов неоднократно показано, что даже непродолжительное отлучение современных людей от их гаджетов провоцируют состояния, сходные с абстинентным синдромом у алкоголиков. Этот факт делает нас все более зависимыми от комфорта в использовании именно цифровых сред и объектов.

В-третьих, удобство и комфорт уже давно превратились в категорический императив общества потребления. Никакой продукт или услуга не имеют шансов на массовом рынке, если требуют от пользователя больших усилий, нежели конкуренты. Массовая аудитория без колебаний пожертвует безопасностью или благополучием в долгосрочной перспективе, если прямо сейчас возможно получить повышенный уровень комфорта или удовольствия. Люди не готовы пожертвовать своим комфортом даже ради здоровья собственных детей, массово игнорируя, например, предупреждения офтальмологов о категорической недопустимости работы с экраном для детей младшего возраста. Что уж тут говорить о каких-то умозрительных проблемах, которые могут возникнуть, а могут и нет…

Наконец, в-четвертых, легкомысленное отношение неорганизованных потребительских масс сталкивается, без преувеличения, с фантастической безалаберностью бизнеса и органов власти. Не поддается никакому описанию то, что происходит с так называемым "интернетом вещей" (англ. Internet of Things, IoT). Идея подключить к всемирной сети каждое, буквально каждое творение рук человеческих - от лампочки до холодильника - обернулась чудовищных размеров "дырой" в безопасности. Как грустно шутят специалисты, "S в аббревиатуре IoT значает Security". Да что там лампочки и чайники! Широко разрекламированные детские часы с функцией удаленного мониторинга любимых чад оказались набиты уязвимостями, которые создают множество дополнительных рисков вместо устранения существующих. Воистину, "миром правит не тайная ложа, но явная лажа".

Какие выводы может и должен сделать из всего рассказанного разумный человек средних лет и постарше?

Операторы сетей мобильной связи не рассчитывают на то, что вы будете использовать их услуги для совершения критически важных операций. "Критически важных" означает суммы с многими нулями. Что бы вам не рассказывали, подкуп сотрудников операторской компании - вполне доступный и относительно недорогой вариант. Поэтому не используйте свои номера мобильной связи для авторизации финансовых сервисов, социальных сетей, электронной почты и любых иных цифровых активов, которые могут представлять для кого-то существенный интерес. Существенный настолько, чтобы инвестировать пару тысяч долларов в подкуп сотрудников вашего оператора. 

Везде, где только возможно, используйте сервисы авторизации наподобие Google Authenticator, которые не привязаны к номерам мобильной (и любой иной) связи. Тщательно проверьте взаимосвязь ваших учетных записей, чтобы в конце цепочки не находился один-единственный сервис, позволяющий восстановить пароль при наличии мобильного номера.

Зарегистрируйте номера, которые используются для финансовых услуг. На сегодняшний день для этого не обязательно соглашаться на контрактную форму подключения. Последние годы украинские операторы предлагают зарегистрировать на себя номера предоплаченной связи, указав персональные данные и предоставив соответствующие документы. Это, во-первых, позволит вам выставлять юридически корректные претензии в спорных ситуациях. Во-вторых, оператор будет обязан требовать удостоверяющие документы при выполнении критических операций с вашим номером, таких как перевыпуск SIM-карты.

И главное - будьте бдительны.