Зловещая история с симкартами

В тему к статье о безопасности личных данных.

Анна Знаменская опубликовала e себя в Facebook леденящую душу историю. Делаю здесь перепечатку для тех, у кого нет регистрации в Facebook. Итак, по словам Анны:

Вы еще не слышали про экшн "Преступная группировка ‪#‎билайн‬? Сегодня - вторая серия!
Месяц назад неизвестные лица получили мою симкарту в "Билайне" без документов. Пытались вскрыть Яндекс.Кошелек, хакнули все почты, пришлось поменять все банковские карты (Вы представляете, что это такое??)
Компания якобы провела расследование и заявила, что "нарушения устранены, виновные привлечены и это никогда не повторится". Мне даже зачислили 2000 рублей на счёт в качестве компенсации (!:))
Однако..
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю. Проведя вечер субботы в офисе Билайна, и вспомнив всю ненормативную лексику, я заменила симкарту.
Наутро, вчера, в 12 часов дня моя сим-карта СНОВА была выдана посторонним лицам в городе Екатеринбурге!!
Я снова приехала в офис Билайна за новой симкой.
И ... Через 43 минуты (!!) после этого моя карта была вновь выдана в офисе Билайна кому-то, теперь уже в городе Омске!!!
При том, что в системе стоит запрет на выдачу карты во всех офисах страны и мира, кроме одного, и то - с предъявлением паспорта, водительских прав и кодовым словом!
Мне хотелось бы понять - руководство компании "Билайн" хочет, чтобы я жила у них в офисе?
Это что за беспредел?! За последние сутки они 3 раза выдали мою симкарту мошенникам без документов, без кодового слова, без моего присутствия, в разных городах страны!
Хотя я приезжала в офис, звонили в службу безопасности, писали, бесполезно.
А ни у кого из сотрудников не возник вопрос - зачем абонент меняет симкарту 5 раз в течение суток? Он -идиот? Конечно нет! Потому что сотрудники компании сами завязаны в процессе, поэтому им и не нужен мой паспорт, кодовое слово, запрет системы на выдачу. Ничего не помогает! Чтобы ты не делал, какие бы защиты не ставил - сотрудники "Билайна" выдают сим-карты своим подельникам. Которые затем получают доступы к электронным кошелькам, почте и банковским эккаунтам.
Похоже, что в "Билайне" действует большая преступная группировка, операторы системы по всей стране выдают сим-карты по липовым доверенностям мошенникам, те вскрывают кошельки, деньги пилятся. Говорят, что из Билайна недавно уволили девушку, говорят, что сотрудник получал 2% от добытого.
Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны - Гугл, Яндекс, Мейл, украдены деньги с кошелька.
Работают виртуозно: пока я вчера мчалась в офис Билайна в 4-й раз менять симкарту, эти люди успели за 20 минут получить на мой номер новые пароли от почт, зайти туда и ввести новые привязанные телефоны, резервные адреса и даже контрольный вопрос поменять в одном случае(!!)
Но на том эпопея не закончилась - к ночи вчера выяснилось, что прежний владелец моего номера обнаружил, что его текущий, уже другой номер, тоже Билайн, не работает. При звонке в компанию он выяснил, что (находясь в Батуми) он произвел замену симкарты вчера днем в... Бинго! - Сибирском регионе Билайна! Тот же сотрудник, что выдал мою карту с разницей в час!

Понимаете ли Вы, друзья мои, что почта каждого из Вас, восстановление ее пароля, привязано к телефону? Что на свой номер Вы получаете пароли от всех Ваших интернет-банков и карт?
Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним - почту, кошелек и все остальное?

Вопрос к юристам: каким образом я могу привлечь компанию к административной ответственности, а ее сотрудников - к уголовной за выдачу принадлежащей мне по договору сим-карты третьим лицам без подтверждающих документов 4 раза в течение 6 недель?

Шокирующая история, не так ли? Выглядит как интернет-страшилка, однако Анну лично знают многие мои друзья и они уверяют, что все так и было на самом деле.

На Roem.ru опубликован ответ руководства "Билайна" из которого следует, что злоумышленник получавший дубликат симкарты Анны, всякий раз предъявлял нотариально заверенную доверенность от Анны, а значит у сотрудника "Билайна" были все основания сделать новую симкарту с тем же номером.

И вот тут как раз и кроется основная проблема. Потому что подделать доверенность - на порядок проще, чем подделать паспорт с фотографией. А сотрудник "Билайна" не должен быть экспертом по нотариальным доверенностям, тем более что эта доверенность может быть и "настоящей" (например, выданной "черным" нотариусом).

Так что - да, ваши данные ни фига не в сохранности, и если злоумышленник знает ваш номер телефона и ваши паспортные данные (их узнать - тоже не великая проблема), то он может подделать доверенность и получить симкарту с вашим номером, после чего увести почту, электронный кошелек и даже банковский счет - никак не проблема.

В истории с Анной меня смутило только то, с каким упорством она раз за разом наступала на старые грабли. Ну уже понятно, что у злоумышленника есть информация о ней, ее паспортных данных, ее электронном кошельке, банковском счете и номере телефона. Но уже после первого раза можно было сообразить, что номер телефона скомпрометирован, так что надо идти другим путем.

Каким? Да хоть друга-родственника попросить оформить новую симкарту с новым номером. Чтобы номер не светился по ее ФИО. Вот и все, никто дубль не сделает. И никто не привяжет номер, выписанный на постороннего человека, к почте, электронному кошельку и счету Анны. И номер этот нигде не светить, использовать его только для привязки интернет-аккаунтов.

А что ей очень хотелось сохранить старый номер - так, во-первых, всегда можно сделать переадресацию, а, во-вторых, если злоумышленник все время ухитрятся получать симку с этим номером - так им все равно нельзя пользоваться.

Так что это упорное хождене по граблям - оно удивляет. После первого же раза выписала карту на другого человека (которому ты доверяешь, конечно), использовала эту карту только для привязки аккаунтов - ну и живи спокойно.

Лично у меня уже много лет нет ни одного номера, оформленного на меня. И все строго разделяется: голосовой номер - один, банковский - совершенно другой. Ну и идите получайте дубликат по доверенности якобы от меня - флаг в руки!

Кстати, а для банкинга, где это возможно, лучше вместо телефона использовать машинку-генератор кодов. Так безопаснее.

Upd: В Билайне признали, что виноват сотрудник.

22.09.2015 10:04
Комментарии 149
интересно а купить европейскую симку и использовать ее для аутентификации с русскими банками можно? Входящие смс то бесплатные в роуминге вроде.
23.09.15 19:39
0
Jtunn:
интересно а купить европейскую симку и использовать ее для аутентификации с русскими банками можно? Входящие смс то бесплатные в роуминге вроде.


теоретически да, но ежели жлобы, то могут придраться, что смс уведомления будут дорогие:)
23.09.15 20:08
0
Ulises:

Может когда-то и было незаконно видеонаблюдение в офисах, но сейчас по закону о персональных данных просто требуется согласие сотрудника. Это прописывается в трудовом договоре, например. Так же необходимо написать несколько регламентов и положений о хранении, допуске и т.д. к системе. Повесить табличку на видном месте для клиентов. Все.
23.09.15 12:17
0
StepNik:

таки да, но я уверен что в 90% случаев когда хозяин вешает камеру, он ничего этого не делает :-)
23.09.15 12:25
0
Ага, все такие умные: пять паролей, смс подтверждение и т.д.

Для сбера это не препятствие. У моего сына за летнюю практику перечислили деньги на карту. Через пару дней они ушли тремя суммами на два телефона и счет. По журналам опсоса не было ни одной СМСки о подтверждении. Полиция дело попинало по отделениям и где-то похоронила в Москве.

К чему это я. Если контора гнилая, а руководству плевать на клиента - лишь бы денежный поток не уменьшался, то туда лучше не соваться.
23.09.15 05:19
0
Ха! Тут лет 7 назад прилетели из роуминга. Когда улетали - код у МТС, чтобы деактивировать роуминг, был один. Когда прилетели - др. Но это, ясен пионер, нам никто не сообщил. Я по прилету роуминг снял. По старому коду.

Щаз!!!

Мне столько этот МТС насчитал потом, что меня в их салоне чуть в ментовку не забрали. За адекватность реакции на подставу. Отбил, кстати.

Ушел от этих ребят. Но др. не лучше. Тут ведь как? Надо знать их подлянки.
22.09.15 23:07
0
Peter Zabriski:
Ха! Тут лет 7 назад прилетели из роуминга. Когда улетали - код у МТС, чтобы деактивировать роуминг, был один. Когда прилетели - др. Но это, ясен пионер, нам никто не сообщил. Я по прилету роуминг снял. По старому коду.

Щаз!!!

Мне столько этот МТС насчитал потом, что меня в их салоне чуть в ментовку не забрали. За адекватность реакции на подставу. Отбил, кстати.

Ушел от этих ребят. Но др. не лучше. Тут ведь как? Надо знать их подлянки.


У меня после смены страны был Мегафон на роуминге, тк звонили мне туда бывшие соотечественники по привычке, но, спустя некоторое время обычного юза, симка не понятно с какого перепуга накрылась медным тазом. Телефонный аппарат был тем-же, так что испугаться симка не могла, разве что настойчивых круглосуточных звонков и СМС бывшего с мольбами вернуться. Заказала новую симку из МСК, так эта сволочь даже не включилась на том же самом московском телефоне, купленным в том-же Мегафоне (то есть, вряд ли от серый и тп)... Ну не хотите денег, гады, и не нада, вам же хуже:) При нынешних бесплатных звонилках с Рашей и без вас обойдемся:)

А местный провайдер на такие выходки не способен, то ли законы не позволяют, а может врожденная порядочность:) Я уже забыла, что такое дозваниваться, упрашивать и подстраиваться под их подлянки... Сами иногда звонят и любезно предлагают удобные тарифные планы, дают скидки при нашей к ним лояльности, еще дают бесплатные Айфоны, если вдруг закапризничаешь и пригрозишь уйти к др. оператору, Вот такие дела.
22.09.15 23:35
0
одного не пойму - разве сложно, перед выдачей дубликата, позвонить на номер владельца ?
22.09.15 20:20
0
Bogdan:
одного не пойму - разве сложно, перед выдачей дубликата, позвонить на номер владельца ?


Э-э-э? Предполагается, что оригинал утерян/украден - куда звонить и с какой целью? Чтобы там ответил некто и сказал ' конечно, менять нельзя!? При добросовестной замене и нет ни каких проблем, предъявляется паспорт, зачем звонить куда-то? Тут-то речь о мошенничестве сотрудников оператора.
22.09.15 22:12
0
 да, в догонку о видео в офисе - видел изящное решение, висят камеры, но не пишут, и сигнал никуда не передают кроме как маленького компа на котором крутится одна программулька, но хитрая, она отслеживает наличие работника на рабочем месте, умеет распознавать человека, и отмечает время когда человек был, а когда его не было ;-) 
22.09.15 20:13
0
Ulises:
да, в догонку о видео в офисе - видел изящное решение, висят камеры, но не пишут, и сигнал никуда не передают кроме как маленького компа на котором крутится одна программулька, но хитрая, она отслеживает наличие работника на рабочем месте, умеет распознавать человека, и отмечает время когда человек был, а когда его не было


Так она пишет или нет? Или там все время надо в монитор пялиться?
22.09.15 20:34
0
Alex Exler: тем более что эта доверенность может быть и "настоящей" (например, выданной "черным" нотариусом).

Мнэээ, Вы несколько в своих гишпаниях отстали от российских реалий - в настоящий момент подобное возможно только в случае со спижж...украденными бланками и ради подобных дел с этим просто никто не станет заморачиваться, соотношения риска и выхлопа совершенно того не стоит.
22.09.15 19:09
0
в хабре уже написали в принципе тоже только иначе

линк
22.09.15 16:43
0
Peter Zabriski

Проще было самому обрезать, если, конечно, не совсем старая была симка и был нужен 4Г.
22.09.15 16:21
0
StepNik: Проще было самому обрезать, если, конечно, не совсем старая была симка и был нужен 4Г.

Лучше менять. Чем свежее симка, тем больше вероятность, что ее дольше можно не менять :)
22.09.15 16:40
0
У опсосов офисы тоже не 24/7 вроде.
22.09.15 14:35
0
Balinez: У опсосов офисы тоже не 24/7 вроде.

А если доверенность выдана в Калининграде, а предъявлена в Петропавловске-Камчатском? ;)
22.09.15 14:37
0
Хм... симка зареганная на друга-родственника - это, конечно, хорошо. Но если вы пролюбили или у вас стабилизировали рабочий мобильник, а друг-родственник в отпуске в Египте / у родственников в Новосибирске / в коммандировке в Бангладеш и приедет через 3 недели? Три недели без рабочего телефона - это не смертельная, но весьма печальная ситуация. И друг-родственник нужен надежный, с гарантией.



Не, лучше к мобильнику ничего кроме соцсетей не привязывать.
22.09.15 14:08
0
Банк привязал к корпоративной симке, которую никакому физику не выдадут. :-)
22.09.15 13:51
0
GOST: Банк привязал к корпоративной симке, которую никакому физику не выдадут.

Вот как раз симку юрлица получить гораздо проще, по причине абсолютной незащищенности доверенности юрлица. :)
24.09.15 09:21
0
GOST: Банк привязал к корпоративной симке, которую никакому физику не выдадут.

Да ну? :) Я переводил корпоративную симку в личное пользование и утверждаю, что раньше это делалось без проблем по доверенности. Как легко нарисовать доверенность, думаю, рассказывать не надо?))

ЗЫ: я все делал по настоящей доверенности по согалсованию с директором
22.09.15 14:18
0
Таких историй воровства денег с кошельков путем перевыпуска мошенниками симкарты десятки

примеры
searchengines.guru/showthread.php?t=856465



Проблема была бы решена, если бы операторы связи блокировали СМС в случае смены сим карты на 3 дня по заранее написанному клиентом заявлению.

Оператам это не нужно.

Только иску в суд от пострадавших могут заставить операторов решать этот вопрос.
22.09.15 12:50
0
А что, многоуважаемый Билайн со своим солидным юридическим аппаратом, не в курсе, что факт удостоверения доверенности можно проверить, банально позвонив удостоверившему её нотариусу?
22.09.15 12:47
0
Balinez: А что, многоуважаемый Билайн со своим солидным юридическим аппаратом, не в курсе, что факт удостоверения доверенности можно проверить, банально позвонив удостоверившему её нотариусу?

т.е. каждую бумажку надо проверять? Представьте - я хочу купить симку, обождите, ща я дозвонюсь в паспортный стол, чтобы проверить что вам действительно там выдали паспорт, и если там не пошлют подальше - продам вам симку.
22.09.15 13:38
0
Подтверждаю что, например, Альфа блокирует клиент-банк при смене симки. Так что смысл во второй симке для банкинга не совсем понятен. Если только для электронных денег типа пэйпала или яндекса.
22.09.15 12:41
0
Приличные банки блокируют доступ к интернет-банку при смене IMSI
22.09.15 12:19
0
skyroger2: Приличные банки блокируют доступ к интернет-банку при смене IMSI

приличные банки могут остаться не в удел, так как (может не в россии) есть СИМки которые меняют свои IMSI когда делают роуминг за границей, сделано это для того чтобы уменьшить разходы по роумингу.



Например СИМка с Австралиии будучи заригистрированная в Европе, вдруг преходит в режим что она оказывается например с Голандии. Человеку в астралию будут звонить, а попадать на другой виртуальный номер в Голандии, при этом СМС может работать, а может и нет. Всё зависит от домашнего оператора который умеет давать такой сервис
22.09.15 17:02
0
В своём посте на ФБ она писала, что, подавала заявку на привязку своего обслуживания к единственному офису и об отмене представления по доверенности, если не ошибаюсь. Так, похоже, или проблема оператора (исполнителя) или нет целостности БД.
22.09.15 11:49
0
Пользование чужой симкой незаконно, насколько я понимаю.

А насчет того, что сотрудник Билайна не может быть экспертом по поддельным доверенностям, так он и по паспортам не может быть экспертом. Но как бизнес несет все риски и отвечает за ущерб потребителя. Это в теории. На практике российский суд найдёт 100 способов вас кинуть. Именно поэтому мошенники получают симку 5 раз в день по поддельной доверенности, и никого в Билайне это не колышет. Эта история не про симку, а про дзюдохерию.
22.09.15 11:40
0
Не совсем понял, в чём у неё проблема. При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?
22.09.15 11:07
0
Jules Winnfield: При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?

Не обязательно пользоваться интернет-банкингом, есть формы оплат и переводов, когда достаточно только одноразового пароля. Так то да, логин в интернет банкинге, вкупе с паролем и подтверждением по имейлу уже достаточно крутая система безопасности, но она же только для интернет-банка, в остальных случаях возможно списание без аутентификаций, даже без номера мобильного и пин кода. Но в таком случае деньги холдятся и можно оспорить транзакцию.
22.09.15 13:51
0
Jules Winnfield: При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?


Волшебная кнопка "забыл пароль". На днях пришлось так менять пароль от приват24 - девочка в Польше, связь только голосом - интернетов нет, пароль забыла за ненадобностью, а деньги на ее карте, нужны в Украине вот прям щас. Догадайся с одного раза, на какой телефон приходит код для восстановления пароля? :)
22.09.15 13:44
0
Jules Winnfield: Пароль её от почты или клиент-банка как могут узнать?

ОЧЕНЬ много где есть кнопочка "забыл пароль".
Mit
22.09.15 11:42
0
А я вот только не понял насчет емейлов. Да, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти. Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?
22.09.15 11:03
0
Silvester: А я вот только не понял насчет емейлов. Да, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти. Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?

Надо бы спросить у этой Анны, а не проделки ли это ее бывшего? Такие гадости порой могут делать эти бывшие с гнилой душонкой, отправленные в отставку за непристойное поведение:( Или злобная близкая подружка...Потом, наверняка щас во всех офисах установлены камеры. Вот пусть и проверят. Ведь это уголовка, между прочим, причем попахивающая несколькими статьями одновременно. Надо писать заявление в органы. Пусть они ловят вора и подлеца!
22.09.15 18:24
0
Silvester: .е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?

В банках (а так же у пейпала), у операторов связи и в других организациях (работодатель и пр.) есть сканы паспорта, имейл и номер мобильного. Такая информация может сливаться за деньги любому желающему, потому, что легко доступна и никем не контролируется. Обезопасить себя можно только частично и только неудобными способами, как использование разных номеров телефонов и имейлов для разных целей и еще, как советует Алекс, использовать симки, зарегистрированные на кого-то другого. Есть еще более надежный, параноидальный способ - идти против глобализации и не использовать средства оплаты и связи, которые себя скомпроментировали. Но это не каждому подходит и когда-нибудь станет невозможным.
22.09.15 13:45
0
Silvester: а, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти.

Ну не такой уж это и секрет. Обычно адрес почты все сами раздают ближайшему окружению.
22.09.15 13:42
0
 

Silvester

Таки очевидно что кто то активно решил попортить жизнь человеку,ибо навару с электронного кошелька, да пара сотен баксов, да что ещё можновыжать из почты, в общем как то слишком дорогая операция, а следовательно это личное
22.09.15 11:33
0
Silvester: Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать?

Как вариант - с визитки
22.09.15 11:19
0
Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать, что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Это письмо передается в головной офис, а вы забираете копию с штемпелем о том, что заявление принято.

После этого любые убытки, связанные с выдачей симки не Вам, а лицу по доверенности, Билайн обязан будет возместить - еще и моральный ущерб может быть получится зацепить.
22.09.15 10:50
0
Ifrit: Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать,  что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Полный бред. Нотариально заверенная доверенность снимает такие запреты, на тот она и доверенность.
22.09.15 13:41
0
Ifrit:
Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать, что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Это письмо передается в головной офис, а вы забираете копию с штемпелем о том, что заявление принято.

После этого любые убытки, связанные с выдачей симки не Вам, а лицу по доверенности, Билайн обязан будет возместить - еще и моральный ущерб может быть получится зацепить.




Нифига не получится. В лучшем случае - проведут расследование, но говорить о возмещении - это просто смешно.

Кстати действительно вопрос -а почему не привязать карты-кошельки хотя бы к другому оператору???
22.09.15 11:55
0
Насчет банков, обычно при смене симки доступ к клиент-банку теряется, т.к. у симки другой внутренний идентификатор, который банки видят. В этом случае, требуется подтверждение новой симки.
22.09.15 10:50
0
А можно вообще привязать к городскому номеру :).
22.09.15 10:34
0
Что- то все равно не верится в ее рассказ, слишком много "грабель" или "граблей".
22.09.15 10:34
0
Теги
видео 1981
кино 1037
СМИ 908