УГРОЗЫ И РИСКИ В СФЕРЕ Р2Р ПЕРЕВОДОВ ЧЕРЕЗ ОПЕРАТОРОВ СВЯЗИ

7 апреля 1:26

Введение

По данным ЦБ за 2018 год, переводы в пользу операторов связи составили 33,4% в структуре операций БПА (банковские платёжные агенты) по количеству. Суммарно БПА в пользу операторов связи было переведено больше 140 млрд рублей. К причинам обращения граждан к оплате с мобильного счета можно отнести:

  1. Защита от мошенников (не надо оставлять данные о платеже)
  2. Альтернативный способ оплаты (при заблокированной банковской карте)
  3. Срочность (нет необходимости вводить данные карты, реквизиты)
  4. Лёгкость пополнения (проще пополнить баланс телефона нежели банковской карты)
  5. Приватность (операции по мобильному счету не будут отражаться в банковской выписке)

Упрощает ситуацию и то, что оплату с мобильного счета принимают многие мерчанты (Aliexpress, Google). Такие условия привлекают мошенников. Однако, есть несколько сдерживающих факторов. В зависимости от уровня идентификации меняется лимит возможности переводимых ДС. При использовании неперсонифицированного номера телефона лимит перевода ДС составляет 40 тысяч рублей в месяц, при этом лимит одной операции не может превышать 15 тысяч рублей. В случае, если абонент прошёл процедуру упрощённой идентификации, то лимит  повышается до 200 тысяч рублей. Статья 3 Федерального закона от 07.08.2001 N 115-ФЗ закрепляет три способа проведения упрощённой идентификации:

  1. С использованием оригиналов документов и (или) надлежащим образом заверенных копий документов;
  2. С использованием информации из информационных систем органов государственной власти (ПФР, ФФОМС, ГИС);
  3. с использованием единой системы идентификации и аутентификации при использовании усиленной квалифицированной электронной подписи или простой электронной подписи при условии, что при выдаче ключа простой электронной подписи личность физического лица установлена при личном приёме;

Рассмотрим каждый из способов идентификации. Электронная подпись представляет собой сложный инструмент с криптографической защитой, которым вряд ли будут пользоваться мошенники. Гораздо пройти идентификацию используя поддельный паспорт (копия). На незаконных торговых площадках цены на украденные копии (сканы) паспорта начинаются от 200 рублей. Более того, продавцы предлагают уже готовый «комплект по идентификации»: не просто паспорт, но и фотографию жертвы с ним. Этих данных хватит для того, чтобы оформить микрокредит. Более того некоторые сотовые операторы предлагают услугу, при которой сумма кредита перечислятся на номер телефона. С помощью цепочки переводов мошенники с лёгкостью смогут вывести ДС. Идентификация с помощью информационных систем государства также привлекает мошенников. Заполучить служебный доступ к любой государственной базе достаточно просто. В тоже время в силу особенностей российского законодательства за подобное преступление наступает меньшая ответственность. Согласно УК РФ, такие действия не попадают под статью 137 УК РФ (Нарушение неприкосновенности частной жизни), они относятся к статье 272 УК РФ (Неправомерный доступ к компьютерной информации), которая не устанавливает ответственность за распространение.

По оценкам экспертов, количество абонентов российских операторов связи составляет примерно 250 млн, примерно 50 миллионов из них относятся к корпоративным сим- картам. Начиная с 2000 года предпринималось множество попыток свести к минимуму долю неидентифицированных (серых) сим – карт в общем обороте. В частности, был принят Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ, впоследствии в него вносили поправки и дополнения. Однако, если ФЛ в большинстве удалось перевести в «белую» зону, то с корпоративными сим – картами дело обстояло сложнее. До недавних пор, особенностью таких карт являлось то, что компания может закупить их в неограниченном объёме без привязки к конкретному лицу. То есть на фирму-однодневку можно было зарегистрировать бесчисленное количество карт. Чаще всего этим пользовались мошенники (например, вишинг) и компании, связанные с цифровой телефонией. С 1 июня 2021 года вступили в силу новые поправки, которые обязали компании привязывать каждый номер к конкретному сотруднику для того, чтобы снизить долю серых сим-карт. При успешной реализации поправок, прогнозируется снижение количества серых сим-карт на 10-15%. Однако, введённые поправки не устанавливают лимит сим-карт, зарегистрированных на одного сотрудника, а также покупку сим-карт с целью их реализации. В первом случае, фирма-однодневка может нанять «номинала» и оформить сим-карты на него. Во втором же, работает комиссионная схема. Комиссионер. когда берет на себя продажу сим-карт, также перенимает у оператора связи ответственность за надлежащую верификацию пользователей. Очевидно, что фирмы- однодневки будут стремиться продать как можно больше сим-карт для достижения целевых показателей, установленных оператором связи, минуя доскональную регистрацию клиентов. Впоследствии, привлечь недобросовестную компанию к ответственности практически невозможно. С помочью серых сим-карт возможно создание сети карт с целью вывода и отмывания ДС.

СИМ – КАРТЫ КЛОНЫ (ДУБЛИКАТЫ)

В России у операторов связи отсутствует единая информационная система. У каждой компании есть своя база данных клиентов, которую она заполняет, и, за безопасность которой несёт ответственность. Ответственность же, за утечку персональных данных, наступает по статье 272 УК РФ «Неправомерный доступ к компьютерной информации», максимальный срок лишения свободы составляет 7 лет в случае, если стороне обвинения удалось доказать тяжкие последствия преступления. Однако, если не был нанесён крупный ущерб (более 1 миллиона рублей), и, отсутствует сговор, то преступление относится к категории небольшой тяжести (ч.2 ст.15 УК РФ) – максимальное наказание ограничение свободы на срок до двух лет. Перечисленные выше факторы приводят к тому, что за счёт разрозненности, халатности и отсутствия жёсткого наказания, мошенники регулярно получают доступ к базам данных абонентов, в которых, в зависимости от оператора связи, могут находится как простые сведения о ФИО и месте жительства, так и чрезвычайно конфиденциальная информация. Соответствующие базы данных продаются на нелегальных торговых площадках за небольшую сумму (10 тысяч рублей).  БД включают в себя исчерпывающие данные о клиенте.

Учитывая всеобъемлющую БД, мошенники могут использовать ее для разнообразных целей: вишинга, фишинга, подделки документов, оформления серы сим-карт и т.д.  Так, По данным Fraud action UK примерно 4% населения (2 млн 720 тысяч людей) стали жертвами фишинга. Ежедневно жители Соединённого Королевства переводят со своих банковских карт мошенникам в среднем 707 тысяч фунтов стерлингов.

С помощью такой БД злоумышленники могут «прикреплять» серые сим-карты к учётным записям идентифицированных клиентов. Для таких операций мошенники, ориентируясь на характеристики жертвы, стараются подобрать наиболее уязвимых людей (пенсионеров и мигрантов), которые вряд ли будут отслеживать, сколько сим-карт на них зарегистрировано. Впоследствии, мошенники могут перечислять денежные средства на поддельные сим-карты для обналичивания. Однако, такой вид заработка не приносит больших средств. Гораздо выгоднее использовать данные сим-карты для перевода ДС от предикатных преступлений. При использовании неперсонифицированного электронного средства общая сумма переводимых ЭДС не превышает 40 тысяч рублей в течение календарного месяца. В случае, если произведена упрощённая идентификация, то максимально возможная сумма переводимых ДС возрастает до 200 тысяч рублей в месяц. С помощью искусственного интеллекта возможно создание обширной сети незаконных  нерегулируемых переводов ДС. На текущий момент, для перевода посредством СМС на карту потребуется лишь ввести номер карты и сумму (Например, card 1111222233334444 10000). Для подтверждения перевода достаточно отправить любой символ, кроме «0».

Список литературы

  1. “‘Bilajn’ zakryvaet dostup k utechke bazy 2 mln klientov.” CNews.ru, www.cnews.ru/news/top/2019-10-07_bilajn_zakryvaet_dostup. Data poseshhenija 23 Ijulja 2021.
  2. “Bankovskie platezhnye agenty.” Spmag.ru, spmag.ru/articles/bankovskie-platezhnye-agenty. Data poseshhenija 23 Ijulja 2021.
  3. “Federal’nyj zakon ‘O Svjazi.’” Interfax.ru, www.interfax.ru/russia/770360. Data poseshhenija 23 Ijulja 2021.
  4. “Federal’nyj zakon o svjazi.” Rossijskaja gazeta, rg.ru/2003/07/10/svjaz-dok.html. Data poseshhenija 23 Ijulja 2021.
  5. “Frank RG izuchila rynok P2p-perevodov.” Frank RG, 27 Nov. 2019, frankrg.com/9088. Data poseshhenija 23 Ijulja 2021.
  6. “Group-IB: moshenniki ispol’zujut podlozhnye stranicy podtverzhdenija platezhej.” Group-IB, xakep.ru/2021/07/01/3-d-secure/. Data poseshhenija 23 Ijulja 2021