Клиентка «Билайна» пожаловалась на кражу денег с карт после блокировки и быстрой продажи её номера Статьи редакции
Оператор говорит, что уже начал расследование.
Пользовательница Facebook Светлана Абада рассказала, что неизвестные смогли купить её заблокированный номер телефона от «Билайн», а потом вывести деньги из кошельков и с карт.
Абада уточнила vc.ru, что сейчас живет в Бразилии. По её словам, она пользовалась SIM-картой от «Билайн» 14 лет, но в последнее время не совершала звонков по этому номеру.
Она сообщила, что «Билайн» заблокировал номер «после 10 января», хотя на него приходили сообщения от банковских сервисов. По её словам, в компании действует правило — блокировать номер телефона абонента через три месяца, если по нему не совершаются звонки.
На сайте «Билайна» говорится, что компания может заблокировать номер, если по нему не звонили и не совершали «других действий» в течение полугода.
Обновлено 19:42: В «Билайне» уточнили, что сроки блокировки могут изменяться, в зависимости от тарифного плана. Чтобы номер не заблокировали, по нему должна была быть проведена хотя бы одна любая операция, совершенная самим абонентом.
17 января 2019 года мама Абады, её доверенное лицо, пришла в офис оператора и написала заявление на восстановление номера. Компания обещала ответить в течение трёх дней.
21 января в 10 часов утра ей позвонили из «Билайна» и рассказали, что номер «выпущен на склад» и его можно снова купить. Но в офисе «Билайн» матери Абады сообщили, что номер был куплен в 7:30 утра. На вопрос о том, как быть с картами, привязанными к номеру, в «Билайне» сообщили, что ничего не могут сделать, пишет Абада.
В тот же день начиная с 7:32 утра новые владельцы номера сняли деньги с кошельков Webmoney, с четырёх карт «Сбербанка» и часть денег с карты «Тинькофф банка», которая была заблокирована после нескольких операций. Позже неизвестные пытались ещё раз вывести деньги со счёта в «Тинькофф банке» и сменили пароли к почтовым ящикам, говорит Абада.
Я оказалась в патовой ситуации, когда для восстановления любого аккаунта мне нужно подтвердить действие через телефон или электронную почту, а у меня отобрали и то и другое!
Заявление в полицию написано. Ищу толкового адвоката, чтобы представлять мои интересы. И несколько вопросов к самому «Билайну»:
Как случилось, что 17 января в четверг номер был заблокирован и ни за кем не числился, а в 7.30 понедельника его уже продали иностранному гражданину без прописки и регистрации?
Какой офис в Москве работает в 7:30 утра, чтобы можно было приобрести номер? Дайте адрес.
Как получилось, что мне на номер ещё 26 декабря приходили сообщения, а через 3 недели вы его уже продали другому? Ведь период блокировки номера должен быть хотя бы месяц, чтоб человек успел перевести все счета и прочее?
Откуда у якобы «нового владельца» оказались доступы и информация к моим банкингам и кошелькам?
Почему вы не оповещаете о блокировке, если видите, что номер используется в приложениях и постоянно идут сообщения с банкингов?
В «Билайне» vc.ru рассказали, что начали расследование по этой ситуации.
Мы связались с абонентом для выяснения всех деталей. В данный момент в компании идут проверки корректности выполнения всех процедур нашими сотрудниками. Мы предупреждали клиента несколько раз о том, что номер будет заблокирован из-за отсутствия операций на нем
По словам Абады, в поддержке «Билайна» ей сказали, что заявка на восстановление номера не гарантирует его сохранения за абонентом.
На момент написания заметки в «Сбербанке» не ответили на вопросы о том, есть ли у банков возможность узнавать о смене владельцев телефонных номеров клиентов, но пообещали сделать это позже.
В «Тинькофф банке» сообщили, что карта Светланы Абады была заблокирована из-за подозрительных операций благодаря антифрод-системе, которая отслеживает в том числе изменения владельца привязанного к карте номера.
Рекомендации клиенту, которые позволили бы предотвратить или минимизировать финансовые потери:
1. Установить контрольные вопросы, которые являются дополнительным фактором аутентификации в личном кабинете;
2. Использовать уникальные пароли, в особенности для финансовых сервисов, которые не могут быть скомпрометированы и нигде больше не используются;
3. Никому не сообщать и держать в тайне свои логины, пароли, коды из SMS, ответы на контрольные вопросы и прочую персональную информацию, которая может быть использована мошенниками.
Гендиректор Telecom Daily Денис Кусков затруднился предположить, почему номер Абады так быстро передали, несмотря на заявление на восстановление. «То ли просто не досмотрели и не поставили галочку, что номер на восстановлении, то ли он кому-то "понравился"», — рассуждает аналитик. Он напомнил, что операторы даже без заявлений удерживают номера несколько месяцев, чтобы новый абонент получил «чистый» номер и ему не пришлось отвечать на звонки знакомых прежнего владельца.
В то же время Кусков обратил внимание на элементарные меры предосторожности: если по какой-то причине пользователь лишился своего номера телефона, следует незамедлительно отвязать его от банковских счетов и других сервисов.
С одной стороны, есть подозрительные моменты. С другой, и беспечность Светланы, похоже, сыграла вредоносную роль.
Для меня авторизация через SMS скомпрометировала себя давно. Не позднее того известного события, когда некие чуваки выпустили дубликат SIM-карты (как помню, тоже Пчелайна), чтобы присвоить эккаунт других чуваков в Telegram’e.
Однако… а есть более надёжные методы верификации, авторизации для таких задач? Ну, хотя бы в теории. 🤔
--
Есть, называются они 2FA/MFA(двухфакторная/многофакторная). Это когда нужно подтвердить действие с другого устройства или другим способом(email, кнопочку где-то нажать).
Мм, Вася, а в чём принципиальная разница? SMS это ведь тоже «кнопочку нажать». Светлана вон и электропочту потеряла тоже. 🤷♂️
Я сейчас не имею в виду методы валидации с помощью паяльника и тому подобное. Но, может, есть какие-то методы, в которые вовлечено меньше людей-посредников и, соответственно, более минимизирован «человеческий фактор».
Как вижу, многие люди уже много лет почти не берут в руки ретроденьги. Электроденьги же перманентно находятся в чужом владении. Они одновременно наши и не наши. Казус же со Светланой напомнил, что электроденьги потерять, похоже, ещё проще. Или нет? 🤔
--
Ммм.. Объясню на примере. Для входа в cloud-сервисы Amazon можно включить 2FA/MFA и подтверждать парольный вход еще дополнительными временными кодами, которые можно генерить, к примеру, на телефоне или брелке(как указали выше). Этим достигается повышенная взломостойкость Вашего аккаунта, ведь теперь только пароля недостаточно, нужно слямзить еще и телефон, который также нужно разблокировать. Также распространено подтверждение пароля кодом SMS. Но некоторые сервисы, спроектированные не совсем корректно, позволяют входить только кодом SMS, без ввода пароля, что является весьма ненадежным, если нет дополнительных проверок. Есть еще hardware keys, но это совсем для параноиков/top secret.
https://cloud.google.com/titan-security-key/
Об физических ключах думал, конечно же. Но для меня это как-то уж чересчур архаично и несподручно. 🤢