Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи / Хабр

Всем привет. В настоящий момент участились случаи с хищением денежных средств и аккаунтов путем махинаций с SIM-картами. Ни для кого не секрет, что наши данные активно сливаются в сеть и любой может получить “пробив” чужого номера за определенную сумму, но есть проблемы серьезней чем обычный “пробив”. Сразу отбросьте комментарии в стиле “просто не палите свои данные” или “двухфакторная аутентификация спасает”, все это вас не спасет, если мошенники знают, что у вас есть круглая сумма или например что-то иное, чем можно поживиться.

Представим себе ситуацию, я – мошенник и я получаю скан ваших паспортных данных я знаю номер вашего телефона, к которому привязаны разные кошельки, профили в соц.сетях, почты и т.д. Что я могу сделать с этой информацией?

Разберем самые частые схемы:

1. Переадресация номеров: Я звоню в контакт-центр вашего оператора и называю паспортные данные и номер на который хочу установить переадресацию и собственно все. Далее все в моих руках, могу принимать вызовы ваших клиентов, могу пароль восстановить от чего-либо и т.д.Некоторые (не все) операторы запрещают контак-центрам проводить какие-либо манипуляции по переадресации.

Решение:

1. Установить кодовое слово, но его устанавливают НЕ ВСЕ и сделать это можно только путем написания заявки в офисе (ПИСЬМЕННОЙ ЗАЯВКИ!)

2. Установить комментарий на вашем профиле “Запрещены любые действия с номером через контакт-центр.”, но установить комментарии можно не у всех операторов.

Глобальное решение:

Обязать всех операторов изменить правила оформления договоров, путем добавления выноски с установкой кодового слова на этапе оформления договора и запретить контакт-центрам ВСЕХ ОПЕРАТОРОВ работать с переадресацией.

Пруф 1: Мошенничество переадресация через билайн (Pikabu)

Пруф 2: Как я потерял 300 тысяч рублей (Zismo)

2. Переоформление договора: Через поддельную нотариальную доверенность я (как мошенник) переоформляю договор на себя. Да сейчас стало тяжелее это делать из-за Единой Информационной Системы нотариата (ЕИС), но это не значит, что нереально вовсе (не все сотрудники Росреестра проверяют действительность доверенности).

Решение:

Включить функцию или установить комментарий “Запрет обслуживания / действий по доверенности”, у некоторых операторов есть такая возможность (А У НЕКОТОРЫХ НЕТ, ДА МЕГАФОН?)

Этот пост для тех кто стал жертвой мошенников с использованием сервиса МТС “Легкий платеж” и хочет вернуть свои деньги. Не отчаивайтесь и не посыпайте пеплом голову, что вы повелись на разводку мошенников (на то они и мошенники).

Первым делом даже не пытайтесь пополнить баланс вашего телефона, т.к. деньги, скорее всего, спишут (мошенники иногда даже на следующий день пытаются списывать деньги).

Следующим шагом смените пароль к Легкому платежу. Согласно Соглашению о пользовании сервисом «Кошелек МТС Деньги» размещенному на сайте МТС, для аннулирования (сброса) пароля наберите с телефона команду *117#.

Также если вы не собираетесь в дальнейшем пользоваться сервисом «Легкий платеж», после всего случившегося, то подключите опцию «Запрет возврата части аванса» (этим вы отключаете возможность совершения Легкого платежа, который осуществляется из средств с вашего лицевого счета, на который вы авансом вносите денежные средства). Для этого позвоните оператору в Контактный центр МТС на бесплатный номер 8 800 250 0890, либо на номер 0890.

Также, если вы умудрились отправить мошенникам пароль и логин от своего личного кабинета МТС, то меняем и его. Для этого на сайте МТС на страничке входа в личный кабинет вводим номер своего мобильного телефона и нажимаем кнопку «Получить пароль по SMS».

Далее приступаем к возврату своих денежных средств. В интернете вы можете найти совет одного пользователя, который рекомендует идти к оператору, которому были переведены деньги (скорее всего это Билайн, т.к. мошенники используют его сервисы для обналичивания похищенных денег с начала 2020-х – странно, куда смотрят правоохранительные органы) и писать заявление на возврат. К сожалению, сейчас данный вариант возврата своих кровных не работает, т.к. Билайн стал требовать платежные документы заверенные системой Киберплат (интересно, на сколько законно это требование), через которую проходят все платежи, но вам эти документы ни кто не даст, т.к. у вас нет никаких договорных отношений с этой системой, а квитанцию с сайта Легкого платежа МТС, в Билайне не считают за подтверждение платежа.

Поэтому алгоритм действий будет несколько иной:

Готовим документы, подтверждающие платёж:

1. Заходим на компьютере в личный кабинет МТС.

2. В личном кабинете вверху наводим курсор на «Управление платежами» и в выпадающем меню слева кликаем ссылку «Лёгкий платёж».

3. Слева появляется колонка навигации по лёгким платежам, ищем внизу (слева) гиперссылку «История платежей» и кликаем.

4. В открывшейся истории заходим во все осуществлённые переводы (помечены как «Выполнено») и печатаем эти квитанции (по квитанция вы можете определить, какому оператору были переведены деньги и на какой номер).

5. С подготовленными документами и паспортом идём в офис МТС, просим у сотрудника бланк претензии и заполняем его (в шапке претензии указываете свои контактные данные, далее в блоке «Краткое содержание претензии» пишете, что такого-то числа с лицевого счета вашего мобильного номера 7-ХХХ-ХХХ-ХХ-ХХ мошенниками был произведен платеж(платежи) в размере ХХХ руб. в адрес (указываете организацию получателя и номер телефона получателя из распечатанной квитанции с «Легкого платежа»). Далее пишете, что просите вернуть вышеуказанную сумму ХХХ руб. на лицевой счет вашего мобильного номера 7-ХХХ-ХХХ-ХХ-ХХ. И указываете что, квитанции, подтверждающие платеж, прилагаются на ХХ листах. Для полной идентификации прилагаемых квитанций, можете указать уникальный код транзакции, написанный на каждой квитанции). Следующий, центральный блок претензии, оставляете как есть и после него указываете свой электронный адрес в блоке «Способ получения информации о принятом решении». Ставите подпись и дату внизу претензии и отдаете вместе с приложениями сотруднику МТС для регистрации заявления (должен поставить свою подпись и вписать номер претензии в нижнее окошечко бланка) и снятия копии для вас.

5. Ждём возврата денег на ваш лицевой счёт.

Если же МТС по каким-либо причинам не возвращает денежные средства и присылает вам на почту ответ об этом, то переходим ко второму этапу возврата своих кровных.

Для этого нам надо разместить на сайте Минкомсвязи http://minsvyaz.ru/ru/ соответствующее обращение. Для этого заходим в раздел «Обращения граждан», жмем кнопку «Отправить обращение».

Открывается страница для заполнения обращения. Тип обращения оставляем – «Заявление».

Далее вводим текст заявления (5000 символов более чем достаточно, чтобы подробно описать всю ситуацию).

Прикрепляем архивный файл с копией претензии в МТС с приложениями, в виде квитанций о произведенных платежах, ответ МТС на претензию, можно приложить фотографии экрана вашего телефона с входящими звонками от мошенников, перепиской с ними и СМС-ками от сервиса «Легкий платеж», приложите счет за месяц из Личного кабинета МТС – в нем будут также отображены операции по Легкому платежу под названием «Возврат части аванса». Короче, прикладывайте все, что связано с этой ситуацией – вам скрывать нечего, вы жертва мошенников и хотите оказать полное содействие нашим госорганам для разбирательства в этом вопросе.

После этого вносите информацию о себе и указываете адрес электронной почты, куда направлять ответ и жмете кнопочку «Отправить обращение». Сайт сообщит вам, что Ваше обращение успешно отправлено.

Совет: текст обращения рекомендую заранее набрать в текстовом редакторе, вдруг на странице будет сбой. Также рекомендую сделать принт-скрины обращения на сайте Минкомсвязи и принт-скрин страницы с подтверждением об успешном отправлении заявления.

Далее периодически проверяем электронную почту и смотрим, как работают наши госорганы. Сразу предупреждаю, не расстраивайтесь, если вам покажется, что чиновники занимаются футболом. В итоге ваше обращение дойдет до Роскомнадзора (как вариант можно им сразу написать) и ваши кровные на этот раз точно вернуться.

Теперь самое интересное. Что писать в заявлении на сайте Минкомсвязи?

В этом нам поможет статья в газете «Известия» http://izvestia.ru/news/622865

Прочитав ее, становиться ясным, что в заявлении надо просить Минкомсвязи проверить деятельность МТС на нарушение Федерального закона от 07.07.2003 N 126-ФЗ “О связи” и по результатам проверки обязать МТС вернуть вам списанные денежные средства с учетом комиссии МТС (теперь становиться ясным, почему столько лет МТС ничего не делает, чтобы обезопасить своих преданных абонентов – МТС же получает комиссию с каждого платежа мошенников).

Закон «О связи» нарушается в части статьи 44 п.5 второй абзац (можно скачать из интернета), которой устанавливается возможность подключения дополнительных услуг только при совершении абонентом действий, однозначно идентифицирующих абонента и позволяющих достоверно установить его волеизъявление. Как следует из правил оказания услуг связи, идентифицировать абонента и его абонентское оборудование, т.е. сотовый телефон, позволяет идентификационный модуль, его роль выполняет SIM-карта.

Но тут вы и описываете, что код доступа был запрошен не с вашего телефона, т.е. услуга активировалась без вашей идентификации. Платежи также совершались не с вашего телефона и опять же без вашей идентификации. (Как это работает не с вашего телефона, можете подробно прочитать в следующем посте: http://vhod-v-lichnyj-kabinet.ru/story/vnimanie_moshenniki_kak_voruyut_vashi…)

Также здесь просматривается навязывание услуги, т.к. она может быть подключена без вашего волеизъявления. А это уже повод для обращения в ФАС, но нам хватит и Роскомнадзора. Кстати в случае навязывания услуги сотрудники МТС любят говорить, что «Легкий платеж» – это не услуга, а сервис, но это полная тавтология, потому что согласно Соглашению о пользовании сервисом «Кошелек МТС Деньги» размещенному на сайте МТС, раздел «Термины»: Сервис «Кошелек МТС Деньги» (равнозначно «Сервис») – это услуги. А «Легкий платеж» – это один из нескольких функционалов, через который может быть реализованы эти услуги.

Ну и на последок. Все что приходить к вам на телефон – это ваши «ключи от квартиры, где деньги лежат». Поэтому на любые запросы к вам сообщить данные, вернуть деньги и т.д., которые поступили вам на телефон, вежливо отправляйте просящего к той организации, через которую он эти отправки осуществлял – там ему помогут. И не забывайте, что в роли просящего могут выступать даже ваши близкие люди (просто в этот момент у них, например, взломали аккаунт «ВКонтакте». Можете почитать реальные истории: http://conf.7ya.ru/fulltext-thread.aspx?cnf=Misc&trd=222485).

Но если вы все-таки попались на эту удочку, то не поддавайтесь на провокации сотрудников сотового оператора, которые будут упирать на то, что вас предупреждали никому не сообщать коды от Легкого платежа (мол, сам дурак). После того, как с моими знакомыми дважды произошла подобная ситуация и почитав форумы, я понял, что действительно мошенники используют особенность нашего мышления (психологи наверное знают, как правильно называется этот эффект), которая заключается в следующем: если вы не запрашивали информацию и она к вам приходит, а вам звонит человек и говорит, что по ошибке вам пришла его информация, то вы интуитивно верите этому человеку, т.к. вы не совершали этого запроса и этот человек знает об этой информации, значит он не лжет и действительно это его данные. А те, кто пишут в комментариях к таким случаям нехорошие отзывы о пользователях, которые попали в такую ситуацию, либо не разобрался в вышеуказанной психологической подоплеке этой мошеннической схемы, либо являются троллями мошенников или сотового оператора (материально заинтересованные стороны этого безобразия). Последние могут это делать, чтобы вы даже и не пытались вернуть свои кровные из-за чувства собственной вины (опять психология).

Так что будьте настойчивы в отстаивании своих интересов и все у вас получится.