Мошенничество со словом «да», это реально?
От знакомых узнал о мошенничестве по телефону: мошенник провоцирует человека сказать «да», записывает его голос, а потом использует запись, чтобы снять средства со счета.
Так правда бывает? Что делают банки, чтобы обезопасить от такого клиентов? Как еще могут использовать запись моего голоса?
Если коротко, то нет, так не бывает. Для перевода денег по телефону необходимо пройти несколько уровней идентификации. Одной записи голоса будет недостаточно.
Но мошенники и правда могут использовать запись вашего голоса против вас. К счастью, этому обычно легко противостоять.
Распознавание голоса в банке
В колцентрах банков действительно есть системы, которые определяют людей по голосу. А еще клиентов узнают по кодовому слову, уникальному идентификатору симкарты и даже лицу. Мы уже рассказывали, как все это работает и зачем нужно.
Если кратко, автоматическое распознавание помогает быстрее узнать клиента и решить его проблему, но решения принимает оператор. Скажем, если клиент звонит узнать адрес ближайшего банкомата, оператор ответит без лишних вопросов. А если звонящий хочет перевести деньги, то оператор запросит дополнительные сведения.
Диалог с операторами всегда вариативен. Мошенник не сможет предугадать, какие вопросы ему зададут. Даже если он запишет, как вы говорите «да», «нет», «добрый день» и «переведите деньги по номеру карты», то этого будет недостаточно для полноценного диалога. Оператор заметит, что речь и интонация неестественны. У мошенника не получится снять ваши деньги, даже если он запишет вашу просьбу это сделать.
Кроме того, оператор не может перевести деньги на какую угодно карту: только на те, что клиент добавил в личном кабинете.
С помощью вашего голоса мошенники не смогут украсть деньги в банке, но могут попытаться развести на деньги вас.
Биометрические данные
С июля 2018 года вступил в силу федеральный закон, который позволяет банкам собирать биометрические данные клиентов. Это не инициатива конкретного банка, а система, которая организована на государственном уровне. По желанию клиента можно передать в банк образцы голоса и внешности, а потом открывать счета и брать кредиты хоть из магазина или из дома. В банк ходить вообще не придется.
Пока банки ее внедряют и тестируют, но уже есть случаи, когда счета открывали голосом и по образцу внешности.
Биометрические данные собирают не как угодно, а по правилам, которые установил закон. Хранят их под защитой. Это сложная система, которая не позволит мошенникам получить доступ к счетам, используя только записанный голос. Но если мошеннику попадет еще и телефон с персональными данными и приложением, то есть риск потерять деньги.
Хотя биометрические данные хранятся на государственной платформе и надежно защищены, все равно нужно соблюдать меры безопасности. Банки будут использовать дополнительные способы защиты, включая отслеживание сумм переводов и типичных операций по счету. Но это не повод раздавать свои данные и не следить за телефоном. Мы еще расскажем, как работает этот закон и какие возможности будут у клиентов банков, когда все заработает в нормальном режиме.
Зачем мошенникам ваш голос
Я знаю несколько схем развода с помощью записи голоса. К счастью, они встречаются редко.
Как-то моему другу позвонили мошенники под видом соцопроса. В ходе разговора он несколько раз ответил «да, конечно» и «разумеется». Через некоторое время ему пришло письмо с аудиозаписью: мошенники нарезали ответы так, что все выглядело как разговор, в котором друг соглашается на сексуальные услуги другого мужчины. Мошенник потребовал перевести 50 тысяч рублей на кошелек «Киви», а иначе грозил разослать запись друзьям в соцсетях. Он даже заранее подготовил их список.
У этой схемы могут быть другие варианты. Например, ваши слова монтируют в разговор так, что вы якобы соглашаетесь на какую-то покупку, и требуют ее оплатить.
«Пожалуйста, укажите свой номер…»: почему этого лучше не делать
Регистрируетесь на сайте или в мобильном приложении? Возможно, вам предложат указать номер телефона.
Зачем им мой телефон?
Одна из причин – идентификация пользователя. При активации сим-карты в России и некоторых других странах мира (например, в Германии, Польше, Испании) покупатель должен показать продавцу удостоверение личности. Впоследствии владельцы сервисов могут требовать для идентификации телефонный номер. Пример – wi-fi в российских гостиницах и аэропортах. Вы не можете «просто» подключиться к Интернету. Придется указать номер своего мобильного телефона, получить на него специальный проверочный код и ввести его на странице сервиса.
Сбор всевозможной информации о вас в сети, привязка к личности, составление вашего профиля (например, для маркетинговых целей или для нужд правоохранительных органов) создают угрозу приватности и безопасности.
Вторая распространенная цель, ради которой у вас запрашивают телефонный номер, – восстановление доступа к аккаунту при забытом пароле. Нажмите кнопку, по SMS придет гиперссылка, и вы вернете контроль над аккаунтом. Звучит хорошо, но есть слабое место: зависимость от оператора мобильной связи. Тот способен перевыпустить сим-карту, и злоумышленник «восстановит» пароль к вашему аккаунту.
Владельцы сервисов нередко предлагают указать телефон «для защиты вашей учетной записи». С точки зрения «безопасника» эта функция, наоборот, создает уязвимость.
Третья цель – предоставление услуг. Владелец онлайнового магазина просит ваш номер телефона, чтобы присылать полезную информацию. Авиакомпания сообщает о задержке рейса или изменении выхода на посадку. Метеослужба передает прогноз погоды. Медицинский центр напоминает о визите к врачу. Социальная сеть отправляет тревожный сигнал, если неизвестное лицо пытается войти в ваш аккаунт. Банки используют SMS, чтобы подтверждать онлайновые платежи и доставлять клиентам информацию об изменении их счетов (PUSH-уведомления) для этого тоже применяются).
Кажется, от всего перечисленного клиенту одна польза. Но данные собираются также в маркетинговых целях, а то и просто для рассылки спама и назойливых звонков с предложением всего на свете. Номера телефонов запрашивают всюду: на кассе в магазине («для оформления скидочной карты»), при заселении в гостиницу, для получения визы, чтобы записаться на шиномонтаж. На вопрос «зачем?» могут ответить «таков порядок» или «на всякий случай».
Люди устали, привыкли, хотят побыстрее завершить процедуру регистрации, дают телефон, не размышляя, как он будет использоваться. Тем более не читают длинное, составленное сухим языком пользовательское соглашение. Где-то в тексте соглашения может затеряться информация о том, что, собственно, владелец сервиса намерен делать с вашим телефонным номером и на каких условиях, а также как потом удалить телефонный номер из системы. Персональные данные, включая телефонные номера, то и дело «утекают».
В апреле 2019 года компания DeviceLock сообщила о том, что обнаружила в российском сегменте Интернета более тысячи открытых баз данных. В ноябре 2018 года «Коммерсант» написал о многочисленных личных файлах, обнаруженных журналистами на общедоступных компьютерах в московских МФЦ. Посетители второпях, по небрежности оставляли свои электронные документы где попало.
А еще телефонный номер запрашивает мессенджер, которому нужны контакты вашего смартфона. По-другому этот мессенджер не работает.
А еще номером интересуются мошенники и социальные инженеры. Сим-картой из потерянного/украденного телефона могут воспользоваться для доступа к финансам и даже для снятия денег с банковского счета. Одного телефонного номера для этого мало, поэтому злоумышленники используют дополнительную собранную ими информацию.
Наконец, для перехвата SMS-сообщений можно использовать уязвимость протокола SS7 (в России также используется название ОКС-7), который создавался в 70-х годах прошлого столетия без «прицела на безопасность».
Может, лучше вообще не указывать номер телефона?
Давайте рассмотрим некоторые примеры.
Электронная почта
Mail.ru и Яндекс запрашивают номер телефона прямо на странице регистрации. Можно выбрать ссылку «У меня нет мобильного телефона» (было бы честнее написать «Я не хочу указывать мобильный телефон»). Эта ссылка меняет запрос телефонного номера на запрос адреса email (Mail.ru, указывать email не обязательно) или выбор ответа на контрольный вопрос (Яндекс).
Итак, можно избежать указания номера мобильного телефона при регистрации нового адреса, но этот путь нельзя назвать очевидным. Если вы указывали номер раньше, нетрудно удалить его в настройках сервиса (ввести код, который сервис отправит на ваш телефон по SMS). Чтобы включить двухфакторную аутентификацию в Mail.ru и Яндексе, номер мобильного телефона нужен. И пока двухфакторная аутентификация включена, удалить этот номер из настроек аккаунта нельзя (даже если для генерации кодов вы пользуетесь мобильным приложением, а не SMS).
Номер мобильного телефона потребуется и для регистрации аккаунта Google (и почты Gmail). Потом его можно удалить в настройках сервиса. Для подключения и работы двухфакторной аутентификации номер указывать не обязательно. Тем не менее Google не перестает предлагать ввести номер телефона «для вашей безопасности».
Швейцарский сервис Proton Mail и немецкая Tutanota, которые уделяют особое внимание приватности и конфиденциальности пользователей, не просят телефонный номер ни для регистрации, ни для двухфакторной аутентификации.
Социальные сети
«ВКонтакте» позволяет зарегистрироваться только с номером телефона. Удалить его в настройках нельзя, можно лишь заменить на другой номер. В число способов двухфакторной аутентификации входит SMS, и отключить этот вариант не получится.
Facebook также требует номер при регистрации, но позволяет впоследствии удалить его в настройках. Двухфакторная аутентификация может быть включена и использоваться без мобильного номера.
Twitter позволяет выбирать, с чем вам удобно регистрироваться – номером телефона или адресом email. К сожалению, используя разные адреса email и разные IP-адреса, мне ни разу не удалось зарегистрировать новый аккаунт только по адресу email. Twitter неизменно сообщал о «подозрительной активности», блокировал процесс регистрации и требовал подтвердить телефонный номер. Пройдя регистрацию, номер из настроек убрать можно, но лишь теоретически: выполнив эту операцию, Twitter немедленно блокировал аккаунт и требовал снова указать телефонный номер. Двухфакторную аутентификацию Twitter согласился включить лишь через SMS.
Instagram регистрирует без телефонного номера (нужен адрес email). Двухфакторную аутентификацию тоже можно включить и использовать без SMS.
Мессенджеры
В некоторых популярных мессенджерах привязка к телефону – неотъемлемая часть. В эту компанию попадают WhatsApp, Telegram, Viber и даже Signal, который эксперты по безопасности часто рекомендуют как более защищенный по сравнению с конкурентами.
Пользователи Facebook могут общаться с помощью Facebook Messenger, и хотя при регистрации аккаунта Facebook нужен номер телефона, его впоследствии можно удалить и пользоваться Facebook Messenger без этой привязки.
Для работы со Skype нужна учетная запись Microsoft, но там указывать номер телефона не обязательно.
Из менее известных продуктов, не требующих привязки к номеру мобильного телефона, можно назвать мессенджеры Wire и Briar. Последний к тому же децентрализованный (не зависит от единого сервера) и, подобно своему известному «коллеге» Firechat, поддерживает возможность связи между пользователями без Интернета (с помощью технологий wi-fi и Bluetooth), хоть и на малых расстояниях. Пока у Briar, однако, сравнительно небольшая аудитория и нет версии для iOS.
Что можно сделать для безопасности?
По возможности не регистрироваться там, где требуют номер телефона. Не указывать номер, если нет особой нужды.
Проверить настройки уже используемых сервисов. Если там есть номер и его можно удалить без ущерба для функциональности сервиса, возможно, это следует сделать.
Отказаться от схем «восстановления пароля» по телефону. Лучше потратить немного времени на создание надежных паролей, сохранить их в защищенной базе менеджер паролей, периодически делать резервные копии как этой базы, так и самих защищенных данных.
Включить в настройках аккаунтов двухфакторную аутентификацию. Лучше, если вторым фактором станет не SMS, а, например, одноразовый код из мобильного приложения. Google Authenticator или Authy подойдут.
Позаботиться о мобильном устройстве: удалить ненужные приложения, регулярно чистить данные (SMS-сообщения, историю звонков, переписку в мессенджерах), убедиться, что включено шифрование устройства, а если у кого-то пока не включено – прямо сейчас установить пароль на вход.
Настроить уведомления сервисов так, чтобы быть в курсе любой попытки несанкционированного входа.
Можно прибегнуть и к другим, более редким рецептам, например, использовать сим-карту зарубежного оператора (в некоторых странах по-прежнему можно купить сим-карту без предъявления документа). Правда, придется поддерживать этот номер в рабочем состоянии – следить за балансом и вовремя пополнять счет.
Если вам приходится указывать номер мобильного телефона, отдавайте себе отчет в том, какие риски связаны с этим фактом. Возможно, лучше не передавать с помощью этого сервиса избыточную информацию. Если же вам не повезло и вы потеряли смартфон (или его украли, или изъяли), есть смысл, не откладывая, заблокировать сим-карту у оператора мобильной связи.
Всякие правила безопасности индивидуальны. Вам может не подойти часть этих рекомендаций, зато для вас эффективно работает что-то другое. Поделитесь с нами в комментариях.
Что можно сделать, зная номер – мошенники и их игры
Отзывы пользователей
Что можно сделать, зная номер – мошенники и их игры
Ваш номер узнали мошенники? Чем это может грозить Вам в реальной жизни? Что на сегодняшний день можно сделать по номеру телефона? Как достать другие данные, зная только номер телефона? Тысяча вопросов. мы постараемся ответить и дать рекомендации.
Какой же реальный вред могут причинить мошенники человеку, зная его номер телефона – оказывается, очень и очень даже большой. А что можно узнать о человека, зная только его номер телефона – оказывается, очень и очень многое. Как? Все очень и очень просто и до безобразия элементарно. Не верите? Тогда поехали…
Вы сами раздаете номер бесплатно
Начиная со всевозможных развлекательных сайтов и заканчивая серьезными ПО, Вы добровольно регистрируетесь, оставляя свой номер телефона в их базе данных бесплатно. А вот как достать, зная номер телефона, все остальные Ваши данные – об этом и пойдет речь ниже.
Задумайтесь! По статистике, 90% людей добровольно предоставляют номер телефона, к которому привязана вся их конфиденциальная информация (банковские карты, аккаунты социальных сетей и мессенджеры)!
1. Сторонние программы. Вот яркий пример. В уже далеком 2018 году, был просто бешеный бум на программу GetContact. Она позиционировала себя как «Развлекательный софт». За небольшие деньги Вы ей предоставляли свой номер телефона, а она Вам выдавала, под каким именем Вы записаны в других телефонных книгах (родных, друзей, коллег).
Ой, как здорово, да? Нет, не здорово! Таким образом, за 1 месяц существования программы, пользователи добровольно создали уникальную многомиллионную базу личных данных… кому и зачем это нужно было… будем верить, что для простой статистики…
2. Мессенджеры и социальные сети. Там при регистрации просят Ваш телефон или почту. И большинство людей, привязывают свои аккаунты именно к телефону. Про Фейсбук мы говорить ничего не будем. Итак все знают, как личные данные зареганных пользователей, спокойно переходят в третьи руки при первом же требовании. Хотя, тоже самое можно отнести и ко всем другим приличным сервисам для общения.
3. Бесплатный Wi-Fi. Если Вы до сих пор пользуетесь бесплатным вай-фаем в кафе, аэропорту или метро, то можете быть уверенны, что Ваш номер телефона находится в многочисленных базах данных. А вот что можно сделать, зная номер телефона, мы об этом будем говорить чуть позже.
4. Сайты знакомств, объявлений и другие сайты (лотерея, заказ товаров и еды, ремонт на дому, консультация у психолога, прикольные открытки, интересные видео, гороскопы и прочее, прочее, прочее). Тут мы уже сами оставляем свои номера телефонов для обратной связи. А потом удивляемся, откуда неизвестный человек смог узнать мой номер? Да всё оттуда же. Вы наверно и сами уже не помните, в каких еще сайтах Вы регались и где еще оставляли свои номера телефонов.
5. Номера, записанные на бумажках. Объявления, которые мы развешиваем на уличных столбах, прикалываем на лобовое стекло машины, оставляем на рабочем столе и так далее и тому подобное — везде Вы оставляете свой номер телефона.
Знаешь мой номер телефона? Ну и что дальше?
Итак, мы подошли к главному – что может сделать мошенник, зная только номер телефона? Давайте разбираться вместе.
1. Не очень то и безобидные розыгрыши
Что можно сделать, зная номер – мошенники могут Вам позвонить ночью и задавать глупые вопросы, просто доводя Вас до бешенство. Или дать объявление о продаже, например, машины за смешную цену – Вам придется ближайшую неделю отвечать на звонки покупателей. Смогут разместить фотку и Ваш номер телефона на сайт знакомств с пошлым текстом. Да мало ли что смогут придумать хулиганы, которым в руки попадется Ваш номер телефона. Зачем они это делают? Мы не знаем, ведь они даже не знают вас, наверно, «тупо поржать».
Однако для Вас это может обернуться довольно плохо. Если объявлений действительно много, то это не только Ваши испорченные нервы, но и возможная смена номера…
2. Надоедливые спам-рассылки
Если знаешь номер телефона, то сделать можно еще вот что – закинуть его в спам-базы. Представляете, Вам начнут звонить со своими уникальными предложениями самые различные организации. Звонки будут идти нескончаемым потоком утром, днем, вечером и даже ночью, ведь организации могут находиться в разных часовых поясах.
Совет: спасением сможет стать программа, которая распознает номер телефона и может узнавать спам-звонки. Опять же здесь вступает в игру база телефонных номеров. Какое лучше установить приложение, можно выбрать из этого обзора « 10 лучших программ распознавания телефонных номеров ».
3. Мама, положи срочно деньги на этот счет
Классический способ мошенничества или что можно сделать с чужим номером телефона – конечно же, развести на деньги. Этот старый способ (ему больше 10 лет) до сих пор не утратил своей актуальности. Я, человек, достаточно продвинутый в этих всех технологиях и делах, и то недавно чуть не попался. Сын пошел с друзьями гулять в парк. Тут мне приходит СМСка с чужого номера с текстом «Закончились деньги, положи 300 рублей на счет (далее цифры) пожалуйста, вечером объясню». Первая мысль – конечно, сейчас закину, наверное закончились деньги на телефоне и поэтому сын не смог позвонить. Вторая мысль – смски могут приходить и на нулевом балансе, и входящий он примет звонок, нужно позвонить. Звоню, все норм, никакие смски он не отсылал. Вот так-то…
Совет: не кидайте денег на счет, пока не убедитесь, что это правда.
4. СМС с официального номера
Мошенник, зная номер телефона, сможет снять деньги с Вашей карты, если она к этому номеру привязана. Например, в России, многие мошенники пишут смс с официального номера Сбербанка 900. И получатель «на глазок» никогда не узнает, где настоящая смс, а где мошенническая. Только по тексту можно это понять. Например, такая фраза «Уважаемый клиент, Ваша карта заблокирована, просим ввести номер карты и код для ее разблокировки».
Совет: просто запомнить, что банки никогда не будут спрашивать у Вас номер карты или кодовые числа.
5. Через номер к кошельку
Еще мошенники знают, как достать Ваши деньги с электронного кошелька, зная номер телефона. Суть метода заключается с том, что мошенник блокирует ваш номер и перевыпускает сим-карту. Они «угоняют» Ваш номер и тем самым, получают доступ ко всем картам и электронным кошелькам. Самым громким делом, было мошенничество в городе Тюмень. Один хитроумный человек узнал, что некая организация (у которой был солидный оборот денег) подключена к удаленному обслуживанию. Он втерся в доверие и убедил коллцентр, что этот номер его и перевел в несколько этапов 1,5 миллион рублей.
Совет: моментально связывайтесь с оператором своей сотовой связи и делайте запрос на блокировку той сим-карты. И лучше для карт и кошельков, завести новую отдельную, и уже никому ее не афишировать.
Как достать другую информацию, зная номер телефона
Ка Вы поняли, найти номер человека, не составит никакой трудности. Везде и вокруг есть базы с личными номерами. И даже если не знаешь о человеке ничего, кроме его номера – можно «нарыть» очень многое (начиная от инициалов и заканчивая мест отдыха и распорядка дня дома и на работе).
1. Внести номер телефона в свою книгу контактов. Сразу высветятся все привязанные мессенджеры. По ним и аватаркам, можно в поиске найти социальные сети. А уже оттуда, по фоткам, публикациям и записям, узнать буквально все о человеке.
2. Если человек не пользуется мессенджерами, то пробить можно номер телефона по сайтам знакомств или доске объявлений. Если человек хоть раз оставлял там свои контакты, то они выйдут. А уже оттуда найти информацию, по которой можно вычислить, где живет и чем интересуется этот человек. Если есть фотка, то по нет отыскать социальные сети.
3. Если есть Сбербанк Онлайн, то можно сделать попытку перевести деньги по этому номеру. И если повезет, то Вы узнаете его имя и отчество. А это уже довольно много. Можно уже звонить и официально предоставляться.
Как видите, мошенники могут использовать совершенно различные способы, чтобы узнать о Вас очень и очень многое. А ведь изначально они знали только Ваш номер телефона.
Приложение для слежения
Как известно, на сегодняшний день существует достаточно много всевозможных приложений для слежения за телефонами родных и близких людей. Это, конечно, совершенно другая стезя. С помощью приложений невозможно что-то сделать, если знаешь только номер телефона. Нужен доступ к этому аппарату, хотя бы на несколько минут. Но зато, после установки Вы сможете:
Программа сама начнет собирать данные и отправлять Вам. А вы уже в любое время, с любого удобного для вас устройства (ПК, ноута, смартфона, планшета) сможете заходить и просматривать полученные данные.
Заключение
Теперь вы знаете, что можно сделать, зная номер телефона человека – узнать из интернета Ваши Ф.И.О, семейное положение, статус, место работы, режим работы и многое другое. А если не захочет все это делать, тогда будет достаточно только Вашего номера, чтобы осложнить Вам жизнь. Как? Вы уже это тоже знаете. Совет: заведите 2 сим-карты. К одной сим-карте привязывайте свои банковские карты и соцсети, а номер другой симки раздавайте всем остальным. Тогда Вы хоть как-то будете защищены от возможных нападок.
Ну а если Вы сами захотите проследить за телефоном близкого Вам человека, то просто установите на него Reptilicus. Здесь, конечно же, номер телефона не понадобиться, в этом случае нужно брать в руки сам телефон.
Остались вопросы? Пишите нашим онлайн-консультантам!
Журнал | «Пожалуйста, укажите свой номер…»: почему этого лучше не делать
Материал обновлен в сентябре 2021 года. Регистрируетесь на сайте или в мобильном приложении? Возможно, вам предложат указать номер телефона. И даже станут пугать взломщиками и забытыми паролями. Консультант по цифровой безопасности Сергей Смирнов помогает разобраться, в чем тут риски, кто и зачем хочет получить наши телефонные номера и что можно с этим сделать.
Зачем им мой телефон?
Одна из причин – идентификация пользователя. При активации сим-карты в России и некоторых других странах мира (например, в Германии, Польше, Испании) покупатель должен показать продавцу удостоверение личности. Впоследствии владельцы сервисов могут требовать для идентификации телефонный номер. Пример – wi-fi в российских гостиницах и аэропортах. Вы не можете «просто» подключиться к Интернету. Придется указать номер своего мобильного телефона, получить на него специальный проверочный код и ввести его на странице сервиса.
Российские законодатели верят в идентификацию с помощью номеров мобильных телефонов. По их замыслу, даже пользователи мессенджеров обязаны подтверждать свою личность таким образом. Отрицание права на анонимность типично для общества XXI века, перегруженного фобиями в борьбе с терроризмом и преступностью.
Сбор всевозможной информации о вас в сети, привязка к личности, составление вашего профиля (например, для маркетинговых целей или для нужд правоохранительных органов) создают угрозу приватности и безопасности.
В авторитарных странах отсутствие анонимности означает проблемы с доступом к информации. Под ударом оказывается свобода слова: блогер не может писать о нарушениях прав человека под своим настоящим именем, не опасаясь репрессий.
Вторая распространенная цель, ради которой у вас запрашивают телефонный номер, – восстановление доступа к аккаунту при забытом пароле. Нажмите кнопку, по SMS придет гиперссылка, и вы вернете контроль над аккаунтом. Звучит хорошо, но есть слабое место: зависимость от оператора мобильной связи. Тот способен перевыпустить сим-карту, и злоумышленник «восстановит» пароль к вашему аккаунту.
Владельцы сервисов нередко предлагают указать телефон «для защиты вашей учетной записи». С точки зрения «безопасника» эта функция, наоборот, создает уязвимость.
Третья цель – предоставление услуг. Владелец онлайнового магазина просит ваш номер телефона, чтобы присылать полезную информацию. Авиакомпания сообщает о задержке рейса или изменении выхода на посадку. Метеослужба передает прогноз погоды. Медицинский центр напоминает о визите к врачу. Социальная сеть отправляет тревожный сигнал, если неизвестное лицо пытается войти в ваш аккаунт. Банки используют SMS, чтобы подтверждать онлайновые платежи и доставлять клиентам информацию об изменении их счетов (PUSH-уведомления) для этого тоже применяются).
Кажется, от всего перечисленного клиенту одна польза. Но данные собираются также в маркетинговых целях, а то и просто для рассылки спама и назойливых звонков с предложением всего на свете. Номера телефонов запрашивают всюду: на кассе в магазине («для оформления скидочной карты»), при заселении в гостиницу, для получения визы, чтобы записаться на шиномонтаж. На вопрос «зачем?» могут ответить «таков порядок» или «на всякий случай».
Люди устали, привыкли, хотят побыстрее завершить процедуру регистрации, дают телефон, не размышляя, как он будет использоваться. Тем более не читают длинное, составленное сухим языком пользовательское соглашение. Где-то в тексте соглашения может затеряться информация о том, что, собственно, владелец сервиса намерен делать с вашим телефонным номером и на каких условиях, а также как потом удалить телефонный номер из системы. Персональные данные, включая телефонные номера, то и дело «утекают».
В апреле 2019 года компания DeviceLock сообщила о том, что обнаружила в российском сегменте Интернета более тысячи открытых баз данных. В ноябре 2018 года «Коммерсант» написал о многочисленных личных файлах, обнаруженных журналистами на общедоступных компьютерах в московских МФЦ. Посетители второпях, по небрежности оставляли свои электронные документы где попало.
А еще телефонный номер запрашивает мессенджер, которому нужны контакты вашего смартфона. По-другому этот мессенджер не работает.
А еще номером интересуются мошенники и социальные инженеры. Сим-картой из потерянного/украденного телефона могут воспользоваться для доступа к финансам и даже для снятия денег с банковского счета. Одного телефонного номера для этого мало, поэтому злоумышленники используют дополнительную собранную ими информацию.
Наконец, для перехвата SMS-сообщений можно использовать уязвимость протокола SS7 (в России также используется название ОКС-7), который создавался в 70-х годах прошлого столетия без «прицела на безопасность».
Может, лучше вообще не указывать номер телефона?
Давайте рассмотрим некоторые примеры.
Электронная почта
Mail.ru и Яндекс запрашивают номер телефона прямо на странице регистрации. Можно выбрать ссылку «У меня нет мобильного телефона» (было бы честнее написать «Я не хочу указывать мобильный телефон»). Эта ссылка меняет запрос телефонного номера на запрос адреса email (Mail.ru, указывать email не обязательно) или выбор ответа на контрольный вопрос (Яндекс).
Итак, можно избежать указания номера мобильного телефона при регистрации нового адреса, но этот путь нельзя назвать очевидным. Если вы указывали номер раньше, нетрудно удалить его в настройках сервиса (ввести код, который сервис отправит на ваш телефон по SMS). Чтобы включить двухфакторную аутентификацию в Mail.ru и Яндексе, номер мобильного телефона нужен. И пока двухфакторная аутентификация включена, удалить этот номер из настроек аккаунта нельзя (даже если для генерации кодов вы пользуетесь мобильным приложением, а не SMS).
Номер мобильного телефона потребуется и для регистрации аккаунта Google (и почты Gmail). Потом его можно удалить в настройках сервиса. Для подключения и работы двухфакторной аутентификации номер указывать не обязательно. Тем не менее Google не перестает предлагать ввести номер телефона «для вашей безопасности».
Швейцарский сервис Proton Mail и немецкая Tutanota, которые уделяют особое внимание приватности и конфиденциальности пользователей, не просят телефонный номер ни для регистрации, ни для двухфакторной аутентификации.
Социальные сети
«ВКонтакте» позволяет зарегистрироваться только с номером телефона. Удалить его в настройках нельзя, можно лишь заменить на другой номер. В число способов двухфакторной аутентификации входит SMS, и отключить этот вариант не получится.
Facebook также требует номер при регистрации, но позволяет впоследствии удалить его в настройках. Двухфакторная аутентификация может быть включена и использоваться без мобильного номера.
Twitter позволяет выбирать, с чем вам удобно регистрироваться – номером телефона или адресом email. К сожалению, используя разные адреса email и разные IP-адреса, мне ни разу не удалось зарегистрировать новый аккаунт только по адресу email. Twitter неизменно сообщал о «подозрительной активности», блокировал процесс регистрации и требовал подтвердить телефонный номер. Пройдя регистрацию, номер из настроек убрать можно, но лишь теоретически: выполнив эту операцию, Twitter немедленно блокировал аккаунт и требовал снова указать телефонный номер. Двухфакторную аутентификацию Twitter согласился включить лишь через SMS.
Instagram регистрирует без телефонного номера (нужен адрес email). Двухфакторную аутентификацию тоже можно включить и использовать без SMS.
Мессенджеры
В некоторых популярных мессенджерах привязка к телефону – неотъемлемая часть. В эту компанию попадают WhatsApp, Telegram, Viber и даже Signal, который эксперты по безопасности часто рекомендуют как более защищенный по сравнению с конкурентами.
Пользователи Facebook могут общаться с помощью Facebook Messenger, и хотя при регистрации аккаунта Facebook нужен номер телефона, его впоследствии можно удалить и пользоваться Facebook Messenger без этой привязки.
Для работы со Skype нужна учетная запись Microsoft, но там указывать номер телефона не обязательно.
Из менее известных продуктов, не требующих привязки к номеру мобильного телефона, можно назвать мессенджеры Wire и Briar. Последний к тому же децентрализованный (не зависит от единого сервера) и, подобно своему известному «коллеге» Firechat, поддерживает возможность связи между пользователями без Интернета (с помощью технологий wi-fi и Bluetooth), хоть и на малых расстояниях. Пока у Briar, однако, сравнительно небольшая аудитория и нет версии для iOS.
Что можно сделать для безопасности?
Можно прибегнуть и к другим, более редким рецептам, например, использовать сим-карту зарубежного оператора (в некоторых странах по-прежнему можно купить сим-карту без предъявления документа). Правда, придется поддерживать этот номер в рабочем состоянии – следить за балансом и вовремя пополнять счет.
Если вам приходится указывать номер мобильного телефона, отдавайте себе отчет в том, какие риски связаны с этим фактом. Возможно, лучше не передавать с помощью этого сервиса избыточную информацию. Если же вам не повезло и вы потеряли смартфон (или его украли, или изъяли), есть смысл, не откладывая, заблокировать сим-карту у оператора мобильной связи.
О базовых правилах, которые помогут вам обезопасить смартфон — в нашем материале. А 30 шагов по приведению компьютера в порядок — здесь.
Всякие правила безопасности индивидуальны. Вам может не подойти часть этих рекомендаций, зато для вас эффективно работает что-то другое. Поделитесь с нами в комментариях.