Спрощена процедура перенесення абонентського номера: поліпшення для користувачів або шанс для шахраїв?

Послуга перенесення абонентського номера (mobile number portability, скорочено MNP) доступна в Україні з травня 2019 року. 2 роки тому українці отримали можливість змінювати провайдера мобільного зв'язку без втрати номера телефону, включаючи код оператора. Останнім часом цією послугою скористалися 157 тисяч абонентів.Це порівняно скромна цифра, адже в країні налічується близько 54 млн активних SIM-карток. Багато українців мають 2, а іноді і 3 номери від різних операторів.Це одне з пояснень того, чому послуга MNP не користується особливим попитом.

До того ж зараз змінити оператора можуть тільки ті абоненти, номер телефону яких зареєстрований, тобто, якийприв'язаний до паспорта абонента. Така процедура відповідає світовим практикам, де послуга MNP надається тільки попередньо ідентифікованим користувачам.

Але правила гри змінюються, так як 23 березня поточного року Нацкомісія, що здійснює держрегулювання в сфері зв'язку та інформатизації (НКРЗІ), затвердила зміни для процедури перенесення абонентського номера між мобільними операторами, які набудуть чинності вже наприкінці цього року.

Що зміниться з 1-го грудня

Серед основних нововведень варто виділити принцип єдиного вікна «One Stop Shop process», згідно з яким вирішенням усіх питань, пов'язаних з послугою MNP, займається оператор-одержувач. Водночас базовий оператор, який обслуговує абонентський номер, виключається з процесу. Подати заявку на перенесення номера зможуть навіть знеособлені абонементи, які не підписували контракт з оператором-донором. Таких в Україні більшість — з 53,9 млн SIM-карток 46,1 млн належать до знеособлених і лише 7,8 млн зареєстровані.

На думку НКРЗІ, зміни повинні зменшити бюрократію, підвищити конкуренцію і поліпшити якість послуг, що надаються на ринку мобільного зв'язку. Заразомбагато експертів, серед яких представники кіберполіції, СБУ, РНБОУ, банківських асоціацій і мобільних операторів, побоюються, що нововведення можуть спровокувати сплеск шахрайства.

Які загрози і ризики пов'язані зі спрощенням процедури зміни оператора

Виглядає так, що прагнення прискорити і спростити процес перенесення номера відсунуло на другий план питання безпеки. Нові правила можуть призвести до того, що контроль за процедурою перенесення номера буде набагато слабшим, ніж у разі відновлення або заміни SIM-картки. А це — пряма дорога для зловживань, адже встановити законність використання номера без чіткої ідентифікації абонента, який подає заявку на послугу MNP, неможливо.

За даними компанії «Київстар», несанкціонована заміна SIM-картки лежить в основі 25% всіх шахрайських схем, в яких застосовують соціальну інженерію — психологічні маніпуляції для виманювання інформації у довірливих громадян. Дані Української міжбанківської асоціації членів платіжних систем (ЕМА) підтверджують: в Україні кіберзлочини з викраденням SIM-картки входять до топ-3 «найпопулярніших» у зловмисників.

«Незаконне привласнення телефонного номера відкриває можливості шахраям отримати доступ до персональних даних, електронного листування, фінансових рахунків абонента, прив'язаних до номера», — прокоментувала керівник відділу з регуляторних питань «Київстар» Світлана Алексєєнко.

Читайте також: Соціальна інженерія та інтернет: шахраї збагатилися на 271 мільйон

Перенесення номерів без реєстрації — «золота жила» для фінансових шахраїв

Зловмисники зазвичай використовують вкрадену «сімку» для наступних цілей:

1. Отримання доступу до карткових рахунків. За даними ЕМА, за 2020 рік фінансові втрати клієнтів у результаті несанкціонованого перевипуску SIM-картки, прив'язаної до банківського рахунку, становили в середньому 12 500 грн. за кожен випадок.
2. Оформлення онлайн кредитів на реального власника абонентського номера. За даними п'яти небанківських фінустанов з часткою ринку 45%, у першому півріччі 2020 було зафіксовано понад 2 000 випадків шахрайства з кредитами, взятими на перевипущену SIM-картку.
3. Зняття коштів з поточного рахунку абонента: активний розвиток фінансових сервісів, які дозволяють оплачувати комуналку, робити перекази і покупки безпосередньо з мобільного рахунку, мотивує багатьох українців тримати на рахунку достатньо великі суми грошей.
4. Крадіжка персональної інформації, такої як номер телефону, часто служить «ключем» до різних акаунтів абонента в соцмережах.

Повідомлення про крадіжку грошей з банківських рахунків за допомогою несанкціонованої заміни SIM-картки регулярно з'являються у новинах. Жертвами подібних злочинів стають клієнти найрізноманітніших банків і абоненти всіх без вийнятку мобільних операторів, які використовують передплачені номери.

Так, тільки протягом 2020 року в Департамент кіберполіції Національної поліції України надійшло 49,5 тисяч звернень громадян про кіберзлочини, серед яких понад 27 тисяч стосувалися on-line шахрайства. За прогнозом міжнародного аналітичного агентства Cybersecurity VENTURES, на кінець 2021 року в світі збитки від кібершахрайства складуть $6 трлн. і ця сума збільшуватиметься на 15% щорічно.

Зазвичай зловмисники працюють за такою схемою: телефонують наміченій жертві з декількох номерів і навіть можуть поповнити рахунок. Після чого звертаються до мобільного оператора з проханням замінити начебто як вкрадену або втрачену сімку. Якщо у клієнта не підписаний контракт з оператором, для ідентифікації достатньо перерахувати кілька останніх номерів вхідних та вихідних дзвінків. Шахраї називають ті номери телефонів, з яких вони самі і телефонували, а для підтвердження можуть вказати суму останнього поповнення. Оператор приймає заявку і SIM-картка перевипускається без відома реального власника номера, а зловмисники отримують доступ до банківських кодів і одноразових паролів, які банк з метою безпеки відправляє на фінансовий номер телефону.

Схеми заволодіння чужими SIM-картами дозволили шахраям у 2020 році вкрасти з банківських карткових рахунків українців сумарно понад 271 млн грн. Можливість змінити оператора за спрощеною процедурою загрожує тим, що кількість таких злочинів, як і розмір збитку, різко зросте. Справжньому власнику телефонного номера буде практично нереально довести оператору, що процедура проходила без його відома, як і повернути собі номер — для цього знадобиться звертатися до правоохоронних органів. І доки триватиме процес прийому і розгляду заяви, абонент, як мінімум, не зможе використовувати свій номер, а як максимум — залишиться без грошей на рахунку або з оформленим на своє ім'я кредитом.

Юридичні нюанси

Крім усього перерахованого, нововведення також не враховують юридичну позицію Окружного адміністративного суду м. Києва про те, що переносити абонентський номер можуть ті абоненти, які зареєстровані у оператора-донора. Це необхідний захід обережності, так як діючий оператор повинен мати можливість відстежити історію активності свого абонента.

Є питання і з інших моментів, які не відповідають законодавству України. Наприклад, щодо легітимності реєстрації абонента перед отриманням послуги MNP, можливості повернення невикористаної частини коштів або дискримінації абонентів, які використовують М2М-зв'язок (Machine-to-Machine, тобто міжмашинної взаємодії, що застосовується в автомобілях, сигналізаціях, трекерах, лічильниках, банкоматах тощо).

Зарубіжний досвід

На даний момент у світі немає жодної країни, яка б ввела принцип «єдиного вікна» за такою процедурою для знеособлених абонентів. Безпека абонентів досягається за рахунок того, що всі користувачі мобільного зв'язку ідентифіковані і зареєстровані, як, наприклад, у Норвегії, Данії, Італії, Ізраїлі, Іспанії та Туреччині. В Україні ж понад 90% абонентів не зареєстровані, тобто не мають прив'язки телефонного номера до паспорта.

Деякі країни, серед яких США, Канада, Індія, Австралія і Нова Зеландія, вже зіткнулися зі зростанням випадків шахрайства з використанням послуги перенесення номера (УПН). Щоб підвищити рівень захисту даних, Австралія ввела обов'язкову реєстрацію номера, а з квітня поточного року ще й контрольний дзвінок або смс для підтвердження заявки на УПН.

Вихід із ситуації в українських реаліях: що пропонує «Київстар»

Вирішити проблему можна і без зайвих. Можна взяти приклад Португалії. Україна може ввести додатковий рівень захисту при перенесенні незареєстрованого абонентського номера, а саме — код підтвердження перенесення (КПП). КПП — унікальний багатозначний код, який генерується базовим оператором для незареєстрованих абонентів і діє протягом 24 годин.

Як відбуватиметься процедура перенесення номера в цьому разі:

1. Абонент запитує КПП в мобільному додатку через службу підтримки або центр обслуговування свого базового оператора. Щоб отримати код, клієнт повинен надати додаткову інформацію для перевірки — PUK або ICC код, перелік останніх дзвінків тощо.
2. Абонент вказує згенерований КПП у заявці на перенесення номера, а оператор-одержувач звіряє цю інформацію з оператором-донором.

Така багатоступенева процедура здатна захистити незареєстрованих абонентів від крадіжки SIM-картки.

«Ризики, які тягне за собою впровадження принципу „єдиного вікна“ у запропонованому вигляді, невиправдані і неспівставні з потенційною вигодою від такого нововведення. До того ж послуга MNP користується попитом у невеликої частини населення. Наврядбудь-які зміни здатні переломити цей тренд», — вважають у компанії «Київстар».

Можливість змінювати оператора без зміни номера — корисна опція, в якій зацікавлені і оператори мобільного зв'язку, і кінцеві користувачі. Але спрощення даної процедури не повинно створювати додаткових ризиків втрати номера, крадіжки персональних даних і грошей. Також ця процедура не повинна обмежувати права певних груп споживачів.