Украли iPhone, а через него обналичили 800 тысяч рублей. Разбираем громкую историю

Кража iPhone и кредиты на 800 тысяч

Девушка-косметолог в видеоинтервью одному из блогеров рассказала о том, как в поездке в Санкт-Петербург на многолюдной площади у нее украли iPhone. Однако проблемы на этом только начались – и исчезнувший смартфон стал далеко не самой большой потерей в тот день.

Все происходило 8 января 2022 года. Гуляя по площади, девушка со своим молодым человеком в один момент поняла, что лишилась своего айфона. Помня, что к номеру телефона (и, соответственно, сим-карте) в современной жизни привязаны почти все возможные аккаунты, девушка тут же нашла салон связи МТС. Несмотря на позднее время, ей удалось подать заявление и тут же заблокировать сим-карту. На часах было 21:34 – в будущем это время будет важным для всей истории.

Важно, что Татьяна смогла заблокировать сим-карту спустя всего примерно 15 минут после кражи смартфона. В обычной ситуации это очень хороший результат – при такой скорости реакции блокировка помогает избежать потерь. Но не в этот раз.

Дальше события развивались так:

1. выйдя из салона МТС, Татьяна позвонила в Apple, где ей помогли пошагово заблокировать потерянный смартфон. На сам телефон отправили смс о том, что телефон был потерян;
2. дальше была вызвана полиция, но после часа ожидания герои истории сами отправились в отделение, где написали заявление о краже смартфона. Кстати, все это время по геолокации местонахождение телефона отслеживалось – при том, что полиция получала массу сообщений о таких же кражах на том же месте;
3. весь следующий день Татьяна провела без телефона, и только 10 января, уже в Москве восстановила сим-карту в салоне МТС;
4. тут же на телефон (запасной) начали приходить сообщения от банков – в том числе о том, что клиенту отказано в кредите.

Но при более детальной проверке выяснилось, что теперь у девушки долгов на 800 тысяч рублей, и все эти операции были проведены уже после блокировки сим-карты. Как позже оказалось, злоумышленники смогли просто через приложение МТС разблокировать сим-карту – когда ее владелица думала, что все ее данные в безопасности, и была не на связи.

Мошенники поснимали деньги с карт трех банков: в Тинькофф банке был оформлен кредит на 400 тысяч рублей и 160 тысяч снято с кредитной карты, в Альфа-Банке было снято с кредитной карты 158 тысяч рублей, и около 40 тысяч рублей – все это вывели через Тинькофф Банк.

Первые деньги были сняты около 01:40 уже 9 января – после блокировки сим-карты, причем сняты они были с помощью самого iPhone (через бесконтактный модуль). Деньги снимали люди в масках и капюшонах через банкоматы на окраинах Санкт-Петербурга – определить, кто это был, пока не удалось. Всего в 2 местах было снято примерно по 400 тысяч рублей.

Многочисленные обращения Татьяны в банки, полицию, прокуратуру, к сотовому оператору и в другие ведомства пока не дали результата – официально банк полагает, что операции санкционировал сам клиент, поэтому отменить операции нельзя. Что интересно, спустя какое-то время Альфа-Банк сообщил, что клиентке одобрен кредит еще на 4,2 миллиона рублей – и это уже при заблокированных картах.

Кстати, был только один банк, который заблокировал все операции как подозрительные – это Сбербанк.

Как это вообще было возможно?

В видео не было подробных технических деталей того, как именно злоумышленники смогли провести все эти операции – но в целом становится понятно, что такое весьма вероятно.

Шаг за шагом действия злоумышленников, скорее всего, выглядели так:

• после того, как телефон был украден, воры получили доступ к личному кабинету МТС. Как это было сделано, сказать сложно – скорее всего, они вставили сим-карту в другой телефон и там зашли в личный кабинет МТС через приложение;
• когда владелица телефона заблокировала сим-карту в салоне МТС, воры просто разблокировали ее – это подтвердили на горячей линии МТС;
• дальше, когда собственница телефона решила, что все возможные лазейки закрыты, воры через приложения банков начали оформлять кредиты и выводить их через Тинькофф банк. Либо они увидели банковские приложения в телефоне, либо – привязанные к телефону банки в СБП;
• все деньги переводились на Тинькофф банк, с которого затем обналичивались. Скорее всего, использовалась технология бесконтактных платежей (об этом говорится в ролике), но также у Тинькофф банка есть возможность снять наличные без карты через QR-код (и с этой технологией уже были связаны случаи мошенничества).

То есть, вопросов к этому всему есть два: как воры получили доступ к личному кабинету МТС для разблокировки сим-карты, а также как они смогли разблокировать смартфон без пин-кода, пальца или лица хозяйки.

В первом случае все не так сложно – если на сим-карте не установлен пин-код, пользоваться ею может любой, кто вставит ее в свой телефон. Возможно, это было сделано прямо на украденном айфоне, возможно – на другом смартфоне.

Как рассказал нам Сергей Фарберов из банка «Развитие-Столица», для операций по списанию сим-карта могла быть и не нужна – ведь многие банки используют push-уведомления внутри своих же приложений для подтверждения платежей. То есть, для подтверждения платежа было достаточно самого смартфона – тем не менее, сим-карту мошенники тоже смогли разблокировать.

Вероятно, это было сделано, чтобы получить доступ к банковским приложениям без пин-кода и отпечатка пальца – через восстановление пароля, что обычно предполагает подтверждение по смс (так как смс – простая электронная подпись, и имеет силу обычной подписи согласно закону).

Второй вопрос – гораздо сложнее. Так, если воры оформляли кредиты и обналичивали украденное в банкомате через тот же смартфон, у него должен был быть разблокирован экран. В зависимости от того, какие способы разблокировки подключил владелец устройства, сделать это можно либо только пин-кодом, либо также отпечатком пальца и лицом. Без блокировки на смартфоне не могли бы работать банковские приложения, поэтому украденный телефон нужно было разблокировать.

Вариантов несколько: телефон был украден в разблокированном виде (что очень маловероятно), пароль был слишком простым (или, например, его можно было считать по потертостям на экране), и т.д. В видеоролике говорится, что найти инструкции по взлому айфона в интернете было легко – и именно так он был разблокирован. Еще один вариант – вор заранее проследил за жертвой и увидел, какой пин-код девушка вводит на экране.

Таким образом, это сочетание сразу нескольких факторов: сим-карта была заблокирована, а не перевыпущена (тогда старую разблокировать нельзя), в телефоне были банковские приложения, и злоумышленник смог разблокировать экран. Как результат – потерянные 800 тысяч рублей.

Не только кража смартфона: как еще можно украсть деньги

За последние месяцы в интернете появилась масса историй о том, как мошенники обманом заставляют людей оформлять кредиты, а потом отдавать им все до копейки. Однако это лишь приемы социальной инженерии – технически в таком мошенничестве нет ничего сложного. Тем не менее, вариантов оформить кредит на другого человека есть много, и ради этого необязательно воровать телефон.

Впрочем, риск потерять смартфон не ограничивается банковскими приложениями. Еще в середине прошлого года СМИ писали об истории жителя Санкт-Петербурга, который потерял смартфон, и спустя целых полтора года из-за этого оказался должен банкам миллион рублей. Все дело в приложении «Госуслуги» – несмотря на то, что оно было защищено паролем из 14 символов, воры смогли получить доступ к личному кабинету. Уязвимость системы оказалась в так называемом «вечном» токене, когда приложение привязывается к смартфону и позволяет зайти в приложение без пароля.

Дальше все было так:

• зайдя через полтора года на «Госуслуг» с помощью сохранившегося в устройстве токена, мошенники поменяли контактные данные (номер телефона);
• дальше, используя данные с «Госуслуг», они позвонили на горячую линию «Мегафона» и привязали к договору абонента новый номер телефона;
• дальше они начали оформлять кредиты – в Сбербанке, Промсвязьбанке, МФО. Для вывода денег использовалась дебетовая карта Газпромбанка – за ней в банк пришел человек с паспортом, выданным на имя жертвы, но вклеенным своим фото. Чуть позже был оформлен кредит и в Совкомбанке;
• чтобы подавать заявки и подписывать договоры на кредиты, злоумышленники оформили на жертву электронную цифровую подпись – используя данные с «Госуслуг» и обратившись в некий удостоверяющий центр.

Схема оказалась настолько прочной, что мошенники выводили деньги, пока владелец счетов пытался с помощью операторов горячей линии банка этому препятствовать. В результате он лишился примерно миллиона рублей. Несмотря на обращения в полицию, только 2 МФО признали выданные микрозаймы недействительными – а с банками проблему придется решать в судах и очень долго.

Вообще же схема с выдачей электронной подписи на фиктивное лицо была достаточно популярной – мошенник мог выпустить сертификат, обратившись в удостоверяющий центр с копиями документов жертвы. Но это было больше актуально для ИП – и сейчас для них электронную подпись выдает только ФНС (еще и бесплатно).

Сейчас многие банки принимают заявки на кредиты с авторизацией через «Госуслуги» – поэтому доступ к личному кабинету дает пользователю очень широкие возможности, которыми могут воспользоваться и злоумышленники.

Еще один потенциальный риск – перевыпуск сим-карты. Это делается не очень сложно – достаточно обратиться в салон связи, назвать некоторые данные и показать документ (который может быть и поддельным). Спустя сутки новый владелец сим-карты получает практически неограниченный доступ к банковским картам жертвы.

Впрочем, на такие технически сложные варианты приходится относительно небольшая доля мошенничества. Основную массу составляют случаи кражи денег с использованием методов социальной инженерии – когда жертва самостоятельно оформляет кредит и переводит его мошенникам. Однако это не означает, что с техническими уязвимостями бороться не нужно.

Как защититься от рисков?

Разобрав действия девушки, потерявшей смартфон, можно попытаться понять, как избежать таких проблем для себя. В комментариях под видео дают разные советы, которые могли бы помочь спасти свои деньги:

• установить пин-код на сим-карту, причем не тот, который шел с завода (обычно 0000 или 1111). Это не даст стопроцентной защиты, но позволит выгадать какое-то время для блокировки всех своих счетов;
• при утере телефона тут же звонить в банки и блокировать свои карты. Разблокировать их обычно можно лично в офисе или при перевыпуске;
• максимально быстро подать заявление на перевыпуск сим-карты. Важно не блокировать потерянную симку, а именно перевыпустить ее – тогда мошенник не сможет ее разблокировать, а новая сим-карта заработает только через сутки (что снова дает возможность выгадать время);
• в полиции нужно заявлять не об утере, а о краже смартфона (впрочем, жертва в данном случае так и сделала) – для банков важно, чтобы было возбуждено уголовное дело.

Более сложный вопрос с поддержкой Apple – там девушку заверили, что при первом включении телефона все данные с него будут удалены автоматически через iCloud – однако либо этого не произошло, либо воры проводили все это с другого устройства.

Адвокат Данила Ткаченко говорит: если в суде выяснится, что кредиты были оформлены после того, как телефон был украден, закон будет на стороне жертвы. Однако для этого первоочередное значение имеет время, когда было подано заявление в полицию (факт кражи фиксируется именно в этот момент). Соответственно, эксперт советует начинать именно с этого шага – обратиться в полицию, потом удалить все с телефона, заблокировать сим-карту и уведомить банки.

Самое же главное, что следует из таких историй – нужно по максимуму использовать двухфакторную аутентификацию в важных приложениях. Например, «Госуслуги» вскоре сделают ее обязательной для всех пользователей (кстати, это сделает невозможной авторизацию по «вечному» токену), но банковские приложения и так используют подтверждение через push- или смс-уведомления

Эта история до сих пор остается не до конца разгаданной – следствие продолжается, банки тоже ведут свои проверки. Сложно понять, как воры смогли разблокировать смартфон или подобрать логины к банковским приложениям. Много вопросов вызывает разблокировка сим-карты (при том, что для входа в личный кабинет нужно было получить смс от оператора).

Суть в том, что современные технологии не только делают удобнее использование банковских и иных сервисов, но и подвергают клиентов дополнительным рискам. Причем от некоторых рисков избавиться практически невозможно – разве что совсем не пользоваться онлайн-банками.