Взлом из прошлого: как неиспользуемые номера телефонов становятся оружием хакеров

Что сообщили в МВД о проблеме неиспользуемых номеров?

Сообщение о том, что неиспользуемые мобильные номера могут стать угрозой для цифровой безопасности их владельцев, в начале декабря появилось в Telegram-канале Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России.

«Даже при положительном балансе оператор может отключить SIM-карту, если по ней в течение определенного времени (обычно от 90 до 180 дней) не совершается никакой активности: звонков, SMS, мобильного интернета», — говорится в сообщении УБК.

В Управлении отметили, что, когда такой номер оказывается у нового владельца, тот автоматически получает доступ к SMS-уведомлениям, кодам подтверждения и другим механизмам восстановления доступа, что создает риск компрометации аккаунтов прежнего хозяина SIM-карты, даже если новый пользователь не имеет злого умысла.

Сегодня почти все приложения, от банков до соцсетей и госуслуг, используют номер телефона, как основной или резервный фактор аутентификации, поэтому своевременная замена номера в сервисах критически важна, подчеркнули в УБК.

Как неиспользуемые номера находят новых владельцев?

Ситуация с появлением неиспользуемых номеров в свободной продаже зависит от ряда факторов, сообщили SecPost в пресс-службе «МегаФона». Cамый простой и понятный сценарий — расторжение договора по инициативе клиента (например, номер больше не нужен). В этом случае у абонента будет десять дней на то, чтобы пересмотреть свое решение.

«Если в течение этого срока человек не отзывает заявление на расторжение, номер «замораживается» минимум на три месяца и только потом может поступить в продажу. При этом фактический срок с момента расторжения договора по номеру до его попадания в продажу может занимать до полугода», — отметил представитель оператора.

Также расторжение может произойти по инициативе оператора, если клиент перестал пользоваться номером и оплачивать связь. Чтобы избежать потери номера, необходимо подключить на любой период услугу «Сохранение номера» от «МегаФона» (стоимость — 69 рублей в месяц). С подключением этой услуги останавливается списание абонентской платы по тарифу. Однако в случае, если деньги на счету закончатся, номер через 180 дней перестанет принадлежать прежнему владельцу и поступит в продажу.

В свою очередь компания Т2 для предотвращения киберинцидентов в 2025 году впервые на рынке внедрила «вечный номер». Как пояснили SecPost представитель компании, такой номер будет навсегда зарегистрирован на абонента и не перейдет к новому владельцу, даже если им долгое время не будут пользоваться. «Вечный номер» сейчас получают все новые абоненты оператора.

«Т2 оставляет номер в расположении клиента, даже если он не планирует пользоваться им длительное время. Такое решение позволит абоненту применять номер для идентификации в цифровых сервисах: социальных сетях, мессенджерах, банковских приложениях и маркетплейсах», — рассказал представитель оператора.

Благодаря услуге «вечный номер» клиенту не придется отвязывать номер от важных сервисов и переживать, что новый владелец или мошенник получит доступ к личным данным. Его номер не перейдет в свободную продажу, пока действующий абонент не откажется от него самостоятельно, добавили в Т2.

Какие киберриски возникают при перепродаже мобильных номеров?

Абоненты мобильных операторов практически никогда не отвязывают свои старые номера мобильных телефонов от используемых интернет-сервисов — в том числе соцсетей, игровых платформ, а также почтовых и финансовых сервисов, говорит в беседе с SecPost бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

«Это дает возможность новым владельцам, при желании и понимании сопутствующих рисков обвинения в нарушении УК РФ (как минимум, статьи 272 «Неправомерный доступ к компьютерной информации»), восстановить доступ к таким сервисам, так как именно на старый номер может быть отправлена ссылка на восстановление пароля к учетной записи», — рассказывает эксперт.

Если на старую SIM-карту были привязаны доступы к различным сервисам, то после ее перевыпуска эти доступы нельзя будет восстановить, особенно если речь идет о заграничных сервисах — в таких случаях аккаунты и данные могут быть окончательно потеряны, отмечает руководитель отдела аналитических систем и отчетности компании «Первый Бит» Петр Иванов.

Впрочем, проблемы могут возникнуть и у нового владельца номера: по словам Алексея Лукацкого, если ранее выданный кому-то номер попал в различные черные списки, то пользоваться им будет затруднительно, что создаст проблемы. Также существует риск, что на старом номере сохранились платные подписки и взимать за них деньги теперь будут с нового владельца.

«Если выкупленный номер будет с «плохой историей» — например, с долгами или невыплаченными кредитами — коллекторы и банки будут продолжать преследовать уже его нового владельца, требуя погашения чужих долгов, что создает серьезные репутационные и финансовые риски», — предупреждает Петр Иванов.

При этом сегодня невозможно «обелить» или удалить негативный след от старого номера — в стране отсутствует соответствующая процедура. Поэтому у нового владельца остается только одна альтернатива — повторно сменить номер. Ситуация с повторным использованием номера аналогична тому, если бы номер паспорта выдавался другому человеку: это создает неразрешимые правовые и этические проблемы, поэтому подобные случаи желательно исключать на законодательном уровне, подчеркивает Петр Иванов.

Как перепродажу мобильных номеров используют киберпреступники?

Злоумышленники могут покупать SIM-карты и самостоятельно проверять, не зарегистрирован ли тот или иной номер на часто используемых ресурсах, говорит в беседе с SecPost главный эксперт «Лаборатории Касперского» Сергей Голованов. Это очень опасный сценарий, так как номер телефона люди часто используют в качестве первого или второго фактора при авторизации.

«Атакующие могут пытаться получить доступ к аккаунтам прежнего владельца SIM-карты в разных сервисах, например в мессенджерах. Затем, скомпрометированные аккаунты злоумышленники могут использовать в своих схемах или собирать из них конфиденциальную информацию», — предупреждает специалист.

Один из методов поиска таких номеров, который используют мошенники — сканирование баз данных номеров, которые были отключены по истечении срока неактивности, отмечает ведущий эксперт по сетевым угрозам и web-разработчик компании «Код Безопасности» Константин Горбунов. Более сложные схемы включают подбор номеров, которые ранее принадлежали конкретным людям или компаниям, используя утечки персональных данных.

Мошенники отслеживают номера, которые долго «молчат», проверяют их активность через мессенджеры, соцсети и сервисы восстановления доступа, дополняет руководитель BI.ZONE AntiFraud Алексей Лужнов. Если номер оказывается привязан к финансовым платформам и другим ценным ресурсам, он представляет больший интерес для злоумышленников. В некоторых случаях мошенники намеренно покупают «свежеперевыпущенные» SIM-карты и тестируют их именно с этой целью — понять, к каким аккаунтам и сервисам можно получить доступ. 

«SIM-карта также может быть использована злоумышленниками для обмана: если номер уже есть в контактах у большого количества людей, мошенник может получить деньги или личную информацию под видом прежнего владельца. Например, если человек умер, а его номер перешел новому владельцу, то мошенник может собирать деньги на якобы необходимую операцию или поддерживать общение с родственниками и друзьями», — предупреждает Петр Иванов.

Как безопасно избавиться от ненужного номера?

Пользователям важно внимательно относиться к своему номеру телефона. Лучше не менять его, а если это все же нужно сделать по каким-либо причинам, необходимо указать актуальный номер во всех сервисах, где он используется в качестве метода авторизации или контакта для связи, советует Сергей Голованов. Проверить сервисы, в которых необходимо сменить телефон можно по входящим SMS с кодами подтверждения.

«Необходимо заранее отвязать номер от всех аккаунтов: на «Госуслугах», в банковских приложениях, в соцсетях, мессенджерах, онлайн-магазинах и на маркетплейсах, в других сервисах. На этот номер владельцу номера приходили авторизационные SMS, коды подтверждения входа и другая конфиденциальная информация, поэтому отвязать его критически важно», — отмечают в пресс-службе МегаФона.

В свою очередь Алексей Лужнов рекомендует включить двухфакторную аутентификацию через специальные приложения, а не только через SMS, и удалить номер из резервных способов восстановления доступа. Только после этих шагов номер можно выводить из использования. Следующий шаг — информирование контактов о смене номера.

После этого требуется официальное обращение к оператору связи для расторжения договора и полной деактивации SIM-карты, а не только прекращения ее использования, отмечает Константин Горбунов. Наконец, последний этап — это контрольная проверка. Спустя несколько недель рекомендуется проверить возможность восстановления доступа через старый номер в ключевых сервисах, чтобы убедиться в отсутствии оставшихся привязок, заключает собеседник SecPost.