Comments 88
А самые отчаянные могут найти бота и воспроизвести атаку на… на тех, от кого что-то сильно зависит. Например можно позвонить от имени начальника одного прокурора другому прокурору, диспетчеру, админу и т.п. И приказать, попросить сделать что-либо, можно даже не выходящее за рамки должностных инструкций, но нужное сейчас в очередной многоходовочке.
Думаю прокуроры легко сделают перекрестную идентификацию, типа 'Как звали ту рыжую которая была с нами в сауне позапрошлый раз'.
Во многих фильмах сцены с атакой через социнженерию в направлении босс-подчиненный построены на задействовании "слабых" подчиненных. Это или новички, или тряпки, которых фразы "ты что, идиот?", "уволю!" переключают в режим марионетки. Собственно, они мало что решают и могут, но будучи примененными в нужном месте (или в цепочке) дают нужный эффект.
Вряд-ли атакующий по сложному сценарию (с использованием имитации личности) с требуемым гарантируемым результатом (а не ловлей лоха) будет выбирать жертвой адекватную личность со стрессоустойчивым мозгом. Будет выбрана кандидатура у которой период шокового оглушения будет больше периода требуемого на выполнение операции.
Но если заход действительно многоходовый, то можно одного попросить сделать мелочь, не настолько уж прям неадекватную, затем — второго, и т.д.
Нескольким роботам давали команды, которые никак не нарушали первый закон, но в сумме приводили к смерти человека. (А Азимовские роботы, нужно сказать, параноидально исследуют последствия выполнения приказов в плане нарушения законов)
Невтонами их, вроде как, называли. Но вот название рассказа — простите, склероз, увы.
Тут Вы путаете. Это был другой рассказ — названия по-прежнему не помню, но фабула такая:
На исследовательской станции ЧП: в грузовом отсеке отлетающего космолёта не N роботов, а N+1, а на самой станции не хватает одного робота, в которого зашит «модифицированный» Первый Закон — этот робот не может убить человека, но не обязан его *спасать*. Как выясняется, один из исследователей в сердцах сказал роботу «уйди и не попадайся мне на глаза больше», но другими (очень крепкими) словами, а дальше всё произведение его пытаются отличить от прочих, а робот, наоборот, старается слиться с толпой. Такой робот там был один (хотя других и пытался сагитировать в свою версию Первого Закона, и даже небезуспешно), и никто там не умер.
А послали его потому, что туда роботов отправляли только с базовыми, академическими знаниями. Расчёт был на то, что на месте они сами научатся всему остальному. И по перваку эти роботы больше мешались под ногами, чем пользы приносили. Ну и у кого-то из сотрудников что-то там не клеилось, а тут ещё эта жестянка мельтешит – ну он и высказал всё, что думает, не стесняясь в выражениях.
Собственно, вот оно – ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D0%BE%D1%82%D0%B5%D1%80%D1%8F%D0%BB%D1%81%D1%8F_%D1%80%D0%BE%D0%B1%D0%BE%D1%82
ru.wikipedia.org/wiki/Обнажённое_солнце_(роман)
В этом цикле роботический цикл рассматривается героями уже как сборник древних сказок.
Сам цикл — прелюдия к основаниям.
Вполне можно звонить и просить что-то адекватное, что никто не будет проверять.
Например позвонить от начальника на вахту и попросить пропустить человека, сказав что он к нему пришел. Попросить разработчика переслать письмо еще одному представителю заказчика. И т.д.
С 2012 года пранкер звонил местным судьям и, представляясь судьей рангом повыше или высокопоставленным силовиком, убеждал их принимать те или иные решения по гражданским, административным и уголовным делам. Сложно сказать, насколько часто его звонки реально влияли на исход дела, но судьи, принимая Давыдова за начальника, по телефону обычно обещали выполнить его просьбы.
https://zona.media/article/2020/10/08/prunk
Т.е это прямо реально есть те кто вот если им звонят с номера 900 бабло переведут а вот если с 79996475612 то нет, так что-ли?
Реальность много хуже. Мой личный №1 по абсурдности — инцидент в Череповце.
Если человек не раздает свой телефон на все стороны (не ждет звонков с неизвестных номеров, не публикует объявления...), то вобщем-то можно не отвечать на неизвестные номера. В важной ситуации или перезвонят или пришлют сообщение о теме общения.
Правильное использование таких определялок при публикуемом номере — можно не перезванивать или не отвечать, если номер помечен подозрительным. Но не в коем случае не вводить его в свое доверие минуя стандартные проверки, если номер определился как доверенный. К сожалению, последнее правило нарушается и как раз используется для атаки.
То что вы сообщили уже учтено мошенниками. Т.к они звонят по слитой актуальной базе. Узнать в каком банке у вас хранятся деньги поверьте не составит труда. Есть различные способы и социальная инженерия, и предварительный "прозвон" по социальным сетям, и различное вспомогательное ПО. Если кажется, что никто не будет заморачиваться конкретно с вами, то это не так. Всё ставится на конвейер, а вы для них лиш строчка в excel файле. Опять же, если вы считаете себя бдительным, это хорошо. Но с уверенностью ли можете сказать про своих близких и родных то же самое?
Не секрет, что подобные звонилки много кто использует в мирном русле.В каких, к примеру? Потому что у меня такое ощущение, что если кто-то использует подмену номера, то он занимается чем-то не тем.
В каких, к примеру? Потому что у меня такое ощущение, что если кто-то использует подмену номера, то он занимается чем-то не тем.Для ИМ удобно. Когда оператор ИМ (курьер, суппорт, директор) может звонить с любого телефона, а у клиента высвечивается единый номер телефона магазина, а не 100-500 номеров по которым кто звонил и куда перезванивать если что. Есть, конечно, другие способы это сделать, но они не всегда удобнее и нередко дороже.
Reply
Настоящее веселье начнется, когда так же легко будет доступна подделка голоса конкретного человека.
Эх, школота… 8)
- Как зовут собаку?
- Макс.
- Эй, Джанелл. А что там с Вулфи? Слышу, он там лает. С ним всё в порядке?
- С Вулфи всё в порядке, дорогой. С Вулфи всё прекрасно. Где ты?
Твои приёмные родители мертвы
Другой вопрос, для начала надо усомниться. А вокруг достаточно людей, которые этого не делают. Да что уж там, определитель номера стал дефолтной опцией только с 2000-х — до того верили строго на слово.
Просто идея о том, что что-то (А) может являться идентификатором чего-то ещё (Б) — работает только в ограниченном контексте (включая время). И чем шире контекст, там меньше шансов, что это работает. Мне представляется, что это чистая философия и логика.
Отсюда следствие — использовать что-то (номер телефона, паспорт, имя и фамилия, адрес электронной почты, голос как пишут выше, или биометрию, и так далее) как идентификатор человека можно только в ограниченном контексте. И всегда есть вероятность ошибки идентификации, даже в этом ограниченном контектсе.
Для себя использую правило "обратной авторизации". Кто-бы ни подменял номер, обратный звонок на этот номер приведет к настоящему владельцу (да, я знаю, что когда я буду кому-то нужен за очень большие деньги, для меня построят информационный пузырь, но я мелкая рыбка). В случае организации я сообщаю, что сейчас перезвоню через официальный номер. На этом атака разваливается.
Для себя использую правило «обратной авторизации». Кто-бы ни подменял номер, обратный звонок на этот номер приведет к настоящему владельцу
Видимо, тут имеет смысл уточнить – Вы позвоните по тому номеру, который у Вас высветился, или пойдёте на сайт организации и позвоните по номеру, указанному там? В первом случае Вы имеете все шансы нарваться на гейт, который входящие просто не принимает. Во втором же случае да, Вы попадёте на нужную организацию.
О6раниченное кол-во гейтов позволяет подставить callid номер без предварительной проверки.
Когда вы перезвоните по номеру вы попадаете на реального человека который понятия не имеет о звонке.
Это ситуация вне модели жизни обычного человека. У обычного человека какие информационные связи? Родня-коллеги-знакомые, которые забиты в телефонную книгу. И организации, с которыми он заинтересован общаться. Все эти номера у него в "доверенном" списке. Т.е. либо в телефонной книге, либо берутся с официальных страниц организаций. Если по входящему номеру или по услышанному названию не получается совершить обратный звонок, значит для этого человека данный контакт заведомо не доверенный.
Если я ошибаюсь, приведите мне контрпример, пожалуйста. За свою жизнь такого не было ни разу (но я знаю, что это не доказательство невозможности).
Обычно достаточно просто сообщить, что разговор записывается, чтобы на том конце повесили трубку.
Еще думаю простор для угона автомобилей: есть gsm-сигнализации у которых по умолчанию стоит проверка только по номеру телефона и которые по звонку с доверенного номера можно отключить.
Пока нельзя: протоколы соединения из одной сети в другую afaik не предусматривают "подписей" (грубо говоря, вы в роуминге в Гондурасе, звоните в Китай – и китайская сеть вынуждена верить гондурасской, что звонок с русского номера).
Та же фигня, что с e-mail, только с проблемой подмены отправителя столкнулись позже – т.е. и результатов (аналогов DKIM и т.п.) ждать позже.
Подозреваю, что из-за неповоротливости операторов телефонной связи ждать, когда те перейдут на верификацию, очень долго, буквально десятки лет.
Тут ниже коммент от arheops со ссылкой на стандарт – надо почитать. Но пока он не будет массово поддержан, максимум, что может быть – для каких-то номеров будет высвечиваться «verified». Ну а не пропускать не-verified звонки вообще не получится ещё очень и очень долго – разные опсосы, городские сети и так далее…
In this case the STIR will validate correctly, and stopping such calls will have to be done at a higher level, through key revocation or similar.
FCC требует от крупных операторов включить STIR/SHAKEN не позднее июля 2021
В США — проблему решают на законодательном уровне (в том числе заставляя всех участников STIR/SHAKEN внедрять).
Интересно, в следующий раз представители ФСБ будут прибегать к мантре: "Использование способа подмены номера абонента — известный прием иностранных спецслужб"?
Всячески разыгрывают спектакль «Моя милиция меня бережёт».
Кто на такое ведётся? Когда украдут, тогда и приходите.
Пусть запомнят раз и навсегда, им звонить никто не будет. Если есть сомнения, надо повесить трубку и самостоятельно связаться с банком\отделом полиции\прокурором\спортлото.
Все проблемы мошенничества-путем-соц.-инжиниринга, начиная с общения с цыганами, решаются именно только этим одним принципом:
if %unknown_contact% AND %external_action_request% then EndConnection_BanContact
Так вот. Если мы говорим про Россию, паника немного чрезмерна. Дело в том что операторы связи (в РФ как минимум) несут ответственность, вплоть до уголовной. Наследие СССР, не иначе. Несмотря на общую безалаберность, некоторые ограничения всё же присутствуют. Основное: (стараться) не спамить с чужой номерной ёмкости. Потому что если возьмут за опу, «съехать» получится вряд ли. У «встречных» операторов — свои логи, и никто не хочет стать крайним.
Что из этого следует. Ровно то, что «бомбить» с номера банка/«конторы» не то что не выйдет в принципе… Но вот [просто, долго, безнаказанно] (как сейчас «банкиры» с кичи) — ничего из этого набора.
Ещё раз. Появление нового сервиса (спамить через телегу) ничего принципиального в раскладе не меняет. И если сейчас «банкиры» обзванивают с московского пула Вымпел-Телекома (ну арендовало 1000 номеров некое ООО «Р&К», чего такого? бизнес…), то выход нового бота — разве что внесёт лёгкое разнообразие (будут обзванивать с условного МТС). upd. Уже́. Пролистал последнее, там и МТС и Интелком и Сипнет (в ступе).
Такое чтобы бомбануть с номера (известных, уважаемых людей) — это чисто разовая акция. Потому что последствия — последуют.
А откуда в полиции знают про мои деньги? Какая-то странная цепочка получается это значит в банке узнали, позвонили в полицию, полиция позвонила мне, чтоб я позвонила в банк? Слишком запутано что бы этому поверить.
Чем опасен ТГ-бот, позволяющий подменять Caller-ID