Pull to refresh

Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи

Reading time 6 min
Views 83K
Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.

Upd: Тем не менее слово «новый» из названия убрал, спасибо за критику. Ответы на основные моменты критики поместил в конце, чтобы не было нужды читать комментарии.

Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.
Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.

Описание способа


  1. Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
  2. Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
  3. Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
  4. Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.

Пример реальной переписки:



Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».

Предварительный анализ угроз и их ощущаемой «ужасности»


Краткий опрос 9 обывателей показал:

  • в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
  • 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».

Угрозы получения доступа к личному кабинету были озвучены такие:

  1. «спишут деньги со счета телефона»,
  2. «подключат услуги платные или рассылки»,
  3. «спишут деньги с карты автопополнения»,
  4. «могут перевести деньги на другой телефон»,
  5. «могут настроить переадресацию звонков и мошенничать»,
  6. «могут настроить переадресацию СМС и угонять аккаунты других сервисов».

Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.

Тестовая эксплуатация угнанного доступа в ЛК МТС


Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.

МТС уведомляет старый номер жертвы о:

  • смене пароля,
  • входе в сервисы МТС,
  • подключении SMS переадресации и услуги SMS Pro.

После этого телефон жертвы утихает и все идет на новый номер.

NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.

Затем, только с помощью нового телефона, я удачно:

  • совершил пополнение другого счета телефона,
  • сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
  • восстановил доступ к паре аккаунтов в сети,
  • принял звонок-аудиопроверку вместо СМС,
  • заказал обратный звонок с сайта магазина,
  • вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.

Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.

Upd 14.02.19 — ответы на вопросы и критику в комментариях


Чаще всего претензии комментаторов были к названию:
Где здесь новый способ? — в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями. Это объективная редкость — чаще просят тупо в долг, но я с радостью познакомлюсь с реальной статистикой. Спасибо за понимание хабровчанам, ответившим точно так же в комментариях ниже.

А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям. Лучше слова не придумал, но суть в том, что один ключ может открыть не одну очевидную дверь, а несколько, причем неизвестно какие.

Другой популярный мотив возмущения:
Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.

Примеры:
— прикручиваем возможность прослушать капчу или код с автозвонка?
— оставили цифровой номер у шлюза для подтверждающих смс?
Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.

— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?
Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».

— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?
Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».

Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.

Отдельное спасибо trublast за habr.com/ru/post/436774/#comment_19638396 и tcapb1 за habr.com/ru/post/436774/#comment_19637462, в которых они поняли и развили мои мысли, привели возможные угрозы и варианты.

В конце добавлю ответ на комментарии типа «По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего».

Совершенно верно, красть как правило нечего, и это еще одна важная особенность, которую должны учитывать информационные системы, протоколы безопасности и политики авторизации. То, что многие люди стараются быть хорошими, добрыми, помогать друг-другу, теряют свои деньги, но они работают на предприятиях. Если у кого-то глючит компьютер, а надо срочно отправить письмо — пустят, не смотря на то, что у них доступ совсем другого уровня.

Средний айтишник, все-таки довольно параноидален, имеет высокий уровень абстрактного мышления, способен быстро строить цепочки рассуждений и оценивать вероятности, да и наслышан о различных схемах обмана. А средний человек совершенно другой, ему нужно решить свои рабочие вопросы попроще и побыстрее самому и другу помочь, а он потом тебе поможет. Какой-нибудь грузчик, электрик, курьер, менеджер, люди не связанные с постоянным контактом с вопросами информационной безопасности, могут иметь доступ к очень закрытым данным, дорогим изделиям и совершенно не понимать, что именно они способны нарушить, уровень риска и цену потенциального ущерба. И даже если они будут виновны в убытке на миллионы, с них нечего взять, вообще. Поэтому, я считаю, именно айтишникам, нужно держать в голове все потенциальные уязвимости каждого «Иван Иваныча» и учитывать их в проектировании и обслуживании информационных систем предприятий, ну и знакомых как-то просвещать.
Tags:
Hubs:
+67
Comments 101
Comments Comments 101

Articles