У пользователя Coinbase украли 100 тысяч долларов с помощью дубликата SIM-карты



    Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.

    Замена SIM-карты – стандартная услуга мобильных операторов. Запросы на создание дубликата поступают от пользователей регулярно: при смене мобильного устройства или оператора многие предпочитают сохранить старый номер. Автор предполагает, что мошенник получил доступ к его личной информации где-то в Сети и воспользовался этим, чтобы отправить запрос на выпуск новой SIM-карты, не возбуждая никаких подозрений у персонала. За последний год подобная схема взлома стала стремительно набирать популярность.

    Перехватив контроль над телефонным номером и располагая некоторым количеством информации о жертве, злоумышленник без труда сумел войти в связанный аккаунт на сервисах Google и закрыть его от владельца. Для этого ему достаточно было выбрать опцию «Забыли пароль?», после чего система выслала код подтверждения на указанный в профиле номер и предложила сменить данные для аутентификации.

    Доступ к электронной почте предоставил мошеннику еще больше возможностей для взлома личных аккаунтов – большинство сервисов позволяет менять пароли по «волшебной ссылке», которая отправляется на почту по запросу. В данном случае его внимание было сосредоточено на получении доступа к криптокошельку.



    План-схема атаки, воссозданная автором

    «С таким наивным отношением к собственной безопасности я, пожалуй, заслуживал того, чтобы меня взломали», – признает Шон Курс в своем посте. Анализируя случившееся, он подчеркивает, что не только пренебрегал базовыми мерами защиты своих аккаунтов до инцидента, но и недостаточно быстро реагировал на тревожные сигналы, когда атака уже началась.

    Мошенник начал действовать поздним вечером, вероятно, в расчете на то, что до утра пользователь не сумеет связаться с мобильным оператором. Шон заметил на экране сообщение о том, что SIM-карта отсутствует, но не придал этому большого значения, решив, что она была повреждена при падении телефона. В течение часа был перехвачен контроль над почтой. За ночь взломщик поменял пароли на Coinbase и нескольких других сервисах; при этом он последовательно удалял все письма с верификационными ссылками. Из-за этой предосторожности, получив утром новую SIM-карту в салоне и восстановив доступ к почте, автор статьи не обнаружил факта взлома других аккаунтов и не предпринял необходимых действий. Тем же вечером атака повторилась, за ночь мошенник в несколько приемов опустошил кошелек. Сумма ущерба составила 100 тыс. долларов в криптовалюте; вернуть эти деньги, по всей видимости, не удастся.

    Автор статьи пострадал не только материально – на электронной почте и связанных аккаунтах хранилась масса личной информации, утечка которой делает его более открытым для атак в будущем. Однако он сделал для себя выводы и намерен в дальнейшем лучше заботиться о защите своего онлайн-пространства. Читателям он советует не использовать телефон в качестве основного метода восстановления пароля на Google, а отдать предпочтение тем, которые предполагают применение материальных объектов. Например, можно воспользоваться Google Authenticator, чтобы привязать пароль к конкретному устройству, или YubiKey, который проводит аутентификацию через прикосновение USB-ключа, зарегистрированного на конкретного пользователя. Актуальными также остаются и самые базовые правила безопасности: не оставлять личную информацию на открытых площадках, иметь отдельный, предельно защищенный адрес для финансовых транзакций и хранить пароли в оффлайн-менеджере.

    Комментарии 31

      –3
      Симку нельзя так просто восстановить. Нужно прийти с паспортом в салон связи, а значит был сговор с сотрудником салона. Дата перерегистрации точно известна. Уникальный код симки так же известен, а значит и известно в каком салоне новую симку получали.
      Допросить оформившего симку, посмотреть видеозапись и объявить в розыск вора.
      Что то либо владелец темнит, либо новость не полная.
        +4

        С паспортом? В США? :-)

          0
          Ну с ID или правами, сути это не меняет. Или хотите сказать, что в США может любой Джон прийти и сказать: «Сделайте мне новую симку этого номера». Так что ли?
            +1

            Если есть достаточно информации о жертве, хорошо работает социнжиниринг. Например, рассказал какую-нибудь жалостливую историю, как у него все украли или вроде того, попросил войти в положение, "доказал", что он это он, каким-нибудь поддельным utilily bill-ом и выглядящими достоверными ответами на вопросы.


            Не получилось в одном салоне — пошел в другой, они там на каждом шагу :-)


            Это как вариант. Может, сговор, а может, вообще сотрудник AT&T.

          0
          В последний раз, когда я изучал этот вопрос для России, можно было за 5 тысяч заказать дубль на профильных форумах. Естественно, там преступный сговор и какой-нибудь Ваня в салоне под Ельцом за тыщенку клепает дубли.
          Кроме того, несколько лет назад был велик шанс получить дубль, придя в салон с паспортными данными жертвы и самописной доверенностью, сугубо с помощью социнженерии. На такое тоже можно найти гонца рублей за 500-1000. Сейчас, вроде, чуть-чуть построже с этим, но, как всегда, самая большая дыра в безопасности — это человек.
          Штаты тоже не без греха. Например, полно сайтов, которые предлагают отлочить телефон от At&t и Verizon и в сложных случаях (при наличии долгов на симке) такие вопросы решаются через своих людей у оператора. С симками это тоже, наверняка, актуально.
            +4
            В Украине по крайней мере все проще из-за не компетентности сотрудников. Пришол в салон, сказал что номер деда, куда он звонил и что он делал я не знаю, ему за 80, звонил ему неделю назад со своего номера, абонент не абонент. Через 5 минут у тебя новая симка с нужнум номером без паспорта, камер и смс в провинциальном городке. История двух дневной давности.

            ПС. Реально восстанавливал номер деда а не в корыстных целях.
              +1
              Не знаю, как сейчас, но несколько лет назад у одного из наших операторов была услуга «Замена SIM пользователю». Т.е. если человек пользуется симкой, зарегистрированной на другого человека, он все равно может ее обменять, если ответит на несколько вопросов, по-моему, достаточно было 3 из 5. Вопросы простые — владелец симки, когда и на какую сумму пополнялся баланс, номера, с которыми общались в последнее время.
              Думаю, подобную информацию добыть нетрудно — позвонить жертве с известного номера за пару дней, пополнить баланс ему в автомате. Потом снаряжается какой-нибудь Вася, который за две бутылки озвучивает все это в офисе оператора, светя там своим лицом и своими документами, и вот у вас на руках нужная симка, и никто вас никогда не найдет.
              –5
              Ну все понятно, опять у российских операторов связи данные работники сливают и симки за тысячу рублей всяким злоумышленникам восстанавливают чужие.
              ====
              upd спустя 18 минут. Уточню свою мысль. Тут какое-то время назад была серия постов про утечку данных через сотрудников операторов моб. связи, и в комментариях было популярно мнение, что такое происходит только в России. Я попытался сыронизировать, у меня получилось плохо.
                +2
                Взгляните на схему в статье, там показан оператор AT&T.
                  +1

                  Я читал статью, там нет упоминаний российских операторов, и имена намекают, что дело происходит за границей. Тем не менее, дубликаты симкарт случаются и там.

                +5

                Вот поэтому у меня отдельная Nokia C3-01 для мобильного банка и регистраций и я никогда никому этот номер не сообщал. А для пущей надёжности у меня нет 100.000$

                  0
                  я никогда никому этот номер не сообщал
                  А ваш мобильный банк случаем не пишет на экране «код для смены пароля отправлен на телефон номер xxxxxxxxx»?
                    +1
                    Не, они сейчас пишут что то вроде "+7901 234 ****", но только если зайти на сайт другого банка(или не банка) и ввести тот же логин, там напишут что-то вроде "+7 9** *** 5678". Аналогично и ФИО для перевода денег, на одном будет «Иванов. П. А.». На другом «И. Петр Алексеевич». Приватность на высоте.
                  0

                  Читая оригинальную статью пришла мысль что у автора все завязано на один почтовый ящик, который "как-то узнал" злоумышленник, а ведь это не очень хорошо, автор тоже к этому пришел, но эта рекомендация в переводе как-то не слишком выделена: иметь отдельный, предельно защищенный адрес для финансовых транзакций.


                  Один из выводов (гугло перевод):
                  Создайте дополнительный адрес электронной почты: вместо того, чтобы связывать все с одним адресом электронной почты, создайте дополнительный адрес для своих критически важных сетевых идентификаторов (банковских счетов, учетных записей социальных сетей, криптообменников и т. Д.). Не используйте этот адрес электронной почты для чего-либо еще и держите его в секрете.


                  Но с соцсетями он погорячился, их привязывать не надо. И этот финансовый электронный адрес желательно приводить как можно реже (например не использовать его для восстановления публичного электронного адрес(почты)) иначе узнав его и владея сим-картой с телефонным номером злоумышленник может так же взломать и эту учетку.

                    –2
                    Что такое сотня тысяч долларов в криптовалюте? Не уверен, что их можно реально обменять на настоящие.
                      0
                      C хорошим дисконтом можно обменять что угодно и быстро)
                        0
                        Обменять на 10 бумажных долларов и быстро? Вот в это верится больше. Любопытных и глупых для таких пропорций найти можно много. Даже в Африке.
                        0
                        Не уверены, не обгоняйте
                          +2
                          Сотня тысяч долларов в криптовалюте — это кол-во криптовалюты, которую по текущему курсу можно поменять на сотню тысяч долларов.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            +1
                            В-третьих, для такой дорогостоящей атаки слишком много возможных «дыр»: например, «не придал этому большого значения, решив, что она была повреждена при падении телефона» — а если бы телефон не падал? Стоило ему забить тревогу, и связаться с AT&T (служба поддержки работает круглосуточно), как атака бы провалилась — по его просьбе новую SIM-ку могли заблокировать (был прецедент с потерей одним товарищем телефона и бумажника — отделался лишь потерей бумажника и телефона, со счетов ничего не ушло).

                            Когда ты знаешь, что случится дальше гораздо проще принять правильное решение. А так вполне нормальная реакция сдохла симка ночью, ну и хрен с ней завтра новую возьму.

                            Тут по моему самый главный урок, нельзя доверять ключи от важных данных третьим лицам, а мобильные операторы как раз и есть такие лица. Но все наоборот считают что это повышает надежность.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                Во-вторых, лично я бы немедленно попытался связаться с AT&T — завтра на работу, с утра времени не будет, а поддержка круглосуточная.

                                У всех свое отношение к мобильной связи, я например могу спокойно пару недель без неё жить и не страдать.
                                теряет доступ к Google эккаунту (зная, что этот эккаунт используется, как ключ к финансам и множеству сервисов), и спокойно ложится спать

                                Вот это уже действительно странно…
                                  0

                                  Без мобильной связи это значит без телефона, а если все карты в приложениях и как же без них?

                                    0
                                    Ну у меня карты с собой, а не в приложениях, так что никаких проблем.
                                      0

                                      А проверять? Вдруг сняли не ту сумму или вообще что-то сняли без спроса?

                                        0
                                        Ты для этого звонилки хватает с смсками, и у меня на картах нет каких сумм чтобы я их мониторил постоянно опосаясь, что вдруг чего случится. А в случае чего можно одноразовых паролей в банкомате взять(если не отменили это ещё).
                                          0

                                          Значит вы еще по-старому живете и не пользуетесь бесконтактными платежами.

                                            0
                                            Именно, и врядли это в ближайшее время поменяется.
                            0
                            del
                              0
                              Вот поэтому правильные операторы при замене симки автоматически блокируют СМС на сутки. А у кого есть права на разблокировку — тех мало и всё жёстко логируется. А почистить логи могут совсем другие люди и их ещё меньше и все они под микроскопом ИБ постоянно. В общем в сговор нужно вовлекать пол компании.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое