Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.
Upd: Тем не менее слово «новый» из названия убрал, спасибо за критику. Ответы на основные моменты критики поместил в конце, чтобы не было нужды читать комментарии.
Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Пример реальной переписки:
Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».
Краткий опрос 9 обывателей показал:
Угрозы получения доступа к личному кабинету были озвучены такие:
Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.
Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.
МТС уведомляет старый номер жертвы о:
После этого телефон жертвы утихает и все идет на новый номер.
NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.
Затем, только с помощью нового телефона, я удачно:
Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.
Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.
Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.
Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.
Чаще всего претензии комментаторов были к названию:
Где здесь новый способ? — в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями. Это объективная редкость — чаще просят тупо в долг, но я с радостью познакомлюсь с реальной статистикой. Спасибо за понимание хабровчанам, ответившим точно так же в комментариях ниже.
А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям. Лучше слова не придумал, но суть в том, что один ключ может открыть не одну очевидную дверь, а несколько, причем неизвестно какие.
Другой популярный мотив возмущения:
Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.
Примеры:
— прикручиваем возможность прослушать капчу или код с автозвонка?
— оставили цифровой номер у шлюза для подтверждающих смс?
Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.
— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?
Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».
— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?
Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».
Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.
Отдельное спасибо trublast за habr.com/ru/post/436774/#comment_19638396 и tcapb1 за habr.com/ru/post/436774/#comment_19637462, в которых они поняли и развили мои мысли, привели возможные угрозы и варианты.
В конце добавлю ответ на комментарии типа «По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего».
Совершенно верно, красть как правило нечего, и это еще одна важная особенность, которую должны учитывать информационные системы, протоколы безопасности и политики авторизации. То, что многие люди стараются быть хорошими, добрыми, помогать друг-другу, теряют свои деньги, но они работают на предприятиях. Если у кого-то глючит компьютер, а надо срочно отправить письмо — пустят, не смотря на то, что у них доступ совсем другого уровня.
Средний айтишник, все-таки довольно параноидален, имеет высокий уровень абстрактного мышления, способен быстро строить цепочки рассуждений и оценивать вероятности, да и наслышан о различных схемах обмана. А средний человек совершенно другой, ему нужно решить свои рабочие вопросы попроще и побыстрее самому и другу помочь, а он потом тебе поможет. Какой-нибудь грузчик, электрик, курьер, менеджер, люди не связанные с постоянным контактом с вопросами информационной безопасности, могут иметь доступ к очень закрытым данным, дорогим изделиям и совершенно не понимать, что именно они способны нарушить, уровень риска и цену потенциального ущерба. И даже если они будут виновны в убытке на миллионы, с них нечего взять, вообще. Поэтому, я считаю, именно айтишникам, нужно держать в голове все потенциальные уязвимости каждого «Иван Иваныча» и учитывать их в проектировании и обслуживании информационных систем предприятий, ну и знакомых как-то просвещать.
Upd: Тем не менее слово «новый» из названия убрал, спасибо за критику. Ответы на основные моменты критики поместил в конце, чтобы не было нужды читать комментарии.
Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.
Описание способа
- Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
- Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
- Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
- Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.
Пример реальной переписки:
Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».
Предварительный анализ угроз и их ощущаемой «ужасности»
Краткий опрос 9 обывателей показал:
- в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
- 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».
Угрозы получения доступа к личному кабинету были озвучены такие:
- «спишут деньги со счета телефона»,
- «подключат услуги платные или рассылки»,
- «спишут деньги с карты автопополнения»,
- «могут перевести деньги на другой телефон»,
- «могут настроить переадресацию звонков и мошенничать»,
- «могут настроить переадресацию СМС и угонять аккаунты других сервисов».
Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.
Тестовая эксплуатация угнанного доступа в ЛК МТС
Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.
МТС уведомляет старый номер жертвы о:
- смене пароля,
- входе в сервисы МТС,
- подключении SMS переадресации и услуги SMS Pro.
После этого телефон жертвы утихает и все идет на новый номер.
NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.
Затем, только с помощью нового телефона, я удачно:
- совершил пополнение другого счета телефона,
- сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
- восстановил доступ к паре аккаунтов в сети,
- принял звонок-аудиопроверку вместо СМС,
- заказал обратный звонок с сайта магазина,
- вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.
Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.
Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.
Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.
Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.
Upd 14.02.19 — ответы на вопросы и критику в комментариях
Чаще всего претензии комментаторов были к названию:
Где здесь новый способ? — в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями. Это объективная редкость — чаще просят тупо в долг, но я с радостью познакомлюсь с реальной статистикой. Спасибо за понимание хабровчанам, ответившим точно так же в комментариях ниже.
А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям. Лучше слова не придумал, но суть в том, что один ключ может открыть не одну очевидную дверь, а несколько, причем неизвестно какие.
Другой популярный мотив возмущения:
Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.
Примеры:
— прикручиваем возможность прослушать капчу или код с автозвонка?
— оставили цифровой номер у шлюза для подтверждающих смс?
Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.
— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?
Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».
— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?
Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».
Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.
Отдельное спасибо trublast за habr.com/ru/post/436774/#comment_19638396 и tcapb1 за habr.com/ru/post/436774/#comment_19637462, в которых они поняли и развили мои мысли, привели возможные угрозы и варианты.
В конце добавлю ответ на комментарии типа «По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего».
Совершенно верно, красть как правило нечего, и это еще одна важная особенность, которую должны учитывать информационные системы, протоколы безопасности и политики авторизации. То, что многие люди стараются быть хорошими, добрыми, помогать друг-другу, теряют свои деньги, но они работают на предприятиях. Если у кого-то глючит компьютер, а надо срочно отправить письмо — пустят, не смотря на то, что у них доступ совсем другого уровня.
Средний айтишник, все-таки довольно параноидален, имеет высокий уровень абстрактного мышления, способен быстро строить цепочки рассуждений и оценивать вероятности, да и наслышан о различных схемах обмана. А средний человек совершенно другой, ему нужно решить свои рабочие вопросы попроще и побыстрее самому и другу помочь, а он потом тебе поможет. Какой-нибудь грузчик, электрик, курьер, менеджер, люди не связанные с постоянным контактом с вопросами информационной безопасности, могут иметь доступ к очень закрытым данным, дорогим изделиям и совершенно не понимать, что именно они способны нарушить, уровень риска и цену потенциального ущерба. И даже если они будут виновны в убытке на миллионы, с них нечего взять, вообще. Поэтому, я считаю, именно айтишникам, нужно держать в голове все потенциальные уязвимости каждого «Иван Иваныча» и учитывать их в проектировании и обслуживании информационных систем предприятий, ну и знакомых как-то просвещать.