Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи

Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.

Upd: Тем не менее слово «новый» из названия убрал, спасибо за критику. Ответы на основные моменты критики поместил в конце, чтобы не было нужды читать комментарии.

Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.
Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.

Описание способа


  1. Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
  2. Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
  3. Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
  4. Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.

Пример реальной переписки:



Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».

Предварительный анализ угроз и их ощущаемой «ужасности»


Краткий опрос 9 обывателей показал:

  • в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
  • 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».

Угрозы получения доступа к личному кабинету были озвучены такие:

  1. «спишут деньги со счета телефона»,
  2. «подключат услуги платные или рассылки»,
  3. «спишут деньги с карты автопополнения»,
  4. «могут перевести деньги на другой телефон»,
  5. «могут настроить переадресацию звонков и мошенничать»,
  6. «могут настроить переадресацию СМС и угонять аккаунты других сервисов».

Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.

Тестовая эксплуатация угнанного доступа в ЛК МТС


Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.

МТС уведомляет старый номер жертвы о:

  • смене пароля,
  • входе в сервисы МТС,
  • подключении SMS переадресации и услуги SMS Pro.

После этого телефон жертвы утихает и все идет на новый номер.

NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.

Затем, только с помощью нового телефона, я удачно:

  • совершил пополнение другого счета телефона,
  • сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
  • восстановил доступ к паре аккаунтов в сети,
  • принял звонок-аудиопроверку вместо СМС,
  • заказал обратный звонок с сайта магазина,
  • вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.

Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.

Upd 14.02.19 — ответы на вопросы и критику в комментариях


Чаще всего претензии комментаторов были к названию:
Где здесь новый способ? — в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями. Это объективная редкость — чаще просят тупо в долг, но я с радостью познакомлюсь с реальной статистикой. Спасибо за понимание хабровчанам, ответившим точно так же в комментариях ниже.

А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям. Лучше слова не придумал, но суть в том, что один ключ может открыть не одну очевидную дверь, а несколько, причем неизвестно какие.

Другой популярный мотив возмущения:
Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.

Примеры:
— прикручиваем возможность прослушать капчу или код с автозвонка?
— оставили цифровой номер у шлюза для подтверждающих смс?
Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.

— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?
Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».

— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?
Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».

Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.

Отдельное спасибо trublast за habr.com/ru/post/436774/#comment_19638396 и tcapb1 за habr.com/ru/post/436774/#comment_19637462, в которых они поняли и развили мои мысли, привели возможные угрозы и варианты.

В конце добавлю ответ на комментарии типа «По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего».

Совершенно верно, красть как правило нечего, и это еще одна важная особенность, которую должны учитывать информационные системы, протоколы безопасности и политики авторизации. То, что многие люди стараются быть хорошими, добрыми, помогать друг-другу, теряют свои деньги, но они работают на предприятиях. Если у кого-то глючит компьютер, а надо срочно отправить письмо — пустят, не смотря на то, что у них доступ совсем другого уровня.

Средний айтишник, все-таки довольно параноидален, имеет высокий уровень абстрактного мышления, способен быстро строить цепочки рассуждений и оценивать вероятности, да и наслышан о различных схемах обмана. А средний человек совершенно другой, ему нужно решить свои рабочие вопросы попроще и побыстрее самому и другу помочь, а он потом тебе поможет. Какой-нибудь грузчик, электрик, курьер, менеджер, люди не связанные с постоянным контактом с вопросами информационной безопасности, могут иметь доступ к очень закрытым данным, дорогим изделиям и совершенно не понимать, что именно они способны нарушить, уровень риска и цену потенциального ущерба. И даже если они будут виновны в убытке на миллионы, с них нечего взять, вообще. Поэтому, я считаю, именно айтишникам, нужно держать в голове все потенциальные уязвимости каждого «Иван Иваныча» и учитывать их в проектировании и обслуживании информационных систем предприятий, ну и знакомых как-то просвещать.
Поделиться публикацией

Комментарии 99

    +12
    Основная проблема в том, что за подобное людей практически не ловят и не сажают. То есть, если ты воруешь барахло в маркете или отжимаешь мобилки по парадным, то это вполне себе уголовное преступление и реальный срок. Относительно быстро и легко доказуемо. А вот если мошенник спер деньги через вк, никто даже и не подумает его искать. Даже чтоб вернуть деньги придется очень сильно постараться и с большой долей вероятности — вам их не вернут, не смотря законодательство. Все же у банка юристы явно лучше.
    И пока не будет найден способ в корне изменить подход к такого рода делам — новые способы мошенничества будут появляться каждый день и 95% будут находиться в зоне риска.
      +7
      Главное что сам контакт, видимо, не заинтересован что-то менять. Когда человек заходит с левого места, и начинает вдруг всем одно и то же сообщение рассылать (ну или по паттерну) — уже можно если не банить, то хотя бы предупреждение показывать что возможно это мошенники пишут, и нужно удостовериться в чистоте его намерений сторонним способом. Но даже когда уже множество человек нажало что «Аккаунт взломан» — сразу ничего не происходит, и злоумышленник может продолжать обрабатывать людей по списку друзей.Ладно бы что-то новое, но для вот этого всего технологии у них уже имеются.
        –4

        ВКонтакте? Он тут вообще выступает просто сервисом доставки сообщений. Неужели сервис сообщений должен заботиться, что б через него не рассылали мошеннические тексты? Если реально такой запрос в обществе есть, то закон-то примут. Детей от "плохой информации" уже защитили, теперь взрослых будут защищать от плохих сообщений. Точно хотите этого?

          +2
          В том то и дело, что взрослых от «лишней» информации уже защищают — в этом плане терять нечего. А вот выводить предупреждение\подсказку если множество очевидных факторов указывают на факт взлома аккаунта и мошенничество — это никого кроме мошенников ни в чем не ограничит.
            –1
            в этом плане терять нечего.

            Да, на каждом этапе есть люди, которые считают, что хуже уже не сделают. Потом удивляются. А на самом деле терять есть что и много.


            Сама по себе подсказка "это сообщение рассылали уже 20 раз" никого не ограничит, вы правы. Но она бесполезна, потому что сообщение будут менять немного.


            Или может быть сообщение "он уже пишет десятому человеку за полчаса" кому-то что-то даст. Но это какие-то костыльные решения. Ну будет писать реже, напишет не сотне, а 50 человек. Вроде бы лучше, но не так, что бы сильно лучше.


            А вот сообщение на смс "это вход в аккаунт смс на номер Х, никому его не сообщайте" — намного лучше. Да и настоящая двухфакторная во всех значимых сервисах — тоже намного лучше. И отслеживание денег намного лучше и возврат украденного и наказание вора.


            Но это все не нравится, да? Обязательно нужно костыльное, неработающее решение, в котором ВКонтакте выступает кривым фильтром с кучей ложноположительных?

              0
              ВК фильтрует массовую рассылку однотипных сообщений, и рассылаемое сообщение действительно немного меняют, это хорошо видно по «опечаткам».
          –2
          У контакта давно есть двухфакторная авторизация. Люди, видимо, сами не заинтересованы.
            +6

            Грош цена такой двухфакторной аутентификации, когда нельзя отключить подтверждение по номеру телефона и от бота Администрации, а оставить только TOTP.

              0
              80% проблем это решает, это лучше чем вообще не использовать ее.
                +2
                Хуже то, что она дает уверенность безопасности, хотя на самом деле никакой безопасности нет.
            0
            Справедливости ради, контакт уже не один месяц тестит систему отлова спама, видел не раз как сообщения в личке (только в веб-версии, пока что) получали метку «подозрительно» и скрывались от меня. Приходилось лезть за телефоном чтобы прочесть, что друг зовет меня поиграть.
            0
            Чтобы поймать и посадить, надо собрать доказательства.
            Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
            Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».

            Нет уж, нет уж… Пусть меня лучше мошенники разденут до нитки и вгонят в долги, чем какой-то фсбэшник будет читать мою переписку.
              0
              да даже хрен с ними с мошенниками — хотя не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК. Благо они почти никакой защиты даже не пытаются ставить.
              Проблема в том, что нельзя отменить свои платежи и вернуть все деньги, хотя-бы в течении недели. Ведь весь процесс путешествия денег можно отследить, это не какое-то сообщение в вк, и для этого ненужно чтоб ФСБшник читал ваши сообщения. Сразу будет видно где гад и обналичил, на какие номера перевел, куда положил и где/что оплатил. Можно даже бумажные деньги отслеживать, благо номер у всех уникальный. А пользование крадеными деньгами, на которые написано заявление — достаточно веский повод для задержания…
                +2
                не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК
                Охрана колонии может не пустить.
                Довольно много таких мошенников "работают" из мест заключения. Отдельный вопрос — откуда у них телефоны.
                  +1
                  Нет, ну хорошо. Допустим мошенник сидит на зоне, и физически до него не добраться. Зато можно блокировать его телефон, а так же всю цепочку перевода денег, включая телефоны соседей по камере ) Человеку, получившему блок случайно (например гад ошибся и отправил деньги на левый номер, ну или специально пытался замести следы) ничего не стоит ответить на звонок оператора и подтвердить, что он понятия не имеет, откуда к нему пришли деньги и позволяет их списать, и вообще поставить вайтлист денежных переводов, чтоб не могли переводить с незнакомых номеров (услуга должна быть бесплатна у оператора)
                    +1
                    Повеселила лучшая защита от ОМОНа — зона. )
                  0
                  не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК. Благо они почти никакой защиты даже не пытаются ставить.

                  Почему вы так уверены в этом? Я как раз наоборот уверен что как минимум будет использован Tor.
                  0
                  Уже есть закон яровой. Чет не особо работает, да?
                    0
                    Он есть только на бумаге.
                    +2

                    Зачем трафик? Если он украл деньги — есть путь прохождения денег, разве нет?

                      0
                      Препочитаете быть раздетым до нитки ФСБниками? Месье знает толк…
                        +1
                        Чтобы поймать и посадить, надо собрать доказательства.
                        Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
                        Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».

                        Ха-ха, у нас могут на два года условно осудить за картинки в закрытом альбоме (вот). Так что у кого надо есть прямой доступ и приватным альбомам, и к переписке, а на проблему мошенничества им просто наплевать.

                        0
                        Хинт — сидит человек в тюрьме. Пожизненно или оцень на долго. И ему передают телефон для подобных манипуляций. За курево, наркоту, что-у-них-там-ещё-в-ходу. И даже когда его «деанонимизируют» и добавят срок, в его жизни ничего не изменится, по большому счету. Так оно не работает. Вывод — будьте бдительны.
                          +1
                          Я Вас таки прошу, 90% этих всех кидков — мамкины бандиты, школьники, из дома прямо фигнёй маются. А не трогают их ибо мелочь.
                          PS. Есть конечно и покрупнее дельцы, но те или скрываются хорошо или откупаются. С тюрьмы много не кинешь, без ПК — там же массовость нужна, всё таки таких идиотов не так и много.
                            0
                            Счет в банке тоже открывает сидя за решеткой? По «операторам» бить смысла мало, согласен, надо бить по денежным потокам.
                              0
                              Выводят в нал, на угнанную карту другого такого же, и ищи-свищи.
                            0
                            Электронное мошенничество вообще трудно доказуемо во всём мире. Гляньте вон на популярность так называемых «рефандеров» в США\Европе например.
                              +2
                              В Европе есть другое мошенничество. Предлагают непыльную работенку: надо принимать деньги на счет в банке и отправлять через мнтернет-сайт WU (или другого похожего сервиса) по указанным «координатам». Разумеется за определенную комиссию. Развод в том, что полиция легко отслеживает всю цепочку банковских переводов до вашего счета, а вот потом след теряется. WU и иже с ним не сообщают данные получателя денег. Да он еще и находиться обычно в какой-нибудь далекой стране. Вы остаетесь крайним в цепочке и вынуждены из своего кармана возвращать деньги пострадавшему.
                              Так что как раз пока деньги гуляют по банкам все просто…
                              0
                              Я думаю, проблема в другом. Пока есть те, кого можно легко обмануть, будут и те, кто готов этим воспользоваться. Ужесточение наказания за сие деяние — не панацея, вряд ли это как-либо повлияет на текущую ситуацию. Социальная инженерия ведь не вчера появилась, людям пора уже заботиться о какой-то базовой самообразованности в этом плане.
                                0

                                Основная проблема в том что операторы занимаются не своим делом и всячески упрощают сервисы чтобы простым людям было удобнее тратить больше денег через них (серые схемы с подписками и короткими номерами это только часть не своей функциональности).
                                Надеюсь когда-нибудь у властей хватит воли и совести остановить это и ограничить операторов только связью, а то они уже открыто заявляют что знают кто с кем и где и могут эту информацию использовать :(

                                  0
                                  Думаю, подавляющее количество таких преступлений совершают люди, уже находящиеся в местах лишения свободы, тч навряд ли их это сильно напугает
                                  +5

                                  Наверное, я какой-то не такой. Но подобные нестандартные просьбы у меня вызывают резкое чувство, что что-то тут не то. И я скорее всего откажу, т.к. не понимаю, зачем это может быть нужно человеку, и не понимаю, какие могут быть риски для меня.
                                  Старые схемы с просьбой дать в долг кажутся мне более адекватными, и по моим ощущениям больше людей должно вестись на это. А если же человек соглашается переслать кому-то СМС с кодом подтверждения, учитывая, что никому из его знакомых такое никогда не требовалось, то мне только вспоминается фраза, что лох не мамонт, он не вымрет.

                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      +2
                                      Вероятность таких ситуаций достаточно мала, чтобы инициироваться более тщательную проверку ситуации — попытаться связаться по другим каналам связи, задать уточняющие вопросы и т. д.
                                        0
                                        Как вам уже написали, ваша ситуация довольно редкая.
                                        Когда с аккаунта моей сестры просили денег вдолг, я попросил позвонить и попросить голосом. Сказали, типа на занятиях, не может говорить. Сам же я, подозревая, что что-то тут неладное, попробовал дозвониться до сестры, телефон её не отвечал — специально, что ли, подгадывали время. Тогда я ей задал такой вопрос, на который может знать ответ только она, и крайне маловероятно, что этот вопрос она могла поднимать с кем-то в переписке. Человек на этом слился, т.к. ответить правильно не смог.
                                        И я не вижу ничего странного в том, чтобы даже тому же начальнику задать наводящие вопросы или связаться с ним как-то ещё.
                                        А вот так с радостью, как показано в статье, пересылать кому-то какие-то СМСки, мне кажется это довольно глупо.
                                      +13
                                      Отправить кому-то уникальный код полученный на телефон?
                                      Где здесь новый способ? Подавляющее большинство сервисов в самой смске пишут, что не надо этот код никому передавать. Повестись на такое может только совсем неискушенный пользователь, лет 50 проживший в бункере.
                                        +1

                                        Особенно странно, что на том конце переслать смс тебе может, а прочесть якобы нет.

                                          0
                                          Ничего странного. В личный кабинет можно зайти с ПК/планшета без симки.
                                            +2
                                            Не переслать, а заказать получение на твой телефон — вместо своего, якобы не работающего.

                                            Для этого нужен интернет, но не нужна сотовая связь. «Обработка» так же идет через мессенджер, а не через смс. Интернет нужен, а сотовая связь — нет.

                                            Т.е. с этой стороны как раз ничего подозрительного — у «знакомого» есть доступ в интернет, но временно не работает мобильный телефон, а он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения.
                                              0
                                              Всё равно какой-то странный способ.

                                              Обычно у сервисов уже есть твой телефон и на чужой — смс отправлять не будут.

                                              А тут кто-то просит переслать смс — явно же тебя пытаются поиметь.
                                                0
                                                он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения


                                                Именно. Т.е. где-то на каком-то интернет-сервисе указал телефон потенциальной жертвы (раз на него смс придет) — и это жертву не волнует? Я бы как минимум поинтересовался, что происходит и куда внесли мой телефонный номер.
                                              0
                                              это могут быть чьи-то бабушки-дедушки. Вам от этого легче?
                                                +4
                                                Мои бабушки и дедушки мной научены как на такое реагировать.
                                                Полагаю как и у большинства хабровчан.
                                                Зачем на хабре статья «А! Нельзя отправлять никому коды из смс! Уязвимость! Мы все умрем!»? Кто здесь её ЦА?
                                                Лично я ожидал гораздо более изощренного обмана под таким заголовком.
                                                  +1
                                                  Обсасывание каждой «новой» схемы обмана, отличающейся от всех предыдущих только незначительными второстепенными деталями — это идиотизм уровня мусорных чатов, где такое всегда постят (родительские группы школ, районные группы и т.п.) Аргумент про «а если это случится с бабушкой/ребенком» столь же глуп и бессмысленен. Потому что абсолютно все эти «новые» схемы основаны на единицах вариантов обмана, которые перекрываются элементарными правилами безопасности электронной коммуникации, которых тоже единицы. А потому, их куда проще понять и запомнить пресловутым детям и пожилым людям (если они, конечно, не впали еще в старческую деменцию, а тогда уже вопрос — почему у них есть полный доступ к коммуникациям, будто они дееспособны). Бесконечные же перечисления «новых» способов только рассеивают внимание и создают ощущение «всесильности» жуликов у несведущих людей.
                                                    0
                                                    В целом с Вами согласен, но пока не видел хорошо сформулированного списка «элементарных правил безопасности электронной коммуникации, которых тоже единицы». И сам пока тоже не вывел его. Если видели или можете кратко сформулировать — поделитесь?

                                                +13
                                                На развлекательных сайтах статья была бы уместна, но на хабре?
                                                В чем новизна? Способ тот же самый — просят сообщить код который приходит Вам на телефон. Прелюдия — умер хомяк, потерян доступ, получил наследство от дяди из нигерии — абсолютно монопенисуален.
                                                В чем социалка? Вас просят сообщить код который приходит лично Вам. А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.
                                                  –5
                                                  > А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.

                                                  Не согласен. Залог успеха в том, что просит доверительный источник а не абстрактный Вася Пупкин.
                                                    +6
                                                    Здесь проблема в том, что не всеми такое сообщение воспринимается как опасное. Это не просьба отправить деньги, это не просьба залогиниться куда-то под своими данными, не нужно открывать данные кредитки. Логическая цепочка «отправлю код -> зайдут в мой ЛК -> настроят переадресацию -> угонят мою страницу в соцсетях, на которую мне сейчас и пишут» формируется далеко не у всех.

                                                    И более широкая проблема: мы уже привыкли к двухфакторной авторизации в банках, приучились делать сложные пароли на почте, однако сейчас именно телефон становится главным средством для авторизации и для «открывания дверей» на другие сервисы.

                                                    А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам. Можно войти в ЛК просто по СМС. А в МТС ещё не так давно (а может и сейчас) при создании личного кабинета с телефона, предлагалось создать пароль для ЛК из (внимание) четырёх цифр. Если вы пароль с тех пор не меняли — по нему до сих пор можно зайти в ЛК.
                                                      –3
                                                      Да нет, проблема в том, что человек вообще берется оценивать опасность в принципе.
                                                      А не должен — и об этом написано в каждом соглашении с кем угодно.
                                                      Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг, сразу, без лишнего базара, без попыток построение хитровыделанных логических цепочек.

                                                      А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам.
                                                      Тут есть варианты решения в целом. Зарубежная симка для смс от банков, например. Вы погуглите как получают квал. электронную подпись если интересно.
                                                        +3
                                                        Ну вы же понимаете, что это слишком сложно, чтобы стать массовым. Я даже в банк-клиент стараюсь лишний раз не логиниться, потому что мне влом ждать смс и вводить код.

                                                        У меня кучу раз просили деньги в долг со взломанных аккаунтов. Но также просили деньги в долг через Вконтакт и реальные люди. Я им переводил и они потом возвращали. Мне приходилось убеждаться, что тот, кто просит — это действительно мой знакомый, и тут я занимался как раз оценкой безопасности. По вашей логике я не должен был переводить деньги вообще никому никогда.
                                                          0
                                                          Ну вы же понимаете, что это слишком сложно, чтобы стать массовым.
                                                          Что именно сложно?

                                                          По вашей логике я не должен был переводить деньги вообще никому никогда.
                                                          Нет. Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
                                                          Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям.

                                                          p.s.: Изумительно, заминусовали пост в котором по сути кроме совета не выдавать своих данных ничего и не было. Советуете выдавать? Так хоть аргументировали бы:)
                                                            +1
                                                            Что именно сложно?

                                                            Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.

                                                            Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело.

                                                            В вышеуказанном случае можно провести такой анализ: это сообщение от моего знакомого, денег он не просит, значит наверное его не взломали, данных по моим банковским карточкам у него нет, так что вряд ли это запрос о подтверждении платежа, а даже если он получит доступ к моей мобилке — максимум что может сделать — снять 100 рублей со счёта, которые там лежат. Анализ проведён, результат неверен.
                                                              0
                                                              Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.
                                                              Это пример же просто. Кому-то просто, один раз купил и раз в полгода пополняй на евро. Кому сложно — есть альтернативы.

                                                              Анализ проведён, результат неверен.
                                                              Так мы же об этом и говорили «проблема в том, что человек вообще берется оценивать опасность в принципе. Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг»©
                                                                0
                                                                Тогда мы возвращаемся к моему предыдущему ответу: всех слать нафиг не вариант, могут быть и реальные просьбы от реальных знакомых.
                                                                  0
                                                                  Так на это уже отвечали же
                                                                  Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
                                                                  Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям
                                                        0
                                                        У мегафона еще если вышел в интернет через мобильный — то вход в ЛК вообще без всяких паролей. Просто сопоставляют у себя в базе текущий ip адрес — номер телефона и пускают сразу так если ты с мегафоновского ip пришел.
                                                          0
                                                          Вроде в ЛК где-то автоматический вход отключается
                                                        +2
                                                        Разница тут видимо в том, что код приходит от, в данном случае, МТС. Если смс от банка, там, как правило, написана сумма операции, что за операция, и ещё «никому не сообщайте этот код». Да ещё отправитель текстовый — название банка.

                                                        Не знаю, как выглядит код на доступ к ЛК МТС, но возможно сама СМС не так подозрительна, как банковская. Если это предварено диалогом вроде «Пытаюсь зарегаться на сервисе xyz.ru, чтобы купить телефон в интернет-магазине. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет?»
                                                        И приходит смс не от банка о подтверждении операции, а для входа в ЛК или регистрации. И в ней не написано «никому не сообщайте код», да даже если написано.

                                                        Человек понимает, что этот код для входа в личный кабинет, привязанный к его номеру. Но не видит в этом ничего опасного. Это же не перевод денег, а все переводы денег подтверждаются по СМС отдельно. А вот что таким образом могут подключить переадресацию смс он не думает.
                                                          0
                                                          Спасибо за точное понимание и гениально-лучший пример фразы-зацепки!

                                                          Я бы чуть доработал и «Пытаюсь заказать телефон в официальном магазе МТС. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет? А потом если позвонят тебе подтвердить, ты скажи, что все в порядке и я действительно жду доставку.»
                                                        +4

                                                        Риск высокий не от того, что в МТС есть переадресация СМС и звонков, а в том, что многие другие сервисы полагаются на самостоятельную безопасность пользователя, и безопасность его телефона, и накручивают кучу функционала в надежде, что раз пользователь читает смс, значит это не мошенник.

                                                          +3
                                                          Да, повальная привязка всего и все на телефон и СМС — вообще корень зла.
                                                          Особенно когда и сброс пароля и другие функции безопасности так же на СМС повешены, а не дополняют друг друга.

                                                          Т.е. можешь читать/перехватывать СМС-ки? (для чего существуют кучи разных способов — вирусы на телефонах, перевыпуски симок, «крыса» среди сотрудников ОПСОСа, крыса из органов с доступом к СОРМ и т.д.) = можешь сделать все что угодно.
                                                          +2
                                                          > Описание способа
                                                          > [skip]

                                                          Указанный способ вживую видел в действии как минимум год назад. Да, на неокрепших юзерах отлично работает (например дети). В принципе, ничего нового в нем не вижу т.к. в корне лежит та же социалка что и везде. Что впрочем не делает его менее эффективным. Вопрос в выборе жертвы.
                                                            +2
                                                            Как показывает практика — не выбирают. Тупо палят по площадям. И, судя по всему, результативно. Только объяснив родным и знакомым азы сетевой безопасности можно сократить кормовую базу подобных лиц. Ввести чуть ли не с начальной школы данный предмет было бы совсем неплохо. Но пока слово Божие преобладает.
                                                              0
                                                              Золотые слова! Почему бы основы информационной безопасности не ввести в курс ОБЖ и преподавать с первого класса вместе с основами ПДД? Сейчас смартфоны есть у всех практически с первого класса (мало кто покупает детям звонилку — а то лохом считать будут)) ) и аккаунт в ВК или ОК. А родители сами не всегда могут рассказать про безопасное использование технологий.
                                                                +1
                                                                Отлично. А вести их будет Мариванна.
                                                                  0
                                                                  А что — должен вести брутальный, лохматый хакер Вася?
                                                                  Достаточно грамотно написанной методички. Тем более, что надо объяснить не всю теорию ИБ, а только азы про стойкие пароли, про всякие коды по СМС, про правила общения в соц. сетях. Ведь при изучении тех же ПДД в школе не требуют досконального их знания, а только в рамках прав и обязанностей пешехода.
                                                                    0

                                                                    … ну, НВП вели же офицеры — даже в форме на работу приходили. Наш военрук, правда, когда НВП отменили, стал историком, а на ОБЖД очень долго никого не могли найти, но это совсем другая история =)

                                                                      0
                                                                      Сейчас в школе несколько не те деньги, что раньше. Опытный ИТ-ешник (или безопаник) туда не пойдёт. Да и педоистерия мужчин отпугивает от школ.
                                                            +2
                                                            SMS Pro далеко не со всеми сервисами работает (даже у МТС в описании прямо сказано 'Услуга SMS Pro действует для входящих SMS с номеров абонентов международных и российских операторов мобильной связи, кроме SMS с коротких номеров (номер до 7 цифр), альфанумерик (буквенно-символьное изображение) и сообщений от сервисных услуг МТС.' )

                                                            Полноценная переадресация вообще всех SMS насколько знаю только у теле2 есть (включается через USSD и только так, и работает бесплатно(кроме стоимости исходящих SMS)).
                                                              +2
                                                              К слову сказать, недавно пополняя сотовый МТС ошибся ноликом и положил денег больше чем нужно, после этого нашёл у них на сайте функцию перевести деньги со счёта обратно на карту, но фактически эта функция заблокирована. При попытке перевести будет ошибка и требование обратиться в офис МТС. В офисе же вам расскажут, что по-умолчанию эта функция заблокирована как раз от мошенников, и чтобы её разблокировать, надо написать заявление на бумаге, предъявить паспорт и ждать сутки на его обработку. Только после заявления удалось сделать перевод.
                                                                0
                                                                Обратно потом заблокировали?
                                                                  0
                                                                  Я не узнавал этот момент, сервис оставил разблокированным.
                                                                +2
                                                                а в чем оптовость такого угона? это же обычный перебор, в поисках лоха, только не очень верится, что 4 из 9 поведутся, на такой детский развод, где Вы опрос проводили если не секрет? По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего.
                                                                  +4
                                                                  Метод не очень новый, но работающий, плюс каких-то значимых публикаций на эту тему я особо не встречал. Можно рассмотреть довольно забавное продолжение темы — создание злоумышленниками сайта с призами, кешбками или чем-то еще (даже новый мессенджер или такси/каршеринг), где при авторизации запрашивается номер телефона, затем через доступный API определяется текущий оператор для этого номера, потом запрашивается СМС-код для авторизации на сайте оператора, а пользователю показывают только форму для ввода кода на сайте. Что делать с кодом — известно из статьи. Думаю, что количество людей, которые введут код, не особо обратив внимание на то, кто его отправляет — достаточно большое.

                                                                  Глобально — проблема в том, что мобильные операторы представляют из себя средство связи, а не авторизации. Количество дыр приемлемо для плохого средства связи, но не для системы авторизации. Боюсь, что завтра прочитаю статью «Найдена уязвимость, позволяющая читать переписку всех абонентов оператора *», а ведь такие дыры вполне есть.
                                                                    +1
                                                                    А чем полиция занимается? Разве это не их прямая обязанность — ловить таких вот «старых друзей»?
                                                                      +4
                                                                      Полиция занимается «своей работой».
                                                                      В схожем случае мне надо было лично прийти с отделение с паспортом, собственноручно написать заявление, а потом получить по почте письмо о том, что раз преступникам не удалось меня «развести», то и состава преступления не было.
                                                                      (На ту же тему можно оффтопить про ГИБДД, которые «не могут определить владельца транспортного средства по номеру».)
                                                                        0

                                                                        Лол, а какая минимальная сумма для состава преступления нужна? Если я отправлю условный рубль, то их отговорка уже не сработает?

                                                                        0
                                                                        Экстремизм ищет и за мемасики ловит — это же намного важнее
                                                                        +1
                                                                        А ведь на самом деле надёжной аутентификации сейчас нет вообще. Есть более-менее сносные способы, как авторизация через тот же мобильник: предполагается что мобильник может быть только в руках у владельца и доступ к настройкам имеет только он.

                                                                        Однако это уязвимо для социнжиниринга, как в этой статье. Мобильник могут отобрать, предварительно подсмотрев/выпытав пинкод. Да и просто, если вы переезжаете в другой регион или другую страну и меняете номер, вы испытаете геморрой со сменой всех привязок. А если про какую-то привязку к вашему номеру вы забудете, а сам номер уже будет недоступен? А если просто вы потеряете телефон/симку, и по какой-то причине (опять же, нахождение в другой стране) не сможете их быстро восстановить?

                                                                        С почтой — похожие проблемы. Можно забыть пароль и не пройти потом тест на жирафа при попытке восстановления. Почту могут увести. С почтовым сервисом может что-то случиться (вспомним почту на qip.ru), можно оказаться забаненным (помните историю про человека, которого забанили везде на гугле включая gmail за нарушение правил пользования одного из гугловских сервисов?).

                                                                        Авторизация через соцсети — аналогично. Тем более что нарваться на бан в соцсети гораздо легче, чем на Gmail (получив при попытке входа примерно вот такое).

                                                                        Пока как ни странно самым надёжным способом идентификации является паспорт. По крайней мере, я знаю, что если я протеряю все пароли к моему банку — я всегда могу прийти с паспортом в отделение, и мне всё восстановят.

                                                                        Посмотрим, что будет с аутентификацией по биометрическим данным, может это как-то решит проблему. Но пока вот так.
                                                                          0
                                                                          Пока как ни странно самым надёжным способом идентификации является паспорт.

                                                                          Самый надёжный это авторизация по ключевому файлу. Потом пароль. А потом всё остальное.
                                                                          Биометрия только создаст кучу новых проблем.
                                                                            0
                                                                            Ключевой файл можно потерять.

                                                                            Биометрия на мой взгляд единственный способ однозначного определения человека. Я не имею в виду текущий уровень технологий, но может быть в перспективе. По лицу, по отпечаткам пальца, по голосу, ещё как-то. Вы конечно можете потерять лицо и пальцы, но это на мой взгляд довольно маловероятно.

                                                                            Здесь нужно решить три проблемы:
                                                                            — однозначная идентификация по биометрическим данным (чтобы можно было отличить одного близнеца от другого, чтобы идентификация не терялась в случае смены внешности/возрастных изменений, чтобы невозможно было авторизоваться с фотки, с отрезанного пальца или просто используя цифровой отпечаток предыдущей авторизации)
                                                                            — определение добровольности идентификации (если заставят приложить палец или посмотреть в камеру — система должна это понять и не пустить). Как это решить сходу не представляю, но думаю это решаемо.
                                                                            — массовые, дешёвые и простые средства для такой идентификации

                                                                            А затем можно обойтись вообще без какого-либо центра авторизации типа Гугла, сотового оператора или государства. Если биометрия будет однозначно преобразовываться в хэш — можно хранить эти хэши в децентрализованном блокчейне например и компании могут пользоваться им для авторизации. Мегаупрощённо: например, для каждого сервиса генерится собственный хэш с использованием приватного ключа сервиса. Сервис может не знать личность человека, который зарегистрировался, но привязка биоданных к логину на сервисе всегда будет однозначной. Если такое получится, то пароли, смс-коды и ключевые файлы станут не нужны.
                                                                              0
                                                                              Риск не в утери информации, а ее краже и дублировании. Если речь не про авторизацию с личным присутствием (хотя и тут возможны варианты — отпечатки например не особо сложно подделать имея «правильный» образец), то данные элементарно могут утечь и потом их будут использовать для проведения операций от вашего имени.

                                                                              А биометрические данные в отличии от пароля не сменишь и не перевыпустишь как аппаратный ключик или сертификат ЭЦП.
                                                                                0
                                                                                Думаю, это тоже решаемо. Главное, чтобы система понимала, что биоданные введены именно сейчас (а не когда-либо в прошлом) и добровольно. Тогда вы должны будете вот прямо сейчас, в момент логина, пройти биоидентификацию, чтобы залогиниться. Все предыдущие попытки идентификации просто не должны давать доступа ко входу куда-либо. Т.е. мы фактически будем каждый раз при идентификации по биоданным выпускать одноразовые ключи, второй раз по ним будет уже не зайти. Опять же, очень сильно упрощаю.
                                                                                  0
                                                                                  «Присядьте. Подпрыгните. Задержите дыхание на 5 секунд. Дышите. Выполните секретное действие...»
                                                                                    0
                                                                                    А вот как это проверить БЕЗ личного присутствия?
                                                                                    Пока никто хороших способов не придумал. Однако вредрять, в т.ч. для удаленной (без присутствия) авторизации уже ломятся.
                                                                                      0
                                                                                      Если про добровольность, то самое банальное — вот как выше написали: «Присядьте. Подпрыгните. Задержите дыхание на 5 секунд". Какое-то действие, секретное или несекретное (подмигнуть например или кивнуть), которое распознаёт камера, и которое должно автоматически преобразовываться в цифровую сигнатуру. Если действие не было выполнено и было выполнено другое действие — код должен не собираться и не подходить. Но вообще я понятия не имею как сделать так, чтобы было и понятно и секьюрно и надёжно. Но не думаю, что такое вообще принципиально никак не решаемо.

                                                                                      Если про привязку ко времени (как понять что авторизация произошла именно сейчас, а не записана загодя). Самое простое, но не слишком надёжное: хранить сигнатуры предыдущих авторизаций. Если подсовывают то же самое видео — просто его не принимать. Вряд ли кто-то будет загодя записывать кучу авторизаций. Или кодирование на основе данных о текущем времени или ещё как-то. Я вообще не специалист здесь и не говорю, что это технически возможно именно сейчас. Но при решении всех технических проблем — это был бы удобный способ отказаться от паролей и подтверждений по смс.
                                                                                        0
                                                                                        Как вариант: 'мы вам прислали на e-mail два абзаца текста, распечатайте первый 36-м кеглем на листе формата A4, затем включите камеру, одной рукой возьмите этот лист а другой — паспорт, убедитесь а затемголосом прочитайте второй абзац'.
                                                                                +3
                                                                                Биометрия может быть надежной только очно (как сейчас, например, через фото в паспорте). Любую биометрию, проводимую дистанционно можно перехватить и скомпрометировать. И в этом случае ее даже поменять нельзя, как пароль или ключевой файл.
                                                                                –5
                                                                                Целую статью посвятили тому, что некоторые люди тупые и отправляют коды подтверждения хуй пойми кому?
                                                                                  0
                                                                                  Не нервничайте вы так, расслабьтесь, дышите спокойно.
                                                                                  +2
                                                                                  Новый способ угона аккаунтов

                                                                                  Извините, но что нового в этом способе? По-моему, абсолютно ничего.
                                                                                  Обычная социальная инженерия.

                                                                                  С таким же успехом Вас могут попросить прислать копию паспорта, или скан отпечатков пальцев в любой соц. сети. В случае успеха, открывается куча способов угона ваших SIM-карт, денежных средств, и т.д. Если об этом еще не писали на Хабре, это ведь не значит, что способ новый?
                                                                                    0
                                                                                    Как-то пару лет назад мне в ВК пришло сообщение от одной знакомой из Питера. Главное, что странен был тот факт, что с ней я особо не общался и не общаюсь. Она просто как знакомая из Питера. И подобные сообщения в ВК были в том же стиле. Типа не могу получить смс, ща тебе перекинут, а ты скажи текст… короче, Пришло смс с текстом" Пароль от личного кабинета МТС") Ну я тут все и понял естественно !))
                                                                                      +1
                                                                                      От любого мошенничества или вирусного заражения (через спам) мне всегда помогает одно простое правило: если ты лично сам не просил предлагаемую услугу (или действие) — то вопрошающего надо игнорировать.
                                                                                      Но вот как заставить это правило запомнить родителей и других «чайников» — не знаю…
                                                                                        +1
                                                                                        Чтобы предотвратить нежелательные списания со счета номера телефона МТС, рекомендую подключить услугу «Запрет возврата части аванса». Это можно сделать только звонком в контактный центр 0890. Отключить услугу можно только в салоне связи визитом владельца номера с паспортом.
                                                                                        Эта услуга не позволит переводить деньги другим абонентам, а также защищает от некоторых типов подписок (zaycev.net и mp3party.net этим грешат).
                                                                                        Как уберечься от переадресаций СМС и звонков я не знаю.
                                                                                          0
                                                                                          Хорошая заметка! Вторым эффективным методом будет сидеть в кредитном лимите, МТС не даст никому ничего отправить, пока ему самому за связь должны)

                                                                                          Думаю здесь работает какой-то такой юридический момент: положительный баланс на счете это аванс и средства пользователя, хочу теряю, хочу нет, МТС это не должно волновать. А вот отрицательный, это прерогатива оператора, хочу даю в долг на услуги связи, хочу не даю на сомнительные операции переводов и платежи.
                                                                                          –1
                                                                                          МТС уведомляет старый номер жертвы о:
                                                                                          смене пароля,
                                                                                          входе в сервисы МТС,
                                                                                          подключении SMS переадресации и услуги SMS Pro.


                                                                                          И, разумеется, не требует никаких подтверждений?
                                                                                          Как это характерно для опсосов!
                                                                                            0
                                                                                            У нас же интерактивность и интернет 10.0?

                                                                                            Тогда вот суровая критика от Экслера:

                                                                                            www.exler.ru/blog/#strashilka-pro-ugon-akkauntov-cherez-kabinet-sotovogo-operatora
                                                                                              0
                                                                                              Ссылка кривая, вот правильная: www.exler.ru/blog/strashilka-pro-ugon-akkauntov-cherez-kabinet-sotovogo-operatora.htm

                                                                                              Спасибо, даже забавно, что до экслера долетело)
                                                                                                0

                                                                                                Дык, Экслер уже неоднократно на Хабр ссылался.


                                                                                                Читает он — только комментирует у себя. :)


                                                                                                P.S. Что вспомнилось — он тестирование водных фильтров у себя упоминал/обсуждал.

                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                            Самое читаемое