Главная » Хабрахабр » [Из песочницы] Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи

[Из песочницы] Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи

Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.

Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе.

Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Внимание! Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.

Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.

Описание способа

  1. Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
  2. Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
  3. Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
  4. Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.

Пример реальной переписки:

К сожалению, выяснить точный процент жертв через него не удалось, т.к. Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».

Предварительный анализ угроз и их ощущаемой «ужасности»

Краткий опрос 9 обывателей показал:

  • в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
  • 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».

Угрозы получения доступа к личному кабинету были озвучены такие:

  1. «спишут деньги со счета телефона»,
  2. «подключат услуги платные или рассылки»,
  3. «спишут деньги с карты автопополнения»,
  4. «могут перевести деньги на другой телефон»,
  5. «могут настроить переадресацию звонков и мошенничать»,
  6. «могут настроить переадресацию СМС и угонять аккаунты других сервисов».

Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.

Тестовая эксплуатация угнанного доступа в ЛК МТС

Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.

МТС уведомляет старый номер жертвы о:

  • смене пароля,
  • входе в сервисы МТС,
  • подключении SMS переадресации и услуги SMS Pro.

После этого телефон жертвы утихает и все идет на новый номер.

NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.

Затем, только с помощью нового телефона, я удачно:

  • совершил пополнение другого счета телефона,
  • сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
  • восстановил доступ к паре аккаунтов в сети,
  • принял звонок-аудиопроверку вместо СМС,
  • заказал обратный звонок с сайта магазина,
  • вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали. Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card.

А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой. Таким образом, я оцениваю риск финансовых потерь как крайне высокий.

Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности

Изображение: Unsplash А в некоторых случаях таких новых уязвимостей оказывается больше одной. Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. Как всегда происходит при поиске уязвимостей, даже если ...

Быстрорастворимое проектирование

Люди учатся архитектуре по старым книжкам, которые писались для Java. Книжки хорошие, но дают решение задач того времени инструментами того времени. Время поменялось, C# уже больше похож на лайтовую Scala, чем Java, а новых хороших книжек мало. Увидим обзор типовых ...