اليوم ، قبل ساعات قليلة ، اكتشفت طريقة جديدة للاحتيال بالنسبة لي: محاولة للوصول إلى الحساب الشخصي لمشغل خدمة الجوال الخاص بي.
محدث: ومع ذلك ، تمت إزالة كلمة "جديد" من الاسم ، وذلك بفضل النقد. لقد وضع الإجابات على نقاط النقد الرئيسية في النهاية بحيث لم تكن هناك حاجة لقراءة التعليقات.
أظهر بحث تشغيلي على الشبكة ، بالإضافة إلى دراسة استقصائية لمتخصصي تكنولوجيا المعلومات المألوفين ، أنه لم ير أي أحد بعد هذه الطريقة في العمل. عدم وجود المعرفة العامة ، فضلا عن عدم الوضوح لسكان جميع التهديدات باستخدام الوصول المستلم يجعلها أكثر خطورة.
انتباه! كُتب هذا المنشور لتحذير المجتمع من المخاطر المحتملة وشكل جديد من الاحتيال. تكرار الإجراءات الموضحة في المقالة مع أي حسابات أخرى غير حساباتهم يستتبع المسؤولية وفقًا لتشريعات الاتحاد الروسي.
الهدف الرئيسي من هذا المقال هو تقديم دائرة واسعة من المتخصصين والأفراد بسرعة إلى طريقة جديدة لاختطاف الحسابات من الخدمات التي يمكن أن يؤذن بها أو يستعيدها عبر الهاتف. سيكون من المفيد أيضًا الشروع في مناقشة هذه الطريقة وأشكالها بين المجتمع المتمرس ونشر المعلومات على نطاق أوسع. لذلك ، سأكون مختصراً ولا أدعي أن أكون تحليلًا شاملاً ؛ بل أريد أن أصف حالة معينة وأعرضها بضربات كبيرة من الاختلافات المحتملة في هذا المثال.
وصف الطريقة
- من خلال حساب VK مخترق (مثل أي شبكة أخرى أو رسول) ، "صديق قديم" (مهاجم) يقرع الضحية ويصف "مشكلة الهاتف الذي يتعذر الوصول إليه".
- يطلب "مساعدتي في الدخول إلى مكان ما" عن طريق تلقي رمز SMS ، لذلك يطلب منه إرسال رمز أو "شاشة".
- يتلقى الضحية رسالة نصية قصيرة تحتوي على رمز التأكيد للوصول لمرة واحدة إلى خدمات MTS.
- يستوفي الضحية الطلب ، وبالتالي يتيح الوصول إلى حساب MTS الشخصي الخاص به.
مثال على المراسلات الحقيقية:
بطبيعة الحال ، لم أرسل الشفرة إلى أي شخص ، لقد سحبت وقت المهاجم بطلبات مثل "الإرسال مرة أخرى ، لا تأتي الرسائل النصية القصيرة" أثناء اتصالي بصديقي وطلبت منه تغيير كلمة المرور بشكل عاجل واتخاذ إجراء. لسوء الحظ ، لم يكن من الممكن معرفة النسبة الدقيقة للضحايا من خلاله ، لأن لم يكن لدى الرجل المخترق أي خطط للذهاب إلى VK ، لكنه غيّر كلمة مروره بشكل عاجل وعاد إلى العمل ، لكن سؤالي كان "كم عدد الأشخاص الذين تم القبض عليهم" ، كان الجواب "ممتلئ!".
تحليل أولي للتهديدات و "الرعب"
أظهر مسح موجز لـ 9 سكان:
- في 4 حالات ، في تسلسل الإجراءات هذا ، لا يرون تهديدًا خطيرًا ،
- في الخامس ، يشعر بالقلق وهم مستعدون لمحاولة تحديد هوية "الصديق القديم".
تم التعبير عن التهديدات للوصول إلى حسابك الشخصي على النحو التالي:
- "شطب الأموال من حساب الهاتف" ،
- "توصيل الخدمات المدفوعة أو النشرات الإخبارية" ،
- "سوف يشطبون المال من بطاقة الإكمال التلقائي" ،
- "يمكنهم تحويل الأموال إلى هاتف آخر" ،
- "يمكنهم إعداد تحويل المكالمات وخداعهم"
- "يمكنهم إعداد إعادة توجيه الرسائل القصيرة وسرقة حسابات الخدمات الأخرى."
الفقرات 1.2 واضحة للجميع ، 3-4 ليست واضحة للأشخاص العاديين الذين شملهم الاستطلاع ، ولكنها واضحة للمستخدمين الأكثر خبرة ، ولكن الفقرات 5.6 واضحة فقط للأكثر خبرة. علم اثنان فقط بوجود بوابة دفع كاملة في الحساب الشخصي لـ MTS ، ولم يعلم أحد بإمكانية إرسال رقم 7 مباشرة من حساب MTS إلى أي بطاقة. لقد وجدت ذلك ، واستكشف الحساب الشخصي لـ MTS من أجل إيجاد طرق لتشغيل الوصول المستلم.
اختبار تشغيل الوصول المسروق في MTS LC
للتحقق ، أخذت الرقم الثاني ، وبسرعة كبيرة ، وفقًا لهذا المخطط ، دخلت الحساب الشخصي MTS وأعدت إعادة توجيه الاتصال.
تخطر MTS رقم الضحية القديم بما يلي:
- تغيير كلمة المرور
- دخول خدمات MTS ،
- ربط خدمات إعادة توجيه الرسائل النصية القصيرة SMS و SMS.
بعد ذلك ، يهدأ هاتف الضحية ويذهب كل شيء إلى الرقم الجديد.
ملاحظة: لا يؤدي إعداد إعادة التوجيه الصوتي إلى أي إخطارات من MTS ، ولكن دون جدوى.
بعد ذلك ، فقط باستخدام الهاتف الجديد ، نجحت في:
- قمت بإعادة شحن حساب هاتف آخر ،
- قمت بعمل تحويل مالي لحساب MTS ← بطاقة بنكية (عمولة 4.3 ٪ ، لكن ليس أقل من 60 روبل) ،
- استعاد الوصول إلى زوج من الحسابات على الشبكة ،
- تلقيت مكالمة صوتية بدلاً من الرسائل القصيرة ،
- طلب معاودة الاتصال من موقع المتجر ،
- دخل بنك الإنترنت وأرسل الأموال إلى بطاقة غير معروفة ، انظر أدناه.
في محاولة لاستعادة الوصول إلى بنوك الإنترنت الرئيسية (الأحمر والأخضر والأصفر) ، واجهتني الحاجة إلى توفير معلومات إضافية مثل كلمات المرور ولأرقام الاسترداد - أرقام الحسابات وأرقام البطاقات. هذا يعقد العملية قليلاً ، أو يتباطأ إلى حد ما ، لأنه إذا أرسل الضحية التفاصيل مرة واحدة على الأقل ، فمن السهل العثور على هذا في تاريخ المراسلات ، لأن الرسائل وتاريخها قد سُرقا بالفعل.
لذلك ، لقد دخلت بنجاح أحد البنوك وأرسلت بطاقة Card2Card. كانت المبالغ صغيرة ، ولم يكن لدى البنك أي أسئلة ، لكن في وقت سابق على المبالغ الكبيرة ، لا شيء أكثر تعقيدًا من البيانات الشخصية ، لم يتم طرحها مطلقًا.
وبالتالي ، أقيم مخاطر الخسارة المالية على أنها مرتفعة للغاية. خسارة مالية كبيرة ملموسة ، على الرغم من أنه في حالتي ، تم تسهيل المهمة من خلال البحث السهل عن التفاصيل في المراسلات ، لكنني أعتقد أنني لست الوحيد.
سوف أنهي رسالتي إلى المحرر مع تمنياتي باليقظة لك ولأحبائك.
تحديث 14.02.19 - إجابات على الأسئلة والنقد في التعليقات
في معظم الأحيان ، كانت تعليقات المعلقين على العنوان:
أين هي الطريقة الجديدة هنا؟ - في الجملة الأولى التي بررتها ، ولكن ليس بما فيه الكفاية ، فإن الكلمة الأصح هي "غير منتشرة" أو "غير معروفة" ، ومع ذلك ، فقد قمت عمومًا بإزالة هذه الكلمة. الجدة ، النسبية ، ليست في طلب مباشر للحصول على المال ، ولكن في طلب "غير مالي" ليس له صلة واضحة مباشرة بالخسائر المالية. هذا ندرة موضوعية - غالبًا ما يطلبون بغباء الحصول على قرض ، لكنني سأكون سعيدًا للتعرف على إحصاءات حقيقية. نشكرك على تفهمك للخبروفيين الذين أجابوا بالضبط في التعليقات أدناه.
وما هي الجملة من هذه السرقة؟ - في الواقع ، لم أشرح ، لأني ألوم ، أنا أصحح نفسي. تعني كلمة "Wholesale" ، في علامات اقتباس ، أن الهاتف نفسه يمكن أن يكون "العامل الثاني" للمصادقة ثنائية العوامل على العديد من الخدمات في وقت واحد ، ويمكن أن يؤدي الحصول على هذا الوصول إلى فقدان السيطرة على العديد من الحسابات في وقت واحد ، وكذلك إلى خسائر أخرى. لم أتمكن من التوصل إلى كلمة أفضل ، ولكن النقطة المهمة هي أن مفتاحًا واحدًا لا يمكن أن يفتح بابًا واحدًا واضحًا ، بل بابًا آخر ، وليس معروفًا أيهما.
دافع الغضب الشعبي الآخر:
الهندسة الاجتماعية العادية! لماذا هو على هابر؟ - إنه ، لكن الهندسة الاجتماعية فقط هي مصطلح واسع للغاية لا يقول أي شيء على وجه التحديد. ومع ذلك ، من الممكن إنشاء النظام بحيث لا تعمل خطط الاحتيال البسيطة للمستخدم ، وأن مخططات الاحتيال مختلفة ، ويجب أن يكون أي متخصص في تكنولوجيا المعلومات أو حارس أمن على دراية بإمكانية وجود عمليات إعادة توجيه ممكنة بطريقة غير قانونية. لذلك ، على المحور
أمثلة:
- ربط القدرة على الاستماع إلى كلمة التحقق أو رمز من المكالمة التلقائية؟
- ترك رقمًا رقميًا عند البوابة لتأكيد الرسائل القصيرة؟
نحن نعتبر أنه يمكننا السماح لـ "الزومبي" بالدخول إلى النظام. هذا ليس دائما واضحا. ربما بعد استعادة الوصول هذه ، من الضروري الحد حقًا من الحقوق أو طرح أسئلة توضيحية عند استعادة الوصول.
- هل نرسل أي معلومات سرية عبر الرسائل القصيرة أو طالب الاتصال؟
هناك خطر في الكشف عنها للمهاجمين أو ، على سبيل المثال ، الإجابة وفقًا للقانون الفيدرالي 152 بخصوص "إيفان إيفانوفيتش لديك قرض بدين مقابل هذا العدد الكبير من الروبل".
- هل يشكو الموظف من أنهم لا يتلقون رسائل نصية قصيرة من بوابة الشركة؟
نحن لا نرسله إلى الجحيم ، لكننا سنحقق في الموقف ، وربما ذهبت رسائله القصيرة "إلى اليسار".
بالإضافة إلى ذلك ، إذا تحدث ما لا يقل عن عشرة أشخاص مرة أخرى إلى دائرة قواعدهم في النموذج: "أي تحويلات أو أكواد ، فقط بعد الاتصال الشخصي ، حتى إذا لم يكن الأمر يتعلق بالمال على الإطلاق" ، فعندئذ لم أكن مكتومًا.
شكر خاص لـ
trublast على
habr.com/en/post/436774/#comment_19638396 و
tcapb1 لـ
habr.com/en/post/436774/#comment_19637462 ، حيث فهموا وطوروا أفكاري ،
وأحدثوا تهديدات وخيارات ممكنة.
في النهاية ، سأضيف إجابة إلى تعليقات مثل "وفقًا لتقديراتي ، فإن الأشخاص الذين يتمتعون بهذا المستوى من المصداقية ليس لديهم ما يسرقونه لفترة طويلة."
صحيح تمامًا ، لا يوجد عادة ما يسرق ، وهذه ميزة هامة أخرى يجب أن تأخذها أنظمة المعلومات وبروتوكولات الأمان وسياسات التفويض في الاعتبار. حقيقة أن الكثير من الناس يحاولون أن يكونوا طيبين ، طيبين ، يساعدون بعضهم البعض ، يخسرون أموالهم ، لكنهم يعملون في المؤسسات. إذا كان لدى شخص ما خطأ في الكمبيوتر ، وكنت بحاجة إلى إرسال خطاب على وجه السرعة - فسوف يسمحون لي بالدخول ، على الرغم من إمكانية وصولهم إلى مستوى مختلف تمامًا.
لا يزال أخصائي تكنولوجيا المعلومات العادي بجنون العظمة ، ولديه مستوى عالٍ من التفكير التجريدي ، ولديه القدرة على بناء سلاسل من التفكير وتقييم الاحتمالات بسرعة ، والاستماع إلى مخططات الخداع المختلفة. والشخص العادي مختلف تمامًا ، فهو بحاجة إلى حل مشكلات عمله بطريقة أسهل وأسرع لمساعدة نفسه وصديقه ، وبعد ذلك سوف يساعدك. قد يتمكن بعض اللودرات ، والكهربائيين ، والبريد السريع ، والمدير ، والأشخاص غير المتصلين باتصال دائم بمشكلات أمان المعلومات من الوصول إلى بيانات حساسة للغاية ، ومنتجات باهظة الثمن ولا يفهمون مطلقًا ما يمكن أن ينتهوه ، ومستوى المخاطرة وسعر الضرر المحتمل. وحتى إذا كانوا مذنبين بخسارة الملايين ، فلن يكون لديهم ما يأخذونه منهم بشكل عام. لذلك ، أعتقد أن من يحتاجون إلى تكنولوجيا المعلومات أن يضعوا في اعتبارهم جميع نقاط الضعف المحتملة لكل إيفان إيفانيتش ويأخذونها في الاعتبار في تصميم وصيانة نظم المعلومات للشركات ، وكذلك تثقيف الأصدقاء بطريقة أو بأخرى.