Heute, vor wenigen Stunden, habe ich eine neue Betrugsmethode für mich entdeckt: den Versuch, auf das persönliche Konto meines Mobilfunkbetreibers zuzugreifen.
Upd: Trotzdem wurde das Wort "neu" aus dem Namen entfernt, danke für die Kritik. Am Ende platzierte er die Antworten auf die Hauptkritikpunkte, so dass die Kommentare nicht gelesen werden mussten.
Eine operative Suche im Netzwerk sowie eine Umfrage unter bekannten IT-Spezialisten zeigten, dass diese Methode noch niemand in der Arbeit gesehen hat. Der Mangel an öffentlichem Wissen sowie die Nicht-Offensichtlichkeit aller Bedrohungen durch die Nutzung des erhaltenen Zugangs für die Bewohner machen ihn gefährlicher.
Achtung! Dieser Beitrag wurde geschrieben, um die Community vor möglichen Gefahren und einer neuen Form von Betrug zu warnen. Die Wiederholung der im Artikel beschriebenen Maßnahmen mit anderen Konten als ihren eigenen beinhaltet die Verantwortung gemäß den Rechtsvorschriften der Russischen Föderation.
Das Hauptziel dieses Artikels ist es, einem breiten Kreis von Spezialisten und gerechten Personen schnell eine neue Methode zur Entführung von Konten von Diensten vorzustellen, die per Telefon autorisiert oder wiederhergestellt werden können. Es wird auch nützlich sein, eine Diskussion über diese Methode und ihre Unterschiede in der erfahrenen Community einzuleiten und Informationen in größerem Umfang zu verbreiten. Daher werde ich mich kurz fassen und nicht vorgeben, eine umfassende Analyse zu sein, sondern einen bestimmten Fall beschreiben und mögliche Variationen dieses Beispiels mit großen Strichen aufzeigen.
Methodenbeschreibung
- Über ein gehacktes VK-Konto (wie jedes andere Netzwerk oder jeder andere Messenger) klopft ein „alter Freund“ (ein Angreifer) an das Opfer und beschreibt das „Problem eines unzugänglichen Telefons“.
- Er bittet darum, "mir bei der Eingabe zu helfen", indem er einen SMS-Code erhält. Dazu bittet er ihn, ihm einen Code oder einen "Bildschirm" zu senden.
- Das Opfer erhält eine SMS mit einem Bestätigungscode für einen einmaligen Zugriff auf MTS-Dienste.
- Das Opfer erfüllt die Anfrage und gewährt dadurch Zugang zu seinem persönlichen MTS-Konto.
Beispiel für echte Korrespondenz:
Natürlich habe ich den Code an niemanden gesendet. Ich habe die Zeit des Angreifers mit Anfragen wie "Erneut senden, SMS kommt nicht" abgerufen, während ich meinen Freund anrief und ihn aufforderte, das Passwort dringend zu ändern und Maßnahmen zu ergreifen. Leider war es nicht möglich, den genauen Prozentsatz der Opfer dadurch herauszufinden, weil Der gehackte Mann hatte absolut keine Pläne, zu VK zu gehen, aber er änderte dringend sein Passwort und kehrte zum Geschäft zurück, aber meine Frage war "wie viele Leute erwischt wurden", die Antwort war "voll!".
Vorläufige Analyse von Bedrohungen und ihrem wahrgenommenen „Horror“
Eine kurze Umfrage unter 9 Einwohnern ergab:
- In 4 Fällen sehen sie in dieser Abfolge von Aktionen keine ernsthafte Bedrohung.
- Am 5. ist er alarmiert und sie sind bereit zu versuchen, die Identität des „alten Freundes“ zu identifizieren.
Drohungen, Zugang zu Ihrem persönlichen Konto zu erhalten, wurden wie folgt geäußert:
- "Schreiben Sie Geld vom Telefonkonto ab",
- "Verbinden Sie kostenpflichtige Dienste oder Newsletter",
- "Sie werden Geld von der Autocompletion-Karte abschreiben",
- "Sie können Geld auf ein anderes Telefon überweisen",
- "Sie können Anrufweiterleitung und Cheat einrichten"
- "Sie können eine SMS-Weiterleitung einrichten und Konten anderer Dienste stehlen."
Die Absätze 1.2 sind für alle offensichtlich, 3-4 sind für die durchschnittlich befragten Personen nicht offensichtlich, aber für erfahrene Benutzer offensichtlich, aber die Absätze 5.6 sind nur für die erfahrensten Benutzer offensichtlich. Nur zwei wussten von dem Vorhandensein eines ganzen Zahlungsgateways auf dem persönlichen MTS-Konto, und niemand wusste von der Möglichkeit, dass # 7 Geld direkt vom MTS-Konto auf eine Karte sendet. Ich habe es gefunden und das persönliche Konto von MTS untersucht, um Wege zu finden, um den erhaltenen Zugang zu bedienen.
Testen Sie den Betrieb des gestohlenen Zugriffs im MTS LC
Zur Überprüfung nahm ich die zweite Nummer und gab nach diesem Schema recht schnell das persönliche Konto von MTS ein und richtete die Anrufweiterleitung ein.
MTS teilt der alten Opfernummer Folgendes mit:
- Passwortänderung
- Eingabe von MTS-Diensten,
- Verbindung von SMS-Weiterleitung und SMS Pro-Diensten.
Danach beruhigt sich das Telefon des Opfers und alles geht an die neue Nummer.
NB: Das Einstellen der Sprachweiterleitung führt nicht zu Benachrichtigungen von MTS, sondern umsonst.
Dann, nur mit dem neuen Telefon, habe ich erfolgreich:
- ein anderes Telefonkonto aufgeladen hat,
- machte ein Geldtransfer-MTS-Konto → Bankkarte (Provision 4,3%, aber nicht weniger als 60 Rubel),
- wiedererlangten Zugriff auf zwei Konten im Netzwerk,
- erhielt eine Anruf-Audio-Prüfung anstelle von SMS,
- einen Rückruf von der Website des Geschäfts bestellt,
- betrat die Internetbank und schickte Geld auf eine unbekannte Karte, siehe unten.
Beim Versuch, den Zugriff auf meine wichtigsten Internetbanken (rot, grün, gelb) wiederherzustellen, musste ich zusätzliche Informationen wie Kennwörter sowie Informationen zur Wiederherstellung bereitstellen - Kontonummern und Kartennummern. Dies verkompliziert den Prozess ein wenig oder verlangsamt sich eher, denn wenn das Opfer mindestens einmal Details gesendet hat, ist dies in der Korrespondenzgeschichte leicht zu finden, da der Bote und seine Geschichte bereits gestohlen wurden.
Also habe ich auch erfolgreich eine der Banken betreten und eine Card2Card-Überweisung gesendet. Die Beträge waren klein, die Bank hatte keine Fragen, aber früher bei großen Beträgen, nichts komplizierter als persönliche Daten, wurde ich nie gefragt.
Daher schätze ich das Risiko eines finanziellen Verlusts als extrem hoch ein. Ein großer finanzieller Verlust als greifbar, obwohl in meinem Fall die Aufgabe durch eine einfache Suche nach Details in der Korrespondenz erleichtert wurde, aber ich denke, ich bin nicht der einzige.
Ich werde meinen „Brief an den Herausgeber“ mit dem Wunsch nach Wachsamkeit gegenüber Ihnen und Ihren Lieben beenden.
Upd 14.02.19 - Antworten auf Fragen und Kritik in den Kommentaren
Am häufigsten waren die Kommentare der Kommentatoren zum Titel:
Wo ist der neue Weg hier? - Im allerersten Satz habe ich gerechtfertigt, aber nicht genug, das korrektere Wort wäre "nicht weit verbreitet" oder "wenig bekannt". Ich habe dieses Wort jedoch im Allgemeinen entfernt. Neuheit, relativ, ist nicht in einer direkten Anfrage nach Geld, sondern in einer Anfrage "nichtfinanzieller Natur", die keinen direkten offensichtlichen Zusammenhang mit finanziellen Verlusten hat. Dies ist eine objektive Seltenheit - sie bitten oft dumm um einen Kredit, aber ich werde mich gerne mit echten Statistiken vertraut machen. Vielen Dank für Ihr Verständnis an die Chabroviten, die in den Kommentaren unten genau dasselbe geantwortet haben.
Und was ist der Großhandel mit einem solchen Diebstahl? - in der Tat habe ich nicht erklärt, schuld, ich korrigiere mich. "Großhandel" in Anführungszeichen bedeutet, dass dasselbe Telefon der "zweite Faktor" für die Zwei-Faktor-Authentifizierung bei vielen Diensten gleichzeitig sein kann. Ein solcher Zugriff kann zu einem Kontrollverlust für mehrere Konten gleichzeitig sowie zu anderen Verlusten führen. Ich könnte mir kein besseres Wort einfallen lassen, aber der Punkt ist, dass ein Schlüssel nicht eine offensichtliche Tür öffnen kann, sondern mehrere, und es ist nicht bekannt, welche.
Ein weiteres beliebtes Empörungsmotiv:
Gewöhnliches Social Engineering! Warum ist es auf einem Habr? - es ist, aber nur Social Engineering ist ein sehr weit gefasster Begriff, der nichts spezielles sagt. Es ist jedoch möglich, das System so aufzubauen, dass die Schemata des einfachen Benutzerbetrugs nicht funktionieren und die betrügerischen Schemata alle unterschiedlich sind. Jeder IT-Spezialist oder Sicherheitsbeamte muss sich der Möglichkeit des Vorhandenseins illegal aktivierter Weiterleitungen bewusst sein. Daher auf der Nabe
Beispiele:
- die Fähigkeit verbessern, das Captcha oder den Code des automatischen Anrufs anzuhören?
- eine digitale Nummer am Gateway zur Bestätigung von SMS hinterlassen?
Wir sind der Meinung, dass wir „Zombies“ in das System lassen können. Dies ist nicht immer offensichtlich. Möglicherweise ist es nach einer solchen Wiederherstellung des Zugriffs erforderlich, die Rechte wirklich einzuschränken oder bei der Wiederherstellung des Zugriffs klärende Fragen zu stellen.
- Senden wir vertrauliche Informationen per SMS oder Dialer?
Es besteht die Gefahr, dass es Angreifern offengelegt wird oder beispielsweise gemäß Bundesgesetz 152 für "Iwan Iwanowitsch, Sie haben eine Darlehensschuld gegenüber so und so vielen Rubel" antwortet.
- Beschwert sich der Mitarbeiter, dass er keine SMS vom Unternehmensportal erhält?
Wir schicken ihn nicht zur Hölle, aber wir werden die Situation untersuchen, vielleicht ist seine SMS "links" gegangen.
Wenn mindestens ein Dutzend Menschen noch einmal mit ihrem Regelkreis des Formulars sprechen: "Überweisungen oder Codes, nur nach persönlichem Telefonieren, auch wenn es überhaupt nicht um Geld geht", dann war ich nicht umsonst zu schreiben.
Besonderer Dank geht an
trublast für
habr.com/en/post/436774/#comment_19638396 und
tcapb1 für
habr.com/en/post/436774/#comment_19637462 , in dem sie meine Gedanken verstanden und weiterentwickelt haben und mögliche Bedrohungen und Optionen mit sich gebracht haben.
Am Ende werde ich eine Antwort auf Kommentare wie "Nach meinen Schätzungen haben Menschen mit dieser Glaubwürdigkeit lange Zeit nichts zu stehlen."
Ganz richtig, es gibt normalerweise nichts zu stehlen, und dies ist ein weiteres wichtiges Merkmal, das Informationssysteme, Sicherheitsprotokolle und Autorisierungsrichtlinien berücksichtigen sollten. Die Tatsache, dass viele Menschen versuchen, gut und freundlich zu sein, sich gegenseitig zu helfen, ihr Geld zu verlieren, aber in Unternehmen arbeiten. Wenn jemand einen Computerfehler hat und Sie dringend einen Brief senden müssen, lässt er mich herein, obwohl er Zugriff auf eine völlig andere Ebene hat.
Der durchschnittliche IT-Spezialist ist dennoch eher paranoid, hat ein hohes Maß an abstraktem Denken, kann schnell Argumentationsketten aufbauen und Wahrscheinlichkeiten bewerten und hat von verschiedenen Täuschungsschemata gehört. Und der Durchschnittsmensch ist völlig anders, er muss seine Arbeitsprobleme einfacher und schneller lösen, um sich selbst und seinem Freund zu helfen, und dann wird er Ihnen helfen. Einige Lader, Elektriker, Kuriere, Manager und Personen, die nicht in ständigem Kontakt mit Fragen der Informationssicherheit stehen, haben möglicherweise Zugriff auf sehr sensible Daten, teure Produkte und wissen überhaupt nicht, was genau sie verletzen können, wie hoch das Risiko ist und welchen Preis potenzielle Schäden verursachen. Und selbst wenn sie sich eines Verlustes von Millionen schuldig gemacht haben, haben sie im Allgemeinen nichts von ihnen zu nehmen. Daher glaube ich, dass es IT-Mitarbeiter sind, die alle potenziellen Schwachstellen jedes Ivan Ivanitch berücksichtigen und sie beim Entwurf und der Wartung von Unternehmensinformationssystemen berücksichtigen sowie Freunde irgendwie schulen müssen.