Hoy, hace solo unas horas, descubrí un nuevo método de fraude para mí: un intento de obtener acceso a la cuenta personal de mi operador de telefonía móvil.
Upd: Sin embargo, la palabra "nuevo" fue eliminada del nombre, gracias por las críticas. Al final, colocó las respuestas a los principales puntos de crítica para que no fuera necesario leer los comentarios.
Una búsqueda operativa en la red, así como una encuesta de especialistas de TI familiares, mostró que nadie ha visto este método en funcionamiento. La falta de conocimiento público, así como la no evidencia para los habitantes de todas las amenazas de usar el acceso obtenido, lo hacen más peligroso.
Atencion Esta publicación fue escrita para advertir a la comunidad sobre los peligros potenciales y una nueva forma de fraude. La repetición de las acciones descritas en el artículo con cualquier cuenta que no sea la suya conlleva responsabilidad de conformidad con la legislación de la Federación de Rusia.
El objetivo principal de este artículo es introducir rápidamente a un amplio círculo de especialistas y solo personas a una nueva forma de secuestrar cuentas de servicios que se pueden autorizar o restaurar por teléfono. También será útil iniciar una discusión sobre este método y sus variaciones entre la comunidad experimentada y difundir información más ampliamente. Por lo tanto, seré breve y no pretendo ser un análisis exhaustivo; más bien, quiero describir un caso específico y mostrar con grandes trazos las posibles variaciones de este ejemplo.
Descripción del método
- A través de una cuenta de VK pirateada (como cualquier otra red o mensajero), un "viejo amigo" (un atacante) llama a la víctima y describe el "problema de un teléfono inaccesible".
- Él pide "ayudarme a entrar en algún lugar" al recibir un código SMS, para esto le pide que le envíe un código o una "pantalla".
- La víctima recibe un SMS con un código de confirmación para acceder una vez a los servicios MTS.
- La víctima cumple con la solicitud y, por lo tanto, da acceso a su cuenta personal de MTS.
Ejemplo de correspondencia real:
Naturalmente, no envié el código a nadie, detuve el tiempo del atacante con solicitudes como "enviar de nuevo, SMS no llega" mientras llamaba a mi amigo y le pedía que cambiara la contraseña con urgencia y tomara medidas. Desafortunadamente, no fue posible averiguar el porcentaje exacto de víctimas a través de él, porque el hombre pirateado no tenía absolutamente ningún plan de ir a VK, pero cambió su contraseña con urgencia y volvió al negocio, pero mi pregunta fue "¿cuántas personas fueron atrapadas", la respuesta fue "completa!".
Análisis preliminar de las amenazas y su "horror" percibido.
Una breve encuesta de 9 habitantes mostró:
- en 4 casos, en esta secuencia de acciones no ven una amenaza grave,
- El día 5, está alarmado y están listos para tratar de identificar la identidad del "viejo amigo".
Las amenazas para obtener acceso a su cuenta personal se expresaron de la siguiente manera:
- "Descartar dinero de la cuenta telefónica",
- "Conectar servicios pagos o boletines informativos",
- "Ellos cancelarán el dinero de la tarjeta de autocompletado",
- "Pueden transferir dinero a otro teléfono",
- "Pueden configurar el desvío de llamadas y hacer trampa"
- "Pueden configurar el reenvío de SMS y robar cuentas de otros servicios".
Los párrafos 1.2 son obvios para todos, 3-4 no son obvios para la gente promedio encuestada, pero son obvios para los usuarios más experimentados, pero los párrafos 5.6 son obvios solo para los más experimentados. Solo dos sabían de la presencia de una pasarela de pago completa en la cuenta personal de MTS, y nadie sabía de la posibilidad de que # 7 enviara dinero directamente desde la cuenta de MTS a cualquier tarjeta. Lo encontré, explorando la cuenta personal de MTS para encontrar formas de operar el acceso recibido.
Prueba de operación de acceso robado en el MTS LC
Para la verificación, tomé el segundo número y, rápidamente, de acuerdo con este esquema, ingresé a la cuenta personal de MTS y configuré el desvío de llamadas.
MTS notifica al antiguo número de víctima de:
- cambio de contraseña
- entrando a los servicios MTS,
- conectar servicios de reenvío de SMS y SMS Pro.
Después de eso, el teléfono de la víctima se calma y todo pasa al nuevo número.
Nota: configurar el reenvío de voz no genera ninguna notificación de MTS, pero es en vano.
Entonces, solo usando el nuevo teléfono, con éxito:
- hizo una recarga de otra cuenta telefónica,
- realizó una transferencia de dinero en una cuenta MTS → tarjeta bancaria (comisión del 4.3%, pero no menos de 60 rublos),
- recuperó el acceso a un par de cuentas en la red,
- recibió una verificación de audio de llamada en lugar de SMS,
- ordenó una devolución de llamada del sitio web de la tienda,
- ingresó al banco de Internet y envió dinero a una tarjeta desconocida, ver más abajo.
Al intentar restablecer el acceso a mis bancos de Internet principales (rojo, verde, amarillo), me enfrenté a la necesidad de proporcionar información adicional, como contraseñas, y de recuperación: números de cuenta y números de tarjeta. Esto complica un poco el proceso, o más bien se ralentiza, porque si la víctima envió detalles al menos una vez, entonces es fácil de encontrar en el historial de correspondencia, porque el mensajero y su historial ya han sido robados.
Entonces, también ingresé con éxito a uno de los bancos y envié una transferencia Card2Card. Las cantidades eran pequeñas, el banco no tenía ninguna pregunta, pero antes de grandes cantidades, nada más complicado que los datos personales, nunca me preguntaron.
Por lo tanto, evalúo el riesgo de pérdida financiera como extremadamente alto. Una pérdida financiera importante como tangible, aunque, en mi caso, la tarea fue facilitada por una búsqueda fácil de detalles en la correspondencia, pero creo que no soy el único.
Terminaré mi "carta al editor" con un deseo de vigilancia para usted y sus seres queridos.
Upd 14.02.19 - respuestas a preguntas y críticas en los comentarios
Muy a menudo, los comentarios de los comentaristas fueron al título:
¿Dónde está la nueva forma aquí? - en la primera oración que justifiqué, pero no lo suficiente, la palabra más correcta sería "no generalizada" o "poco conocida", sin embargo, generalmente eliminé esta palabra. La novedad, relativa, no está en una solicitud directa de dinero, sino en una solicitud de "naturaleza no financiera" que no tiene una conexión obvia directa con las pérdidas financieras. Esta es una rareza objetiva: a menudo piden un préstamo estúpidamente, pero con gusto me familiarizaré con estadísticas reales. Gracias por su comprensión a los Khabrovitas que respondieron exactamente lo mismo en los comentarios a continuación.
¿Y cuál es la venta al por mayor de este robo? - De hecho, no expliqué, la culpa es que me estoy corrigiendo. "Mayorista", entre comillas, significa que el mismo teléfono puede ser el "segundo factor" de la autenticación de dos factores en muchos servicios a la vez, y obtener dicho acceso puede conducir a la pérdida de control de varias cuentas a la vez, así como a otras pérdidas. No podría encontrar una palabra mejor, pero el punto es que una llave puede abrir no una puerta obvia, sino varias, y no se sabe cuáles.
Otro motivo de indignación popular:
Ingeniería social ordinaria! ¿Por qué está en un habr? - Lo es, pero solo la ingeniería social es un término muy amplio que no dice nada específicamente. Sin embargo, es posible construir el sistema para que los esquemas de fraude simple del usuario no funcionen, y los esquemas fraudulentos sean todos diferentes, y cualquier especialista de TI o guardia de seguridad debe ser consciente de la posibilidad de la existencia de redireccionamientos habilitados ilegalmente. Por lo tanto, en el centro
Ejemplos:
- Fijar la capacidad de escuchar el captcha o el código de la llamada automática?
- dejó un número digital en la puerta de enlace para confirmar SMS?
Consideramos que podemos dejar entrar "zombies" en el sistema. Esto no siempre es obvio. Quizás después de tal restauración del acceso es necesario limitar realmente los derechos o hacer preguntas aclaratorias al restaurar el acceso.
- ¿Estamos enviando información confidencial por SMS o marcador?
Existe el riesgo de revelarlo a los atacantes o, por ejemplo, responder de acuerdo con la Ley Federal 152 para "Ivan Ivanovich tiene una deuda de préstamo con tal y tal cantidad de rublos".
- ¿Se queja el empleado de que no recibe SMS del portal corporativo?
No lo enviamos al infierno, pero investigaremos la situación, tal vez sus mensajes SMS fueron "a la izquierda".
Además, si al menos una docena de personas vuelven a hablar con su círculo de reglas de la forma: "cualquier transferencia o código, solo después de una llamada personal, incluso si no se trata de dinero en absoluto", entonces no escribí en vano.
Un agradecimiento especial a
trublast por
habr.com/en/post/436774/#comment_19638396 y
tcapb1 por
habr.com/en/post/436774/#comment_19637462 , en el que entendieron y desarrollaron mis pensamientos, trajeron posibles amenazas y opciones.
Al final, agregaré una respuesta a comentarios como "Según mis estimaciones, las personas con este nivel de credulidad no tienen nada que robar durante mucho tiempo".
Muy bien, generalmente no hay nada que robar, y esta es otra característica importante que los sistemas de información, los protocolos de seguridad y las políticas de autorización deben tener en cuenta. El hecho de que muchas personas intenten ser buenas, amables, ayudarse mutuamente, perder su dinero, pero trabajan en empresas. Si alguien tiene un error informático y necesita enviar una carta con urgencia, me dejarán entrar, a pesar de que tienen acceso a un nivel completamente diferente.
El especialista de TI promedio todavía es bastante paranoico, tiene un alto nivel de pensamiento abstracto, es capaz de construir rápidamente cadenas de razonamiento y evaluar probabilidades, y escuchar rumores sobre varios esquemas de engaño. Y la persona promedio es completamente diferente, necesita resolver sus problemas de trabajo más fácil y más rápido para ayudarse a sí mismo y a su amigo, y luego lo ayudará a usted. Algunos cargadores, electricistas, mensajeros, gerentes, personas que no están conectadas con el contacto constante con problemas de seguridad de la información pueden tener acceso a datos muy sensibles, productos caros y no entienden en absoluto qué es exactamente lo que pueden violar, el nivel de riesgo y el precio del daño potencial. E incluso si son culpables de una pérdida de millones, en general no tienen nada que quitarles. Por lo tanto, creo que son las personas de TI las que deben tener en cuenta todas las vulnerabilidades potenciales de cada Ivan Ivanich y tenerlas en cuenta en el diseño y mantenimiento de los sistemas de información de las empresas, así como educar a los amigos de alguna manera.