Geekly articles weekly

La méthode de détournement de comptes "en vrac" en accédant aux services d'un opérateur mobile

Aujourd'hui, il y a quelques heures à peine, j'ai découvert pour moi une nouvelle méthode de fraude: une tentative d'accès au compte personnel de mon opérateur mobile.

Upd: Néanmoins, le mot «nouveau» a été supprimé du nom, merci pour la critique. Il a placé les réponses aux principaux points de critique à la fin de sorte qu'il n'était pas nécessaire de lire les commentaires.

Une recherche opérationnelle sur le réseau, ainsi qu'une enquête auprès de spécialistes informatiques familiers, ont montré que personne n'avait encore vu cette méthode fonctionner. Le manque de connaissance du public, ainsi que la non-évidence pour les habitants de toutes les menaces d'utilisation de l'accès reçu le rendent plus dangereux.
Attention! Ce message a été écrit pour avertir la communauté des dangers potentiels et d'une nouvelle forme de fraude. La répétition des actions décrites dans l'article avec des comptes autres que les leurs engage sa responsabilité conformément à la législation de la Fédération de Russie.
L'objectif principal de cet article est d'introduire rapidement un large cercle de spécialistes et uniquement de personnes à une nouvelle façon de détourner des comptes de services qui peuvent être autorisés ou restaurés par téléphone. Il sera également utile d'entamer une discussion sur cette méthode et ses variations parmi la communauté expérimentée et de diffuser l'information plus largement. Par conséquent, je serai bref et ne prétend pas être une analyse complète; je veux plutôt décrire un cas spécifique et montrer à grands traits les variations possibles de cet exemple.

Description de la méthode


  1. Grâce à un compte VK piraté (comme tout autre réseau ou messager), un «vieil ami» (un attaquant) frappe la victime et décrit le «problème d'un téléphone inaccessible».
  2. Il demande de "m'aider à entrer quelque part" en recevant un code SMS, pour cela il demande de lui envoyer un code ou un "écran".
  3. La victime reçoit un SMS avec un code de confirmation pour un accès unique aux services MTS.
  4. La victime répond à la demande et donne ainsi accès à son compte MTS personnel.

Exemple de correspondance réelle:



Naturellement, je n'ai envoyé le code à personne, j'ai tiré le temps de l'attaquant avec des demandes comme "envoyer à nouveau, les SMS ne viennent pas" pendant que j'appelais mon ami et lui demandais de changer d'urgence le mot de passe et de prendre des mesures. Malheureusement, il n'a pas été possible de connaître le pourcentage exact de victimes à travers elle, car l'homme piraté n'avait absolument pas l'intention d'aller à VK, mais il a changé d'urgence son mot de passe et est retourné aux affaires, mais ma question était "combien de personnes ont été prises", la réponse était "complète!".

Analyse préliminaire des menaces et de leur «horreur» perçue


Une brève enquête auprès de 9 habitants a montré:

  • dans 4 cas, dans cette séquence d'actions ils ne voient pas de menace sérieuse,
  • Le 5, il est alarmé et ils sont prêts à essayer d'identifier l'identité du «vieil ami».

Les menaces pour accéder à votre compte personnel ont été exprimées comme suit:

  1. "Annuler l'argent du compte de téléphone",
  2. «Connecter des services payants ou des newsletters»,
  3. "Ils vont radier l'argent de la carte de saisie semi-automatique",
  4. "Ils peuvent transférer de l'argent sur un autre téléphone",
  5. "Ils peuvent configurer le transfert d'appel et tricher",
  6. "Ils peuvent configurer le transfert de SMS et voler des comptes d'autres services."

Les paragraphes 1.2 sont évidents pour tout le monde, 3-4 ne sont pas évidents pour la moyenne des personnes interrogées, mais évidents pour les utilisateurs plus expérimentés, mais les paragraphes 5.6 ne sont évidents que pour les plus expérimentés. Seuls deux connaissaient la présence d'une passerelle de paiement complète dans le compte personnel de MTS, et personne ne connaissait la possibilité d'envoyer # 7 de l'argent directement du compte MTS vers n'importe quelle carte. Je l'ai trouvé, en explorant le compte personnel de MTS afin de trouver des moyens de gérer l'accès reçu.

Tester le fonctionnement d'un accès volé dans le MTS LC


Pour vérification, j'ai pris le deuxième numéro et, assez rapidement, selon ce schéma, j'ai entré le compte personnel MTS et mis en place le transfert d'appel.

MTS notifie l'ancien numéro de victime:

  • changement de mot de passe
  • entrer dans les services MTS,
  • connexion des services de transfert SMS et SMS Pro.

Après cela, le téléphone de la victime se calme et tout passe au nouveau numéro.

NB: La définition du transfert vocal n'entraîne aucune notification de la part de MTS, mais en vain.

Ensuite, en utilisant uniquement le nouveau téléphone, j'ai réussi:

  • rechargé un autre compte de téléphone,
  • fait un compte MTS de transfert d'argent → carte bancaire (commission de 4,3%, mais pas moins de 60 roubles),
  • retrouvé l'accès à une paire de comptes sur le réseau,
  • reçu un chèque d'appel audio au lieu d'un SMS,
  • commandé un rappel sur le site Web du magasin,
  • entré dans la banque Internet et envoyé de l'argent sur une carte inconnue, voir ci-dessous.

En essayant de restaurer l'accès à mes principales banques Internet (rouges, vertes, jaunes), j'ai été confronté à la nécessité de fournir des informations supplémentaires telles que les mots de passe et pour la récupération - les numéros de compte et les numéros de carte. Cela complique un peu le processus, ou plutôt ralentit, car si la victime a envoyé des détails au moins une fois, il est facile de trouver dans l'historique de la correspondance, car le messager et son historique ont déjà été volés.

J'ai donc réussi à entrer dans l'une des banques et à envoyer un virement Card2Card. Les montants étaient petits, la banque n'avait pas de questions, mais plus tôt sur les gros montants, rien de plus compliqué que les données personnelles, on ne m'a jamais demandé.

Ainsi, j'estime que le risque de perte financière est extrêmement élevé. Une perte financière majeure aussi tangible, même si, dans mon cas, la tâche a été facilitée par une recherche aisée des détails dans la correspondance, mais je pense que je ne suis pas le seul.

Je terminerai ma «lettre au rédacteur en chef» par un souhait de vigilance à vous et à vos proches.

Upd 14.02.19 - réponses aux questions et critiques dans les commentaires


Le plus souvent, les commentaires des commentateurs portaient sur le titre:
Où est la nouvelle voie ici? - dans la toute première phrase que j'ai justifiée, mais pas assez, le mot le plus correct serait "peu répandu" ou "peu connu", cependant, j'ai généralement supprimé ce mot. La nouveauté, relative, n'est pas dans une demande directe d'argent, mais dans une demande de "nature non financière" qui n'a pas de lien évident direct avec les pertes financières. C'est une rareté objective - ils demandent souvent bêtement un prêt, mais je me ferai un plaisir de me familiariser avec de vraies statistiques. Merci de votre compréhension aux Khabrovites qui ont répondu exactement la même chose dans les commentaires ci-dessous.

Et quelle est la vente en gros d'un tel vol? - en effet, je n'ai pas expliqué, à blâmer, je me corrige. «Commerce de gros», entre guillemets, signifie que le même téléphone peut être le «deuxième facteur» d'authentification à deux facteurs sur de nombreux services à la fois, et obtenir un tel accès peut entraîner une perte de contrôle pour plusieurs comptes à la fois, ainsi que d'autres pertes. Je ne pourrais pas trouver un meilleur mot, mais le fait est qu’une seule clé peut ouvrir non pas une porte évidente, mais plusieurs, et on ne sait pas lesquelles.

Un autre motif d'indignation populaire:
Ingénierie sociale ordinaire! Pourquoi est-ce sur un habr? - ça l'est, mais seule l'ingénierie sociale est un terme très large qui ne dit rien de précis. Cependant, il est possible de construire le système de sorte que les schémas de fraude simple des utilisateurs ne fonctionnent pas, et les schémas frauduleux sont tous différents, et tout spécialiste informatique ou gardien de sécurité doit être conscient de la possibilité de l'existence de redirections activées illégalement. Par conséquent, sur le hub

Exemples:
- accélérer la capacité d'écouter le captcha ou le code de l'appel automatique?
- laissé un numéro numérique à la passerelle pour confirmer le SMS?
Nous considérons que nous pouvons laisser des «zombies» dans le système. Ce n'est pas toujours évident. Peut-être qu'après une telle restauration de l'accès, il est nécessaire de vraiment limiter les droits ou de poser des questions de clarification lors de la restauration de l'accès.

- Envoyons-nous des informations confidentielles par SMS ou par numéroteur?
Il y a un risque de le divulguer aux attaquants ou, par exemple, de répondre selon la loi fédérale 152 pour "Ivan Ivanovich, vous avez une dette de prêt à tel ou tel tant de roubles."

- L'employé se plaint-il de ne pas recevoir de SMS du portail d'entreprise?
Nous ne l’envoyons pas en enfer, mais nous allons enquêter sur la situation, peut-être que ses SMS sont allés «à gauche».

De plus, si au moins une douzaine de personnes parlent encore une fois à leur cercle de règles du formulaire: "tous transferts ou codes, seulement après avoir téléphoné personnellement, même s'il ne s'agit pas d'argent du tout", alors je n'ai pas été en vain à écrire.

Un merci spécial à trublast pour habr.com/en/post/436774/#comment_19638396 et tcapb1 pour habr.com/en/post/436774/#comment_19637462 , dans lesquels ils ont compris et développé mes pensées, ont apporté des menaces et des options possibles.

Au final, j’ajouterai une réponse à des commentaires comme «Selon mes estimations, les gens avec ce niveau de crédulité n’ont rien à voler depuis longtemps.»

Tout à fait raison, il n'y a généralement rien à voler, et c'est une autre caractéristique importante que les systèmes d'information, les protocoles de sécurité et les politiques d'autorisation devraient prendre en compte. Le fait que beaucoup de gens essaient d'être bons, gentils, de s'entraider, de perdre leur argent, mais ils travaillent dans des entreprises. Si quelqu'un a un bug informatique et que vous devez envoyer une lettre de toute urgence - il me laissera entrer, malgré le fait qu'il ait accès à un niveau complètement différent.

Le spécialiste informatique moyen est encore assez paranoïaque, a un haut niveau de pensée abstraite, est capable de construire rapidement des chaînes de raisonnement et d'évaluer les probabilités, et des rumeurs sur divers schémas de tromperie. Et la personne moyenne est complètement différente, elle doit résoudre ses problèmes de travail plus facilement et plus rapidement pour s'aider elle-même et son ami, puis il vous aidera. Certains chargeurs, électriciens, coursiers, gestionnaires, personnes qui ne sont pas en contact permanent avec des problèmes de sécurité des informations peuvent avoir accès à des données très sensibles, à des produits coûteux et ne comprennent pas du tout ce qu'ils peuvent exactement violer, le niveau de risque et le prix des dommages potentiels. Et même s'ils sont coupables d'une perte de millions, ils n'ont rien à leur retirer, en général. Par conséquent, je pense que ce sont les informaticiens qui doivent garder à l'esprit toutes les vulnérabilités potentielles de chaque Ivan Ivanich et les prendre en compte dans la conception et la maintenance des systèmes d'information des entreprises, ainsi que dans la formation de leurs amis.

Source: https://habr.com/ru/post/fr436774/

More articles:


All Articles