Metode pembajakan akun “secara massal” melalui mendapatkan akses ke layanan operator seluler

Hari ini, hanya beberapa jam yang lalu, saya menemukan metode penipuan baru untuk saya: upaya untuk mendapatkan akses ke akun pribadi operator seluler saya.

Pembaruan: Namun demikian, kata "baru" telah dihapus dari namanya, terima kasih atas kritiknya. Dia menempatkan jawaban pada poin-poin utama kritik di akhir sehingga tidak perlu membaca komentar.

Pencarian operasional di jaringan, serta survei terhadap spesialis TI yang dikenal, menunjukkan bahwa belum ada yang melihat metode ini dalam pekerjaan. Kurangnya pengetahuan publik, serta ketidakjelasan bagi penghuni semua ancaman menggunakan akses yang diperoleh, membuatnya lebih berbahaya.

Perhatian! Posting ini ditulis untuk memperingatkan masyarakat tentang bahaya potensial dan bentuk penipuan baru. Pengulangan tindakan yang dijelaskan dalam artikel dengan akun apa pun selain tanggung jawab mereka sendiri sesuai dengan undang-undang Federasi Rusia.

Tujuan utama artikel ini adalah untuk dengan cepat memperkenalkan lingkaran luas spesialis dan orang-orang ke cara baru pembajakan akun dari layanan yang dapat diotorisasi atau dipulihkan melalui telepon. Juga bermanfaat untuk memulai diskusi tentang metode ini dan variasinya di antara komunitas yang berpengalaman dan untuk menyebarkan informasi secara lebih luas. Oleh karena itu, saya akan singkat dan tidak berpura-pura menjadi analisis yang komprehensif, melainkan, saya ingin menggambarkan kasus tertentu dan menunjukkan dengan goresan besar kemungkinan variasi dari contoh ini.

Deskripsi Metode

1. Melalui akun VK yang diretas (seperti jaringan atau kurir lainnya), "teman lama" (penyerang) mengetuk korban dan menjelaskan "masalah telepon yang tidak dapat diakses".
2. Dia meminta "tolong aku masuk ke suatu tempat" dengan menerima kode SMS, untuk ini dia meminta untuk mengiriminya kode atau "layar."
3. Korban menerima SMS dengan kode konfirmasi untuk akses satu kali ke layanan MTS.
4. Korban memenuhi permintaan dan dengan demikian memberikan akses ke akun MTS pribadinya.

Contoh korespondensi nyata:



Secara alami, saya tidak mengirim kode kepada siapa pun, saya menarik waktu penyerang dengan permintaan seperti "kirim lagi, SMS tidak datang" sementara saya menelepon teman saya dan memintanya untuk segera mengubah kata sandi dan mengambil tindakan. Sayangnya, tidak mungkin untuk mengetahui persentase pasti korban melalui itu, karena orang yang diretas sama sekali tidak punya rencana untuk pergi ke VK, tetapi dia segera mengubah kata sandi dan kembali ke bisnis, tetapi pertanyaan saya adalah "berapa banyak orang yang tertangkap", jawabannya "penuh!".

Analisis awal ancaman dan persepsi "horor" mereka

Sebuah survei singkat terhadap 9 penduduk menunjukkan:

• dalam 4 kasus, dalam urutan tindakan ini mereka tidak melihat ancaman serius,
• Pada tanggal 5, dia terkejut dan mereka siap untuk mencoba mengidentifikasi identitas "teman lama".

Ancaman untuk mendapatkan akses ke akun pribadi Anda disuarakan sebagai berikut:

1. "Hapus uang dari akun telepon",
2. "Hubungkan layanan berbayar atau buletin",
3. "Mereka akan menghapus uang dari kartu pelengkapan otomatis",
4. "Mereka dapat mentransfer uang ke telepon lain",
5. "Mereka dapat mengatur penerusan panggilan dan menipu,"
6. "Mereka dapat mengatur penerusan SMS dan mencuri akun layanan lain."

Paragraf 1.2 jelas bagi semua orang, 3-4 tidak jelas bagi rata-rata orang yang disurvei, tetapi jelas bagi pengguna yang lebih berpengalaman, tetapi paragraf 5.6 hanya jelas bagi yang paling berpengalaman. Hanya dua yang tahu tentang keberadaan gerbang pembayaran keseluruhan di akun pribadi MTS, dan tidak ada yang tahu tentang kemungkinan # 7 mengirim uang langsung dari akun MTS ke kartu apa pun. Saya menemukannya, menjelajahi akun pribadi MTS untuk menemukan cara mengoperasikan akses yang diterima.

Uji operasi akses yang dicuri di MTS LC

Untuk verifikasi, saya mengambil nomor kedua dan, dengan cepat, sesuai dengan skema ini, memasukkan akun pribadi MTS dan mengatur penerusan panggilan.

MTS memberi tahu nomor lama korban:

• perubahan kata sandi
• memasuki layanan MTS,
• menghubungkan penerusan SMS dan layanan SMS Pro.

Setelah itu, telepon korban menjadi tenang dan semuanya berjalan ke nomor baru.

NB: Mengatur penerusan suara tidak menyebabkan pemberitahuan dari MTS, tetapi sia-sia.

Kemudian, hanya menggunakan telepon baru, saya berhasil:

• mengisi ulang akun telepon lain,
• membuat akun MTS transfer uang → kartu bank (komisi 4,3%, tetapi tidak kurang dari 60 rubel),
• mendapatkan kembali akses ke sepasang akun di jaringan,
• menerima cek panggilan audio bukan SMS,
• memesan panggilan balik dari situs web toko,
• memasuki bank Internet dan mengirim uang ke kartu yang tidak dikenal, lihat di bawah.

Mencoba mengembalikan akses ke bank Internet utama saya (merah, hijau, kuning), saya dihadapkan dengan kebutuhan untuk memberikan informasi tambahan seperti kata sandi, dan untuk pemulihan - nomor rekening dan nomor kartu. Ini sedikit mempersulit prosesnya, atau lebih tepatnya memperlambat, karena jika korban mengirim rincian setidaknya satu kali, maka ini mudah ditemukan dalam sejarah korespondensi, karena kurir dan sejarahnya telah dicuri.

Jadi, saya juga berhasil masuk ke salah satu bank dan mengirim transfer Card2Card. Jumlahnya kecil, bank tidak punya pertanyaan, tetapi sebelumnya dalam jumlah besar, tidak ada yang lebih rumit dari data pribadi, saya tidak pernah ditanya.

Jadi, saya menilai risiko kerugian finansial sangat tinggi. Kerugian finansial besar yang nyata, meskipun, dalam kasus saya, tugas itu difasilitasi oleh pencarian mudah untuk detail dalam korespondensi, tetapi saya pikir saya bukan satu-satunya.

Saya akan mengakhiri "surat saya kepada editor" dengan harapan untuk kewaspadaan kepada Anda dan orang yang Anda cintai.

Pembaruan 14.02.19 - jawaban atas pertanyaan dan kritik dalam komentar

Paling sering, komentar para komentator adalah judul:
Di mana jalan baru di sini? - dalam kalimat pertama yang saya benarkan, tetapi tidak cukup, kata yang lebih tepat adalah "tidak tersebar luas" atau "kurang dikenal", namun, saya umumnya menghapus kata ini. Kebaruan, relatif, tidak dalam permintaan langsung untuk uang, tetapi dalam permintaan yang bersifat "non-finansial" yang tidak memiliki hubungan langsung dengan kerugian finansial. Ini adalah kelangkaan obyektif - mereka sering meminta pinjaman dengan bodoh, tetapi saya dengan senang hati akan berkenalan dengan statistik nyata. Terima kasih atas pengertian Anda kepada para Khabrov yang menjawab persis sama di komentar di bawah.

Dan apa grosir pencurian tersebut? - memang, saya tidak menjelaskan, untuk menyalahkan, saya memperbaiki diri sendiri. "Grosir", dalam tanda kutip, berarti bahwa ponsel yang sama dapat menjadi "faktor kedua" otentikasi dua faktor pada banyak layanan sekaligus, dan mendapatkan akses tersebut dapat menyebabkan hilangnya kontrol untuk beberapa akun sekaligus, serta kerugian lainnya. Saya tidak dapat menghasilkan kata yang lebih baik, tetapi intinya adalah bahwa satu kunci dapat membuka bukan satu pintu yang jelas, tetapi beberapa, dan tidak diketahui yang mana.

Motif kemarahan populer lainnya:
Rekayasa sosial biasa! Mengapa ada di habr? - memang, tetapi hanya rekayasa sosial adalah istilah yang sangat luas yang tidak mengatakan apa pun secara spesifik. Namun, adalah mungkin untuk membangun sistem sehingga skema penipuan pengguna sederhana tidak berfungsi, dan skema penipuan semuanya berbeda, dan spesialis TI atau penjaga keamanan apa pun harus mengetahui kemungkinan keberadaan pengalihan yang diaktifkan secara ilegal. Oleh karena itu, di hub

Contoh:
- kencangkan kemampuan untuk mendengarkan captcha atau kode dari panggilan otomatis?
- Meninggalkan nomor digital di gateway untuk mengkonfirmasi SMS?
Kami menganggap bahwa kami dapat membiarkan "zombie" masuk ke dalam sistem. Ini tidak selalu jelas. Mungkin setelah pemulihan akses seperti itu perlu untuk benar-benar membatasi hak atau mengajukan pertanyaan klarifikasi ketika memulihkan akses.

- Apakah kita mengirim informasi rahasia melalui SMS atau dialer?
Ada risiko untuk mengungkapkannya kepada penyerang atau, misalnya, menjawab menurut Undang-Undang Federal 152 untuk "Ivan Ivanovich Anda memiliki hutang pinjaman untuk begitu banyak rubel."

- Apakah karyawan mengeluh bahwa mereka tidak menerima SMS dari portal perusahaan?
Kami tidak mengirimnya ke neraka, tetapi kami akan menyelidiki situasinya, mungkin SMS-nya pergi "ke kiri".

Selain itu, jika setidaknya selusin orang sekali lagi berbicara kepada lingkaran aturan mereka tentang bentuk: "setiap transfer atau kode, hanya setelah menelepon pribadi, bahkan jika itu bukan tentang uang sama sekali," maka saya tidak sia-sia menulis.

Terima kasih khusus kepada trublast untuk habr.com/en/post/436774/#comment_19638396 dan tcapb1 untuk habr.com/en/post/436774/#comment_19637462 , di mana mereka memahami dan mengembangkan pikiran saya, membawa kemungkinan ancaman dan opsi.

Pada akhirnya, saya akan menambahkan jawaban untuk komentar seperti "Menurut perkiraan saya, orang dengan tingkat kepercayaan seperti ini tidak akan mencuri untuk waktu yang lama."

Benar sekali, biasanya tidak ada yang bisa dicuri, dan ini adalah fitur penting yang harus diperhitungkan oleh sistem informasi, protokol keamanan, dan kebijakan otorisasi. Fakta bahwa banyak orang berusaha menjadi baik, baik hati, saling membantu, kehilangan uang, tetapi mereka bekerja di perusahaan. Jika seseorang memiliki bug komputer, dan Anda perlu segera mengirim surat - mereka akan membiarkan saya masuk, terlepas dari kenyataan bahwa mereka memiliki akses ke tingkat yang sama sekali berbeda.

Namun demikian, rata-rata spesialis IT agak paranoid, memiliki pemikiran abstrak tingkat tinggi, mampu dengan cepat membangun rantai penalaran dan menilai probabilitas, dan telah mendengar tentang berbagai skema penipuan. Dan rata-rata orang sama sekali berbeda, dia perlu menyelesaikan masalah pekerjaannya lebih mudah dan lebih cepat untuk membantu dirinya sendiri dan temannya, dan kemudian dia akan membantu Anda. Beberapa loader, tukang listrik, kurir, manajer, orang-orang yang tidak terhubung dengan kontak terus-menerus dengan masalah keamanan informasi mungkin memiliki akses ke data yang sangat sensitif, produk mahal dan tidak mengerti sama sekali apa yang sebenarnya dapat mereka langgar, tingkat risiko dan harga potensi kerusakan. Dan bahkan jika mereka bersalah atas kerugian jutaan, mereka tidak mengambil apa-apa dari mereka, secara umum. Oleh karena itu, saya percaya bahwa orang-orang TIlah yang perlu mengingat semua potensi kerentanan dari masing-masing Ivan Ivanitch dan memperhitungkannya dalam desain dan pemeliharaan sistem informasi perusahaan, serta mendidik teman-teman entah bagaimana.