O método de seqüestrar contas "em massa" por meio do acesso aos serviços de uma operadora de celular

Hoje, há poucas horas, descobri um novo método de fraude para mim: uma tentativa de obter acesso à conta pessoal da minha operadora de celular.

Upd: No entanto, a palavra "novo" foi removida do nome, obrigado pelas críticas. Ele colocou as respostas para os principais pontos de crítica no final, para que não houvesse necessidade de ler os comentários.

Uma pesquisa operacional na rede, bem como uma pesquisa com especialistas familiares de TI, mostraram que ninguém ainda viu esse método em funcionamento. A falta de conhecimento público, bem como a não-obviedade para os habitantes de todas as ameaças de usar o acesso obtido, o tornam mais perigoso.

Atenção! Este post foi escrito para alertar a comunidade sobre os perigos em potencial e uma nova forma de fraude. A repetição das ações descritas no artigo com outras contas que não sejam próprias implica responsabilidade de acordo com a legislação da Federação Russa.

O principal objetivo deste artigo é apresentar rapidamente um amplo círculo de especialistas e apenas as pessoas a uma nova maneira de invadir contas de serviços que podem ser autorizados ou restaurados por telefone. Também será útil iniciar uma discussão sobre esse método e suas variações entre a comunidade experiente e disseminar informações mais amplamente. Portanto, serei breve e não pretendo ser uma análise abrangente; quero descrever um caso específico e mostrar com grandes traços possíveis variações deste exemplo.

Descrição do método

1. Através de uma conta VK invadida (como qualquer outra rede ou mensageiro), um “velho amigo” (um invasor) bate na vítima e descreve o “problema de um telefone inacessível”.
2. Ele pede para "me ajudar a entrar em algum lugar" recebendo um código SMS, para isso ele pede para enviar um código ou uma "tela".
3. A vítima recebe um SMS com um código de confirmação para acesso único aos serviços MTS.
4. A vítima atende à solicitação e, assim, dá acesso à sua conta MTS pessoal.

Exemplo de correspondência real:



Naturalmente, eu não enviei o código a ninguém, estiquei a hora do invasor com pedidos como "enviar novamente, o SMS não chega" enquanto liguei para meu amigo e pedi que ele alterasse a senha com urgência e agisse. Infelizmente, não foi possível descobrir a porcentagem exata de vítimas através dele, porque o hacker não tinha absolutamente nenhum plano de ir para a VK, mas ele mudou sua senha com urgência e voltou aos negócios, mas a minha pergunta era "quantas pessoas foram apanhadas", a resposta estava "cheia!".

Análise preliminar de ameaças e seu "horror" percebido

Uma breve pesquisa com 9 habitantes mostrou:

• em 4 casos, nessa sequência de ações, eles não veem uma ameaça séria,
• No dia 5, ele está alarmado e eles estão prontos para tentar identificar a identidade do “velho amigo”.

As ameaças para obter acesso à sua conta pessoal foram expressas da seguinte forma:

1. "Baixa o dinheiro da conta telefônica",
2. "Conectar serviços pagos ou boletins",
3. "Eles baixarão o dinheiro do cartão de preenchimento automático",
4. "Eles podem transferir dinheiro para outro telefone",
5. "Eles podem configurar o encaminhamento de chamadas e trapacear"
6. "Eles podem configurar o encaminhamento de SMS e roubar contas de outros serviços".

Os parágrafos 1.2 são óbvios para todos, 3-4 não são óbvios para as pessoas comuns pesquisadas, mas óbvios para usuários mais experientes, mas os parágrafos 5.6 são óbvios apenas para os mais experientes. Apenas dois sabiam da presença de um gateway de pagamento completo na conta pessoal do MTS e ninguém sabia da possibilidade de # 7 enviar dinheiro diretamente da conta do MTS para qualquer cartão. Eu o encontrei, explorando a conta pessoal do MTS para encontrar maneiras de operar o acesso recebido.

Teste a operação do acesso roubado no MTS LC

Para verificação, peguei o segundo número e, rapidamente, de acordo com esse esquema, entrei na conta pessoal do MTS e configurei o encaminhamento de chamadas.

O MTS notifica o número antigo da vítima de:

• alteração de senha
• entrando nos serviços MTS,
• conexão de encaminhamento de SMS e serviços SMS Pro.

Depois disso, o telefone da vítima se acalma e tudo passa para o novo número.

OBS: A configuração do encaminhamento de voz não leva a nenhuma notificação do MTS, mas em vão.

Então, usando apenas o novo telefone, consegui:

• fez uma recarga de outra conta de telefone,
• fez uma conta MTS para transferência de dinheiro → cartão bancário (comissão de 4,3%, mas não menos de 60 rublos),
• recuperou o acesso a um par de contas na rede,
• recebeu uma verificação de áudio de chamada em vez de SMS,
• solicitou um retorno de chamada no site da loja,
• entrou no banco da Internet e enviou dinheiro para um cartão desconhecido, veja abaixo.

Tentando restaurar o acesso aos meus principais bancos da Internet (vermelho, verde, amarelo), fui confrontado com a necessidade de fornecer informações adicionais, como senhas, e de recuperação - números e cartões de contas. Isso complica um pouco o processo, ou é mais lento, porque se a vítima enviou detalhes pelo menos uma vez, é fácil encontrá-lo no histórico de correspondência, porque o mensageiro e seu histórico já foram roubados.

Então, eu também entrei com sucesso em um dos bancos e enviei uma transferência Card2Card. Os valores eram pequenos, o banco não tinha perguntas, mas antes, em grandes quantidades, nada mais complicado que dados pessoais, nunca me perguntaram.

Portanto, avalio o risco de perda financeira como extremamente alto. Uma grande perda financeira como tangível, embora, no meu caso, a tarefa tenha sido facilitada por uma fácil busca de detalhes na correspondência, mas acho que não sou o único.

Terminarei minha “carta ao editor” com um desejo de vigilância para você e seus entes queridos.

Upd 14.02.19 - respostas a perguntas e críticas nos comentários

Na maioria das vezes, os comentários dos comentaristas foram para o título:
Onde está o novo caminho aqui? - na primeira frase que justifiquei, mas não o suficiente, a palavra mais correta seria “não difundida” ou “pouco conhecida”; no entanto, geralmente removi essa palavra. A novidade, relativa, não está em uma solicitação direta de dinheiro, mas em uma solicitação de "natureza não financeira" que não tem uma conexão óbvia direta com perdas financeiras. Essa é uma raridade objetiva - eles costumam pedir estupidamente um empréstimo, mas terei prazer em me familiarizar com estatísticas reais. Agradecemos sua compreensão aos khabrovitas que responderam exatamente da mesma forma nos comentários abaixo.

E qual é o atacado desses roubos? - na verdade, não expliquei, para culpar, estou me corrigindo. "Atacado", entre aspas, significa que o mesmo telefone pode ser o "segundo fator" da autenticação de dois fatores em muitos serviços ao mesmo tempo, e obter esse acesso pode levar à perda de controle de várias contas ao mesmo tempo, bem como a outras perdas. Não consegui encontrar uma palavra melhor, mas o ponto é que uma chave pode abrir não uma porta óbvia, mas várias, e não se sabe quais.

Outro motivo popular de indignação:
Engenharia social comum! Por que está em um habr? - é, mas apenas engenharia social é um termo muito amplo que não diz nada especificamente. No entanto, é possível criar o sistema para que os esquemas de fraude simples de usuário não funcionem e os esquemas fraudulentos sejam todos diferentes, e qualquer especialista em TI ou segurança deve estar ciente da possibilidade da existência de redirecionamentos ativados ilegalmente. Portanto, no hub

Exemplos:
- aumenta a capacidade de ouvir o captcha ou o código da chamada automática?
- deixou um número digital no gateway para confirmar o SMS?
Consideramos que podemos deixar "zumbis" entrar no sistema. Isso nem sempre é óbvio. Talvez após essa restauração do acesso seja necessário realmente limitar os direitos ou fazer perguntas esclarecedoras ao restaurar o acesso.

- Estamos enviando alguma informação confidencial via SMS ou discador?
Existe o risco de divulgá-lo aos agressores ou, por exemplo, responder de acordo com a Lei Federal 152 para "Ivan Ivanovich, você tem uma dívida de empréstimo com tantos rublos".

- O funcionário reclama que não recebeu SMS do portal corporativo?
Não o mandamos para o inferno, mas vamos investigar a situação, talvez suas mensagens SMS tenham sido "para a esquerda".

Além disso, se pelo menos uma dúzia de pessoas falar novamente com seu círculo de regras da forma: "quaisquer transferências ou códigos, somente após telefonemas pessoais, mesmo que não se trate apenas de dinheiro", então eu não fui em vão.

Agradecimentos especiais a trublast por habr.com/en/post/436774/#comment_19638396 e tcapb1 por habr.com/en/post/436774/#comment_19637462 , nos quais eles entenderam e desenvolveram meus pensamentos, trouxeram possíveis ameaças e opções.

No final, adicionarei uma resposta a comentários como "De acordo com minhas estimativas, pessoas com esse nível de credulidade não têm nada a roubar por muito tempo".

Muito bem, geralmente não há nada a roubar, e esse é outro recurso importante que os sistemas de informação, protocolos de segurança e políticas de autorização devem levar em consideração. O fato de muitas pessoas tentarem ser boas, gentis, ajudarem-se mutuamente, perderem seu dinheiro, mas trabalham em empresas. Se alguém tiver um bug no computador e você precisar enviar urgentemente uma carta - eles me deixarão entrar, apesar de terem acesso a um nível completamente diferente.

O especialista médio em TI é, no entanto, bastante paranóico, possui um alto nível de pensamento abstrato, é capaz de construir rapidamente cadeias de raciocínio e avaliar probabilidades, e já ouviu falar sobre vários esquemas de fraude. E a pessoa comum é completamente diferente, ele precisa resolver seus problemas de trabalho com mais facilidade e rapidez para ajudar a si e a seu amigo, e então ele o ajudará. Alguns carregadores, eletricistas, mensageiros, gerentes, pessoas que não estão conectadas com o contato constante com questões de segurança da informação podem ter acesso a dados muito sensíveis, produtos caros e não entendem o que exatamente eles podem violar, o nível de risco e o preço de possíveis danos. E mesmo se eles são culpados de uma perda de milhões, eles não têm nada para tirar deles, em geral. Portanto, acredito que são as pessoas de TI que precisam ter em mente todas as possíveis vulnerabilidades de cada Ivan Ivanich e levá-las em consideração no design e manutenção de sistemas de informação das empresas, além de educar os amigos de alguma forma.