今天,就在几个小时前,我发现了一种新的欺诈手段:试图访问我的移动运营商的个人帐户。
Upd:不过,感谢批评,从名称中删除了“ new”一词。 最后,他将批评要点的答案放在首位,因此无需阅读评论。
在网络上进行的业务搜索以及对熟悉的IT专家的调查显示,尚无人在工作中看到这种方法。 公众知识的缺乏,以及居民对使用获得的通道的所有威胁的不明确性,使其更加危险。
注意! 撰写此帖子是为了警告社区有关潜在危险和新形式的欺诈行为。 根据俄罗斯联邦的法律,用自己的帐户以外的其他帐户重复执行本文中描述的操作,则有责任。
本文的主要目的是快速介绍广泛的专家圈子,并向人们介绍可以通过电话授权或恢复的服务劫持帐户的新方法。 开始讨论这种方法及其在经验丰富的社区中的变化以及更广泛地传播信息也将很有用。 因此,我将做简短的介绍,而不是假装是一个全面的分析;相反,我想描述一个特定的案例,并以较大的笔触显示此示例的可能变化。
方法说明
- 通过被黑客入侵的VK帐户(如任何其他网络或通讯程序),“老朋友”(攻击者)敲打了受害者并描述了“手机无法访问的问题”。
- 他要求通过接收SMS代码来“帮助我进入某处”,为此,他要求向他发送代码或“屏幕”。
- 受害者会收到一条带有确认码的SMS,以便一次性访问MTS服务。
- 受害者完成了请求,从而可以访问其个人MTS帐户。
真实对应的示例:
自然,我没有将代码发送给任何人,当我打电话给朋友并要求他紧急更改密码并采取措施时,我提出了“再次发送,短信未发送”之类的请求,从而拉长了攻击者的时间。 不幸的是,不可能通过它找出受害者的确切比例,因为 被黑客入侵的人绝对没有去VK的计划,但他急切地更改了密码并重新营业,但我的问题是“有多少人被抓”,答案是“完整!”。
初步分析威胁及其感知的“恐怖”
对9位居民的简短调查显示:
- 在4种情况下,按照这种顺序进行操作,他们看不到严重的威胁,
- 5日,他感到震惊,他们准备尝试识别“老朋友”的身份。
有人表示威胁要访问您的个人帐户:
- “从电话帐户中扣除钱”,
- “连接付费服务或新闻通讯”,
- “他们将从自动完成卡中注销款项”,
- “他们可以将钱转移到另一部电话”,
- “他们可以设置呼叫转移和作弊功能,”
- “他们可以设置SMS转发并窃取其他服务的帐户。”
第1.2段对所有人都很明显,第3-4段对普通受访者而言并不明显,但对更有经验的用户而言显而易见,但是5.6段仅对最有经验的用户显而易见。 只有两个人知道整个MTS个人帐户中存在整个支付网关,而没人知道#7可能直接从MTS帐户向任何卡汇款。 我找到了它,探索了MTS的个人帐户,以找到操作接收到的访问权限的方法。
在MTS LC中测试被盗访问的操作
为了进行验证,我拿了第二个号码,并很快按照此方案输入了MTS个人帐户并设置了呼叫转移。
MTS通知旧受害者编号:
- 密码变更
- 进入MTS服务,
- 连接SMS转发和SMS Pro服务。
此后,受害者的电话安静下来,一切都转移到新号码上。
注意:设置语音转发不会导致MTS发出任何通知,但是是徒劳的。
然后,仅使用新手机,我成功:
- 为另一个电话帐户充值,
- 制作了MTS汇款→银行卡(佣金为4.3%,但不少于60卢布),
- 重新获得了对网络上的一对帐户的访问权限,
- 收到了电话语音检查而不是短信,
- 从商店的网站订购了回调,
- 进入网上银行,然后将钱汇到一张未知的卡片上,如下所示。
试图恢复对我的主要(红色,绿色,黄色)互联网银行的访问权限时,我面临着提供其他信息(例如密码和恢复信息)的需要-帐号和卡号。 这使过程变得有些复杂,或者放慢了速度,因为如果受害者至少发送了一次详细信息,那么在通讯历史中很容易找到,因为信使及其历史已经被盗。
因此,我也成功进入了一家银行,并发送了Card2Card转帐。 金额很小,银行没有任何问题,但是更早的时候,金额很大,没有什么比个人数据更复杂的了,从来没有问过我。
因此,我认为财务损失的风险极高。 尽管有明显的重大财务损失,但就我而言,这项工作是通过轻松查找对应的详细信息来完成的,但我认为我并不是唯一的人。
我将以“对编辑的信”结尾,希望对您和您的亲人保持警惕。
更新了2014年2月14日-对评论中的问题和批评的回答
通常,评论者的评论都是标题:
这里的新方法在哪里? -在第一句话中,我证明了这一点,但还不够,更正确的词是“不广泛”或“鲜为人知”,但是,我通常将其删除。 相对而言,新颖性不是直接要求金钱,而是要求“非金融性质”,与财务损失没有直接的明显联系。 这是客观上的稀缺-他们经常愚蠢地要求贷款,但我很高兴结识真实的统计数据。 感谢您对Khabrovites的理解,他们在以下评论中给出了完全相同的答案。
这种盗窃的批发是什么? -的确,我没有怪罪我在纠正自己。 用引号引起的“批发”意味着同一部电话可以同时成为许多服务的两因素授权的“第二因素”,而获得这种访问权限可能会导致同时失去多个帐户的控制权以及其他损失。 我想出一个更好的词,但要点是,一把钥匙不能打开一个明显的门,而是可以打开几个,而且不知道哪一个。
另一个流行的愤怒动机:
普通的社会工程学! 为什么要在哈伯上? -是的,但是只有社会工程学是一个非常宽泛的术语,没有特别说明。 但是,可以构建该系统,以使简单的用户欺诈方案不起作用,并且欺诈方案都不同,并且任何IT专家或安全防护人员都必须意识到存在非法启用的重定向的可能性。 因此,在集线器上
范例:
-增强从自动呼叫中收听验证码或代码的能力?
-在网关留下数字号码以确认SMS?
我们认为我们可以让“僵尸”进入系统。 这并不总是很明显。 在恢复访问权限后,也许有必要真正限制权利或在恢复访问权限时提出澄清问题。
-我们是否通过短信或拨号器发送任何机密信息?
有风险将其透露给攻击者,或者,例如,根据《联邦法律》第152条的回答,“伊万·伊万诺维奇,您有那么多卢布的贷款债务”。
-员工是否抱怨他们没有从公司门户接收短信?
我们不会将他送入地狱,但是我们会调查情况,也许他的短信“走了”。
此外,如果至少有十二个人再次谈论他们的形式规则圈:“任何汇款或代码,只有在个人打电话之后,即使根本不是金钱,”我也不是徒劳的。
特别感谢
trublast给
habr.com/en/post/436774/#comment_19638396和
tcapb1给
habr.com/en/post/436774/#comment_19637462 ,他们在其中理解并发展了我的想法,带来了可能的威胁和选择。
最后,我将在评论中添加一个答案,例如“根据我的估计,具有这种可信度的人很长时间都不会偷窃。”
完全正确,通常没有什么可以窃取的,这是信息系统,安全协议和授权策略应考虑的另一个重要功能。 许多人试图做一个善良,善良,互相帮助,赔钱的事实,但是他们在企业工作。 如果某人遇到计算机错误,并且您需要紧急发送一封信,尽管他们可以进入一个完全不同的级别,但他们会让我进入。
普通的IT专家仍然非常偏执,具有很高的抽象思维能力,能够快速建立推理链并评估概率,并就各种欺骗方案进行传闻。 与普通人完全不同,他需要更轻松,更快地解决自己的工作问题,以帮助自己和他的朋友,然后他将为您提供帮助。 某些与持续接触信息安全问题无关的装载机,电工,快递员,经理等人可能会访问非常敏感的数据,昂贵的产品并且根本不了解他们可能违反的确切内容,风险级别和潜在损害的价格。 即使他们有数以百万计的损失的罪恶感,他们通常也无济于事。 因此,我相信正是IT人员需要牢记每个Ivan Ivanich的所有潜在漏洞,并在设计和维护企业信息系统以及以某种方式教育朋友时将它们考虑在内。