Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи

в 10:06, , рубрики: безопасность, Вконтакте, информационная безопасность, мошенничество, МТС, сотовая связь, социальная инженерия, Социальные сети и сообщества, социнжиниринг

Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.

Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.

Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.

Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.

Описание способа

  1. Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
  2. Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
  3. Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
  4. Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.

Пример реальной переписки:

Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи - 1

Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».

Предварительный анализ угроз и их ощущаемой «ужасности»

Краткий опрос 9 обывателей показал:

  • в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
  • 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».

Угрозы получения доступа к личному кабинету были озвучены такие:

  1. «спишут деньги со счета телефона»,
  2. «подключат услуги платные или рассылки»,
  3. «спишут деньги с карты автопополнения»,
  4. «могут перевести деньги на другой телефон»,
  5. «могут настроить переадресацию звонков и мошенничать»,
  6. «могут настроить переадресацию СМС и угонять аккаунты других сервисов».

Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.

Тестовая эксплуатация угнанного доступа в ЛК МТС

Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.

МТС уведомляет старый номер жертвы о:

  • смене пароля,
  • входе в сервисы МТС,
  • подключении SMS переадресации и услуги SMS Pro.

После этого телефон жертвы утихает и все идет на новый номер.

NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.

Затем, только с помощью нового телефона, я удачно:

  • совершил пополнение другого счета телефона,
  • сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
  • восстановил доступ к паре аккаунтов в сети,
  • принял звонок-аудиопроверку вместо СМС,
  • заказал обратный звонок с сайта магазина,
  • вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.

Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.

Автор: Лобач Александр

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js