Страшилка про угон аккаунтов через кабинет сотового оператора

Несколько дней назад на "Хабре" проскочила статья с громким названием "Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи". Мне на нее прислали ссылку и спросили, что я думаю по данному поводу - в смысле, опасаться или нет.

Пошел читать статью. Краткое изложение.

Один страшный злодей получает доступ к некоему аккаунту - ну, например, во "Вконтактике". И тут же начинает рассылать френдам этого аккаунта СТРАШНОЕ - скриншот из статьи.

То есть предполагается, что вы свой номер мобильника открыли всем френдам. Этого делать крайне не рекомендуется - именно из-за возможности "увода" аккаунта соцсети, - но многие делают, да.

Вам на телефон приходит следующая SMS.

Ну то есть очевидно, что "френд" пытается войти в ваш личный кабнет. По мнению автора статьи, вы являетесь законченным кретином и сообщаете "френду" этот код.

Дальше автор рисует прелестную апокалиптическую картину о том, что страшный злодей вошел в ваш кабинет, тут же настроил переадресацию SMS на свой номер, сменил пароль, после чего ваша жизнь не будет стоить и ломаного гроша, потому что он сначала сольет все деньги со счета, затем получит доступ ко всем вашим мессенджерам, там прочитает тайную переписку, где вы сообщаете всем и каждому ваши логины-пароли к банковским аккаунтам, после чего зайдет в ваши бансковские аккаунты и сольет все бабки оттуда. 

Потом, разумеется, уведет вашу жену, купит на ваше имя квартиру в ипотеку, оформит кредит на "Ламборгини" и продаст вашу почку богатому арабу. Ой, нет, это я уже все придумал, но выше - именно так изложено в статье. Автор даже пишет, что он, имитируя ситуацию, сумел получить доступ к "чужому" банковскому счету и сделать перевод, цитирую:

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Ну, ОК, давайте разберемся.

Вообще сам факт того, что какой-то "френд" попросит вас прочитать ему SMS, пришедшую на ваш телефон - это уже какой-то абсурд. С какого бодуна вы должны кому-то диктовать ВАШ код? Ну, хорошо, вы сильно заняты, "френд" хорошо знакомый, вы сильно пьяный и код продиктовали.

Дальше при его заходе в ваш личный кабинет вам приходит вот такое сообщение.

Единственная возможная ваша реакция - немедленный звонок по указанному номеру и ваш аккаунт блокируется для разбирательства.

Ну, хорошо, допустим, злодей - человек хитрый и не делает сразу вход, а подло ждет ночи, чтобы вы SMS прочитали только утром.

Зашел он в ваш аккаунт. Что он теперь может сделать? На самом деле только одно - обчистить ваш счет телефона. Например, перевести сумму на свой номер. Да или просто на свою карту.

А как же, спросите вы, установка переадресации SMS с целью похищения всего на свете?

Отвечаю. Да, переадресацию вы можете установить в вашем личном кабинете и при этом не потребуются подтверждающие SMS.

Однако! Эта переадресация работает только с обычными SMS, отправленными с длинных номеров. SMS с коротких номеров, а их как раз используют банки, мессенджеры и так далее - не переадресуются. Я это все в свое время выяснил, когда пытался переадресовывать банковские SMS на свой испанский номер. Ну и на всякий случай вчера еще проверил - такие SMS приходят только на оригинальный номер.

Так что все остальное - просто буйные фантазии автора статьи. Ни к каким мессенджерам так доступ не получить и уж тем более не получить доступ к банковским аккаунтам, тем более что там еще, извините, надо знать логин и пароль. А предположение автора о том, что вы эти логины-пароли в открытом виде пересылаете через ваши мессенджеры - ну, знаете, тут уже вы получаетесь не просто идиотом, а каким-то законченным кретином.

Но, как мы выяснили, даже в случае вашего законченного кретинизма, фиг кто таким образом получит доступ к вашему банковскому аккаунту.

Так что это все - просто банальная страшилка, не подкрепленная никакими доказательствами. Просто фантазии. Ну и замечу, что даже из этой достаточно дурацкой статьи не следует, что аккаунты угоняют "оптом", так что на черта это еще вынесено в название - непонятно совершенно.

Пошел почитать комменты - подумал, что уж на "Хабре" народ грамотный, объяснит товарищу, что не надо всякую шнягу писать. Ан нет, обсуждают только, что за подобное никого не ловят и не сажают. Цирк на льду.

29.01.2019 12:25
Комментарии 24

На Хабре давно уже народ измельчал, одна школота комменты пишет.
30.01.19 12:43
0 0

Мне на ум уже пришла дырка, связанная с уводом денег со счета в привате украинском, если получить доступ к переадресации в телефоне. Без всяких подтверждающих смс.

Естественно, описывать не буду, но что-то мне кажется, и в других банках такая штука должна сработать.

И Алекс - если ты чего-то не знаешь, не пиши, что это 'цирк' и и.д. Просто напиши, что не в курсе, не надо стараться быть спецом по всему сразу.
30.01.19 09:19
2 0

Деньги со счета телефона тоже увести просто так нельзя. Требуется подтверждающая СМСка
Den
29.01.19 21:49
0 0

Хм, то есть перевести деньги со счета мтс на другую карту можно? Если так, то возможен вариант что у жертвы стоит автопополнения счета мтс с банковской карты. И тут уже зависит от лимитов пополнения. Я таким бредом не пользуюсь, поэтому не могу днать точно, но если количество и сумма автопополнений никак не лимитирована, то все деньги со счета можно за час увести
29.01.19 21:05
0 0

Off-topic (навеяло историей о Пятерочке ниже):
Электронные карты Starbucks не генерируют штрих-код динамически, как можно было подумать исходя из многомегабайтного рамера их телефонного приложения, а используют фиксированный. Это значит, что в очереди у кассы запросто могут сфотографировать ваш штрих-код и использовать его. А это не просто бонусы – большинство людей привязывают эти карты к реальным банковским, так что злоумышленники будут питаться в Starbucks-e за ваш счет.
29.01.19 20:03
0 1

Ничего себе дырища...
29.01.19 20:59
0 0

А этот штрих-код показывается на телефоне или на терминале?

Каким надо быть ниндзя и с какой техникой чтобы незаметно сфотографировать код с экрана телефона и он при этом был достаточно читаем для использования.

Ну и уведомления о списания с банковской карты никто не отменял. Питаться будут недолго.
30.01.19 09:33
0 0

Штрих-код на телефоне. В Штатах частенько народ выстраевается перед кассой с телефонами наготове, так что вполне возможно.

Ну и уведомления о списания с банковской карты никто не отменял. Питаться будут недолго.
Не спорю, однако есть немало людей, для которых Starbucks – это всё, проводят там кучу времени и завтракают исключительно там. Если аккуратно пользоваться, вполне может сойти. Списание происходит фиксированными суммами, которые определяшь сам. К примеру, настраиваешь, что как только остаток старбаксовской карты опускается ниже $20, залить туда ещё $30.

Вопрос в том, что сложного обновлять штрих-код после каждой оплаты?
30.01.19 18:12
0 0

Боже, какой бред. Не понимаю, как такой контент вообще выкладывают.
29.01.19 17:45
0 2

Ну, формально, если бы переадресация SMS работала для коротких номеров - это было бы уже опасно.
29.01.19 20:59
0 1

/Ну, хорошо, допустим, злодей - человек хитрый и не делает сразу вход, а подло ждет ночи, чтобы вы SMS прочитали только утром./
Во всех случаях (которыми я пользуюсь) СМС-код живёт не более нескольких минут. (хотя могут быть и другие варианты, не знаю). Надо злоумышленнику выбирать момент, когда жертва делает последний зевок перед сном 😄
29.01.19 16:20
0 2

Во, не совсем в тему, но давно хотел поделиться историей, которая со мной недавно произошла.

Был у меня личный кабинет к карте "Пятерочка" (если кто не в курсе - один из наших глобальных сетевых брендов, карта дает кэшбек от 1% на все покупки, вроде и не много - но тоже в копилочку).
Для авторизации необходим номер телефона, пароль, и подтверждение из СМС. Но, с помощью СМС пароль можно изменить, так что реально нужен номер телефона и СМС-ки из него.
Что же произошло: приходит СМС с кодом, из Пятерочки, и так как я его не запрашивал, то соответственно я на него забил. А через пару часов обнаруживаю в почте информационное письмо о смене пароля. Ну и обнаружилось что со счета у меня было списано 1500 с чем то баллов (т.е. 150 рублей), на покупку бутылки подсолнечного масла, и пачку сливочного масла, и покупка эта состоялась хдей-та аж в Чувашии (а я на тот момент находился на границе Московской и Тверской областей).
Телефон проверил всеми доступными антивирусами - ничего не нашел. Позвонил в службу поддержки, на что мне объяснили что такого просто не может быть, приняли заявление со обещанием разобраться и перезвонить через неделю. Но там я по работе замотался, сумма была не столь высока, ну и в общем так я и не выяснил: как так оно произошло.
Ну и тут только такие мысли: есть у меня в телефоне вирус, который не определяется антивирусами; был какой-то вирус с самоуничтожением (во что верится меньше всего); была сделана копия сим-карты, каким-то образом.... ну или у них в системе огромный баг, позволяющий получать копию отправляемых смс-ок.
Более такого не происходило.

... Может кому и пригодится эта история...
29.01.19 15:03
0 0

Уже на уголовку за масло идут. Дожились...
29.01.19 15:51
0 3

технически смски перехватываются, но имеет ли смысл это делать ради покупки масла, я не знаю
29.01.19 16:04
0 1

Ну, вот покупка таких продуктов более всего и смущает в этой ситуации... 😄
Меня еще дружбан хорошо подстебнул на эту тему: Юра, если люди идут на такие ухищрения, чтобы купить бутылку подсолнечного и пачку сливочного, то поверь, им это нужнее! 😄
Ну а вообще, может есть договоренность по обналичиванию, какая... Т.е. подбирали товары, дабы максимально освоить баллы, а потом возврат, и деньги пополам. Понятно, что ради 150-ти рублей такое делать не будешь, но вот если это была массовая "акция"...
29.01.19 16:32
0 0

Где-то натыкался, что дырка в пятерочке в том, что можно авторизоваться под своим аккаунтом, потом от фени вбивать номера других карт (система нумерации простая там), получать, с небольшим шаманством, доступ (ты же уже авторизованный, кодов не надо), потом показывать кассиру штрих код с приложения. Дырень огромная была. Не знаю закрыли или нет.
29.01.19 18:23
0 1

Что ни говори, а социальная инженерия работала и будет работать. До сих пор есть множество людей, которые спокойно могут продиктовать три цифры с задней стороны карты и/или код из SMS (при оплате картой). К сожалению.
29.01.19 13:41
0 0

Работает, да. Просто есть реальные варианты развода, а есть страшилки, к которым относится статья, о которой я говорю.
29.01.19 14:28
0 0

Ну некоторые сервисы вполне могут просить три цифры с обратной стороны карты по телефону. Отели, авиакомпании и т.п. SMS код правда при этом диктовать им не нужно.
DS^
29.01.19 14:56
0 1

Эээ... и какая связь между угоном аккаунта вконтактика и запросом через платежную систему кода CVV/CVS?
aag
29.01.19 15:03
0 0

Эээ не сталкивался чтобы просили 3 цифры cvv по телефону?
А на фига им?
29.01.19 17:09
0 0

Ну например, некоторые операции по доплатам и бронированиям через колл-центр.
P.S. Да и Алекс что то из испанского опыта вроде описывал, что могут из конторы попросить все данные вашей карты. ))
DS^
29.01.19 22:41
0 0

На самом деле не дождется он ночи, у кода из СМС весьма короткое время действия - несколько минут после отправки
29.01.19 13:40
0 6

Кстати, да, логичное замечание, спасибо.
29.01.19 14:03
0 0
Теги
Сортировать по алфавиту или записям