Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи / Хабр

Описание способа

  1. Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
  2. Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
  3. Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
  4. Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.

Пример реальной переписки:

Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».

Upd 14.02.19 — ответы на вопросы и критику в комментариях

Чаще всего претензии комментаторов были к названию:

Где здесь новый способ?

— в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями.

А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям.

Другой популярный мотив возмущения:Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.

Примеры:— прикручиваем возможность прослушать капчу или код с автозвонка?— оставили цифровой номер у шлюза для подтверждающих смс?Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.

— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».

— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».

Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.

Клиентам мтс проверьте личный кабинет

Всем привет. В настоящий момент участились случаи с хищением денежных средств и аккаунтов путем махинаций с SIM-картами. Ни для кого не секрет, что наши данные активно сливаются в сеть и любой может получить “пробив” чужого номера за определенную сумму, но есть проблемы серьезней чем обычный “пробив”. Сразу отбросьте комментарии в стиле “просто не палите свои данные” или “двухфакторная аутентификация спасает”, все это вас не спасет, если мошенники знают, что у вас есть круглая сумма или например что-то иное, чем можно поживиться.

Представим себе ситуацию, я – мошенник и я получаю скан ваших паспортных данных я знаю номер вашего телефона, к которому привязаны разные кошельки, профили в соц.сетях, почты и т.д. Что я могу сделать с этой информацией?

Разберем самые частые схемы:

1. Переадресация номеров: Я звоню в контакт-центр вашего оператора и называю паспортные данные и номер на который хочу установить переадресацию и собственно все. Далее все в моих руках, могу принимать вызовы ваших клиентов, могу пароль восстановить от чего-либо и т.д.Некоторые (не все) операторы запрещают контак-центрам проводить какие-либо манипуляции по переадресации.

Решение:

1. Установить кодовое слово, но его устанавливают НЕ ВСЕ и сделать это можно только путем написания заявки в офисе (ПИСЬМЕННОЙ ЗАЯВКИ!)

2. Установить комментарий на вашем профиле “Запрещены любые действия с номером через контакт-центр.”, но установить комментарии можно не у всех операторов.

Глобальное решение:

Обязать всех операторов изменить правила оформления договоров, путем добавления выноски с установкой кодового слова на этапе оформления договора и запретить контакт-центрам ВСЕХ ОПЕРАТОРОВ работать с переадресацией.

Пруф 1: Мошенничество переадресация через билайн (Pikabu)

Пруф 2: Как я потерял 300 тысяч рублей (Zismo)

2. Переоформление договора: Через поддельную нотариальную доверенность я (как мошенник) переоформляю договор на себя. Да сейчас стало тяжелее это делать из-за Единой Информационной Системы нотариата (ЕИС), но это не значит, что нереально вовсе (не все сотрудники Росреестра проверяют действительность доверенности).

Решение:

Включить функцию или установить комментарий “Запрет обслуживания / действий по доверенности”, у некоторых операторов есть такая возможность (А У НЕКОТОРЫХ НЕТ, ДА МЕГАФОН?)

Личный кабинет и безопасность в мтс

Личный кабинет – удобный и практичный сервис для абонентов компании МТС. При правильном его использовании можно извлечь массу преимуществ, главное из которых – возможность отслеживать расходы и подключенные услуги.

  • Оператор МТС обеспечивает высокую степень защиты личных данных. Нужно понимать, что попасть в личный кабинет злоумышленники могут только тогда, когда вы сами предоставите им доступ, сообщив пароль. Поэтому первое, о чем нужно помнить — нельзя никому говорить пароль от учетной записи. Тем более, отправлять его в СМС.
  • Второй важный момент. В сообщении может присутствовать ссылка для входа в личный кабинет. Переходить по ней мы, конечно же не будем. Нередко мошенники используют схожие названия сайта для введения простых абонентов в заблуждение. Примечательно, что до сих пор эта схема остается актуальной. Введя на таком клонированном сайте свои данные, вы можете попрощаться с деньгами на счету, а так как телефон привязан к онлайн банкингу, то это гарантированно вызовет проблемы.
  • Ну и в-третьих, обязательно взгляните на номер отправителя и проверьте его в базе МТС. Если номер не относится к числу сервисных, то скорее всего, это мошенники. В случае с коротким номером 111764, вы имеете дело с официальным сервисом оповещений от МТС.
Похожее:  Кабинет консультанта: вход в Mary Key интач

Мошенничество с «легким платежом» мтс. как вернуть свои кровные.

Этот пост для тех кто стал жертвой мошенников с использованием сервиса МТС “Легкий платеж” и хочет вернуть свои деньги. Не отчаивайтесь и не посыпайте пеплом голову, что вы повелись на разводку мошенников (на то они и мошенники).

Первым делом даже не пытайтесь пополнить баланс вашего телефона, т.к. деньги, скорее всего, спишут (мошенники иногда даже на следующий день пытаются списывать деньги).

Следующим шагом смените пароль к Легкому платежу. Согласно Соглашению о пользовании сервисом «Кошелек МТС Деньги» размещенному на сайте МТС, для аннулирования (сброса) пароля наберите с телефона команду *117#.

Также если вы не собираетесь в дальнейшем пользоваться сервисом «Легкий платеж», после всего случившегося, то подключите опцию «Запрет возврата части аванса» (этим вы отключаете возможность совершения Легкого платежа, который осуществляется из средств с вашего лицевого счета, на который вы авансом вносите денежные средства). Для этого позвоните оператору в Контактный центр МТС на бесплатный номер 8 800 250 0890, либо на номер 0890.

Также, если вы умудрились отправить мошенникам пароль и логин от своего личного кабинета МТС, то меняем и его. Для этого на сайте МТС на страничке входа в личный кабинет вводим номер своего мобильного телефона и нажимаем кнопку «Получить пароль по SMS».

Далее приступаем к возврату своих денежных средств. В интернете вы можете найти совет одного пользователя, который рекомендует идти к оператору, которому были переведены деньги (скорее всего это Билайн, т.к. мошенники используют его сервисы для обналичивания похищенных денег с начала 2020-х – странно, куда смотрят правоохранительные органы) и писать заявление на возврат. К сожалению, сейчас данный вариант возврата своих кровных не работает, т.к. Билайн стал требовать платежные документы заверенные системой Киберплат (интересно, на сколько законно это требование), через которую проходят все платежи, но вам эти документы ни кто не даст, т.к. у вас нет никаких договорных отношений с этой системой, а квитанцию с сайта Легкого платежа МТС, в Билайне не считают за подтверждение платежа.

Поэтому алгоритм действий будет несколько иной:

Готовим документы, подтверждающие платёж:

1. Заходим на компьютере в личный кабинет МТС.

2. В личном кабинете вверху наводим курсор на «Управление платежами» и в выпадающем меню слева кликаем ссылку «Лёгкий платёж».

3. Слева появляется колонка навигации по лёгким платежам, ищем внизу (слева) гиперссылку «История платежей» и кликаем.

4. В открывшейся истории заходим во все осуществлённые переводы (помечены как «Выполнено») и печатаем эти квитанции (по квитанция вы можете определить, какому оператору были переведены деньги и на какой номер).

5. С подготовленными документами и паспортом идём в офис МТС, просим у сотрудника бланк претензии и заполняем его (в шапке претензии указываете свои контактные данные, далее в блоке «Краткое содержание претензии» пишете, что такого-то числа с лицевого счета вашего мобильного номера 7-ХХХ-ХХХ-ХХ-ХХ мошенниками был произведен платеж(платежи) в размере ХХХ руб. в адрес (указываете организацию получателя и номер телефона получателя из распечатанной квитанции с «Легкого платежа»). Далее пишете, что просите вернуть вышеуказанную сумму ХХХ руб. на лицевой счет вашего мобильного номера 7-ХХХ-ХХХ-ХХ-ХХ. И указываете что, квитанции, подтверждающие платеж, прилагаются на ХХ листах. Для полной идентификации прилагаемых квитанций, можете указать уникальный код транзакции, написанный на каждой квитанции). Следующий, центральный блок претензии, оставляете как есть и после него указываете свой электронный адрес в блоке «Способ получения информации о принятом решении». Ставите подпись и дату внизу претензии и отдаете вместе с приложениями сотруднику МТС для регистрации заявления (должен поставить свою подпись и вписать номер претензии в нижнее окошечко бланка) и снятия копии для вас.

5. Ждём возврата денег на ваш лицевой счёт.

Если же МТС по каким-либо причинам не возвращает денежные средства и присылает вам на почту ответ об этом, то переходим ко второму этапу возврата своих кровных.

Для этого нам надо разместить на сайте Минкомсвязи http://minsvyaz.ru/ru/ соответствующее обращение. Для этого заходим в раздел «Обращения граждан», жмем кнопку «Отправить обращение».

Открывается страница для заполнения обращения. Тип обращения оставляем – «Заявление».

Далее вводим текст заявления (5000 символов более чем достаточно, чтобы подробно описать всю ситуацию).

Прикрепляем архивный файл с копией претензии в МТС с приложениями, в виде квитанций о произведенных платежах, ответ МТС на претензию, можно приложить фотографии экрана вашего телефона с входящими звонками от мошенников, перепиской с ними и СМС-ками от сервиса «Легкий платеж», приложите счет за месяц из Личного кабинета МТС – в нем будут также отображены операции по Легкому платежу под названием «Возврат части аванса». Короче, прикладывайте все, что связано с этой ситуацией – вам скрывать нечего, вы жертва мошенников и хотите оказать полное содействие нашим госорганам для разбирательства в этом вопросе.

Похожее:  МТС - Регистрация абонента

После этого вносите информацию о себе и указываете адрес электронной почты, куда направлять ответ и жмете кнопочку «Отправить обращение». Сайт сообщит вам, что Ваше обращение успешно отправлено.

Совет: текст обращения рекомендую заранее набрать в текстовом редакторе, вдруг на странице будет сбой. Также рекомендую сделать принт-скрины обращения на сайте Минкомсвязи и принт-скрин страницы с подтверждением об успешном отправлении заявления.

Далее периодически проверяем электронную почту и смотрим, как работают наши госорганы. Сразу предупреждаю, не расстраивайтесь, если вам покажется, что чиновники занимаются футболом. В итоге ваше обращение дойдет до Роскомнадзора (как вариант можно им сразу написать) и ваши кровные на этот раз точно вернуться.

Теперь самое интересное. Что писать в заявлении на сайте Минкомсвязи?

В этом нам поможет статья в газете «Известия» http://izvestia.ru/news/622865

Прочитав ее, становиться ясным, что в заявлении надо просить Минкомсвязи проверить деятельность МТС на нарушение Федерального закона от 07.07.2003 N 126-ФЗ “О связи” и по результатам проверки обязать МТС вернуть вам списанные денежные средства с учетом комиссии МТС (теперь становиться ясным, почему столько лет МТС ничего не делает, чтобы обезопасить своих преданных абонентов – МТС же получает комиссию с каждого платежа мошенников).

Закон «О связи» нарушается в части статьи 44 п.5 второй абзац (можно скачать из интернета), которой устанавливается возможность подключения дополнительных услуг только при совершении абонентом действий, однозначно идентифицирующих абонента и позволяющих достоверно установить его волеизъявление. Как следует из правил оказания услуг связи, идентифицировать абонента и его абонентское оборудование, т.е. сотовый телефон, позволяет идентификационный модуль, его роль выполняет SIM-карта.

Но тут вы и описываете, что код доступа был запрошен не с вашего телефона, т.е. услуга активировалась без вашей идентификации. Платежи также совершались не с вашего телефона и опять же без вашей идентификации. (Как это работает не с вашего телефона, можете подробно прочитать в следующем посте: http://vhod-v-lichnyj-kabinet.ru/story/vnimanie_moshenniki_kak_voruyut_vashi…)

Также здесь просматривается навязывание услуги, т.к. она может быть подключена без вашего волеизъявления. А это уже повод для обращения в ФАС, но нам хватит и Роскомнадзора. Кстати в случае навязывания услуги сотрудники МТС любят говорить, что «Легкий платеж» – это не услуга, а сервис, но это полная тавтология, потому что согласно Соглашению о пользовании сервисом «Кошелек МТС Деньги» размещенному на сайте МТС, раздел «Термины»: Сервис «Кошелек МТС Деньги» (равнозначно «Сервис») – это услуги. А «Легкий платеж» – это один из нескольких функционалов, через который может быть реализованы эти услуги.

Ну и на последок. Все что приходить к вам на телефон – это ваши «ключи от квартиры, где деньги лежат». Поэтому на любые запросы к вам сообщить данные, вернуть деньги и т.д., которые поступили вам на телефон, вежливо отправляйте просящего к той организации, через которую он эти отправки осуществлял – там ему помогут. И не забывайте, что в роли просящего могут выступать даже ваши близкие люди (просто в этот момент у них, например, взломали аккаунт «ВКонтакте». Можете почитать реальные истории: http://conf.7ya.ru/fulltext-thread.aspx?cnf=Misc&trd=222485).

Но если вы все-таки попались на эту удочку, то не поддавайтесь на провокации сотрудников сотового оператора, которые будут упирать на то, что вас предупреждали никому не сообщать коды от Легкого платежа (мол, сам дурак). После того, как с моими знакомыми дважды произошла подобная ситуация и почитав форумы, я понял, что действительно мошенники используют особенность нашего мышления (психологи наверное знают, как правильно называется этот эффект), которая заключается в следующем: если вы не запрашивали информацию и она к вам приходит, а вам звонит человек и говорит, что по ошибке вам пришла его информация, то вы интуитивно верите этому человеку, т.к. вы не совершали этого запроса и этот человек знает об этой информации, значит он не лжет и действительно это его данные. А те, кто пишут в комментариях к таким случаям нехорошие отзывы о пользователях, которые попали в такую ситуацию, либо не разобрался в вышеуказанной психологической подоплеке этой мошеннической схемы, либо являются троллями мошенников или сотового оператора (материально заинтересованные стороны этого безобразия). Последние могут это делать, чтобы вы даже и не пытались вернуть свои кровные из-за чувства собственной вины (опять психология).

Так что будьте настойчивы в отстаивании своих интересов и все у вас получится.

Предварительный анализ угроз и их ощущаемой «ужасности»

Краткий опрос 9 обывателей показал:

  • в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
  • 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».

Угрозы получения доступа к личному кабинету были озвучены такие:

  1. «спишут деньги со счета телефона»,
  2. «подключат услуги платные или рассылки»,
  3. «спишут деньги с карты автопополнения»,
  4. «могут перевести деньги на другой телефон»,
  5. «могут настроить переадресацию звонков и мошенничать»,
  6. «могут настроить переадресацию СМС и угонять аккаунты других сервисов».
Похожее:  (Элис банк) личный кабинет

Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.

Презумпция виновности

Я попросил своих друзей писать на стене угнанного профиля, что аккаунт взломан, и оставлять на него жалобы. Но страницу почему-то не блокировали. Несмотря на полную ясность всего происходящего, техподдержка «ВКонтакте» не предпринимала никаких действий. Ситуация сдвинулась с мёртвой точки только тогда, когда нам удалось найти знакомых со связями в их офисе.

Потом страница всё-таки стала неактивной. Из поддержки пришло сообщение: «Расскажите агенту обстоятельства, из-за которых вы потеряли доступ к номеру, предоставьте ответ оператора, в котором говорится о незаконном подключении услуги переадресации вызовов и SMS. Агент даст пояснения и дальнейшие инструкции». А вот на сладкое:

Ответ от МТС поддержка требует на официальном бланке — с подписью и печатью оператора. В противном случае у них есть все основания полагать, что доступ к странице третьему лицу я передал самостоятельно. Но МТС вряд ли напишет такое письмо: во-первых, это будет признанием их вины. Во-вторых, у оператора, по его словам, нет информации о законности или незаконности подключения услуги.

Самая большая моя претензия к оператору заключается в том, что он почему-то не видит информации о настройке переадресации. Как такое возможно? Но подобные случаи с переадресацией для МТС, судя по всему, не редкость. И вот тут про это ещё немного.

В итоге техподдержка «ВКонтакте» считает владельцем страницы мошенников, а не меня — и это несмотря на фото паспорта и очевидность всего происходящего. Чтобы понять абсурдность всей ситуации, представьте, что у вас угнали машину, но полиция думает, что вы сами отдали её ворам. Получается какая-то презумпция виновности.

Тестовая эксплуатация угнанного доступа в лк мтс

Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.

МТС уведомляет старый номер жертвы о:

  • смене пароля,
  • входе в сервисы МТС,
  • подключении SMS переадресации и услуги SMS Pro.


После этого телефон жертвы утихает и все идет на новый номер.

NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.

Затем, только с помощью нового телефона, я удачно:

  • совершил пополнение другого счета телефона,
  • сделал перевод денег счет МТС → карта банка (комиссия 4.3%, но не менее 60р),
  • восстановил доступ к паре аккаунтов в сети,
  • принял звонок-аудиопроверку вместо СМС,
  • заказал обратный звонок с сайта магазина,
  • вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.

Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.

Управляет ли кто-то вашим номером мтс: как узнать и как отменить

Привязав номера близких к своему номеру, вы можете управлять услугами на них, следить за состоянием баланса и пополнять его. Это удобно, если в вашей семье именно вы отвечаете за мобильную связь. Но не управляет ли таким же образом кто-то вашим номером? Это можно проверить: рассказываем как.

Для начала откройте (а если нужно, предварительно установите) бесплатное приложение «Мой МТС». На главной странице найдите раздел Поддержка и нажмите на красную строчку «Еще».

В открывшейся вкладке найдите «Персональные данные».

Затем в настройках сверху откройте список и в нём выберите «Мои номера».

В самом низу открывшейся вкладки нужно найти строку «Управляющие номера». Если ваш номер привязан к другому номеру (вашему или чьему-то ещё), это номер будет указан здесь. Номеров может быть несколько.

Для того, чтобы разорвать привязку к ненужному вам номеру, нажмите напротив него кнопку «Удалить».

Схожим образом любой из владельцев номеров, которые привязаны к вашему номеру, может посмотреть и отказаться от этой привязки в одностороннем порядке — через «Мой МТС».

Заключение

Теперь вы знаете, что это за сообщения «Выполнен вход в Ваш аккаунт МТС. Если это были не Вы, позвоните 111764» приходят на ваш телефон. Следует понимать, что в большинстве случаев это лишь предупреждение, а никак не взлом аккаунта. Надежный пароль и отсутствие на устройстве отслеживающих вирусов — это гарантия полной защиты ваших данных и средств на остатке.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector