Адрес для входа в РФ: exler.world

Страшилка про угон аккаунтов через кабинет сотового оператора

29.01.2019 12:25  12421   Комментарии (23)

Несколько дней назад на "Хабре" проскочила статья с громким названием "Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи". Мне на нее прислали ссылку и спросили, что я думаю по данному поводу - в смысле, опасаться или нет.

Пошел читать статью. Краткое изложение.

Один страшный злодей получает доступ к некоему аккаунту - ну, например, во "Вконтактике". И тут же начинает рассылать френдам этого аккаунта СТРАШНОЕ - скриншот из статьи.

То есть предполагается, что вы свой номер мобильника открыли всем френдам. Этого делать крайне не рекомендуется - именно из-за возможности "увода" аккаунта соцсети, - но многие делают, да.

Вам на телефон приходит следующая SMS.

Ну то есть очевидно, что "френд" пытается войти в ваш личный кабнет. По мнению автора статьи, вы являетесь законченным кретином и сообщаете "френду" этот код.

Дальше автор рисует прелестную апокалиптическую картину о том, что страшный злодей вошел в ваш кабинет, тут же настроил переадресацию SMS на свой номер, сменил пароль, после чего ваша жизнь не будет стоить и ломаного гроша, потому что он сначала сольет все деньги со счета, затем получит доступ ко всем вашим мессенджерам, там прочитает тайную переписку, где вы сообщаете всем и каждому ваши логины-пароли к банковским аккаунтам, после чего зайдет в ваши бансковские аккаунты и сольет все бабки оттуда. 

Потом, разумеется, уведет вашу жену, купит на ваше имя квартиру в ипотеку, оформит кредит на "Ламборгини" и продаст вашу почку богатому арабу. Ой, нет, это я уже все придумал, но выше - именно так изложено в статье. Автор даже пишет, что он, имитируя ситуацию, сумел получить доступ к "чужому" банковскому счету и сделать перевод, цитирую:

Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.

Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.

Ну, ОК, давайте разберемся.

Вообще сам факт того, что какой-то "френд" попросит вас прочитать ему SMS, пришедшую на ваш телефон - это уже какой-то абсурд. С какого бодуна вы должны кому-то диктовать ВАШ код? Ну, хорошо, вы сильно заняты, "френд" хорошо знакомый, вы сильно пьяный и код продиктовали.

Дальше при его заходе в ваш личный кабинет вам приходит вот такое сообщение.

Единственная возможная ваша реакция - немедленный звонок по указанному номеру и ваш аккаунт блокируется для разбирательства.

Ну, хорошо, допустим, злодей - человек хитрый и не делает сразу вход, а подло ждет ночи, чтобы вы SMS прочитали только утром.

Зашел он в ваш аккаунт. Что он теперь может сделать? На самом деле только одно - обчистить ваш счет телефона. Например, перевести сумму на свой номер. Да или просто на свою карту.

А как же, спросите вы, установка переадресации SMS с целью похищения всего на свете?

Отвечаю. Да, переадресацию вы можете установить в вашем личном кабинете и при этом не потребуются подтверждающие SMS.

Однако! Эта переадресация работает только с обычными SMS, отправленными с длинных номеров. SMS с коротких номеров, а их как раз используют банки, мессенджеры и так далее - не переадресуются. Я это все в свое время выяснил, когда пытался переадресовывать банковские SMS на свой испанский номер. Ну и на всякий случай вчера еще проверил - такие SMS приходят только на оригинальный номер.

Так что все остальное - просто буйные фантазии автора статьи. Ни к каким мессенджерам так доступ не получить и уж тем более не получить доступ к банковским аккаунтам, тем более что там еще, извините, надо знать логин и пароль. А предположение автора о том, что вы эти логины-пароли в открытом виде пересылаете через ваши мессенджеры - ну, знаете, тут уже вы получаетесь не просто идиотом, а каким-то законченным кретином.

Но, как мы выяснили, даже в случае вашего законченного кретинизма, фиг кто таким образом получит доступ к вашему банковскому аккаунту.

Так что это все - просто банальная страшилка, не подкрепленная никакими доказательствами. Просто фантазии. Ну и замечу, что даже из этой достаточно дурацкой статьи не следует, что аккаунты угоняют "оптом", так что на черта это еще вынесено в название - непонятно совершенно.

Пошел почитать комменты - подумал, что уж на "Хабре" народ грамотный, объяснит товарищу, что не надо всякую шнягу писать. Ан нет, обсуждают только, что за подобное никого не ловят и не сажают. Цирк на льду.

29.01.2019 12:25
Комментарии 23

На Хабре давно уже народ измельчал, одна школота комменты пишет.
30.01.19 12:43
0 0

Мне на ум уже пришла дырка, связанная с уводом денег со счета в привате украинском, если получить доступ к переадресации в телефоне. Без всяких подтверждающих смс.

Естественно, описывать не буду, но что-то мне кажется, и в других банках такая штука должна сработать.

И Алекс - если ты чего-то не знаешь, не пиши, что это 'цирк' и и.д. Просто напиши, что не в курсе, не надо стараться быть спецом по всему сразу.
30.01.19 09:19
2 0

Деньги со счета телефона тоже увести просто так нельзя. Требуется подтверждающая СМСка
Den
29.01.19 21:49
0 0

Off-topic (навеяло историей о Пятерочке ниже):
Электронные карты Starbucks не генерируют штрих-код динамически, как можно было подумать исходя из многомегабайтного рамера их телефонного приложения, а используют фиксированный. Это значит, что в очереди у кассы запросто могут сфотографировать ваш штрих-код и использовать его. А это не просто бонусы – большинство людей привязывают эти карты к реальным банковским, так что злоумышленники будут питаться в Starbucks-e за ваш счет.
29.01.19 20:03
0 1

Ничего себе дырища...
29.01.19 20:59
0 0

А этот штрих-код показывается на телефоне или на терминале?

Каким надо быть ниндзя и с какой техникой чтобы незаметно сфотографировать код с экрана телефона и он при этом был достаточно читаем для использования.

Ну и уведомления о списания с банковской карты никто не отменял. Питаться будут недолго.
30.01.19 09:33
0 0

Штрих-код на телефоне. В Штатах частенько народ выстраевается перед кассой с телефонами наготове, так что вполне возможно.

Ну и уведомления о списания с банковской карты никто не отменял. Питаться будут недолго.
Не спорю, однако есть немало людей, для которых Starbucks – это всё, проводят там кучу времени и завтракают исключительно там. Если аккуратно пользоваться, вполне может сойти. Списание происходит фиксированными суммами, которые определяшь сам. К примеру, настраиваешь, что как только остаток старбаксовской карты опускается ниже $20, залить туда ещё $30.

Вопрос в том, что сложного обновлять штрих-код после каждой оплаты?
30.01.19 18:12
0 0

Боже, какой бред. Не понимаю, как такой контент вообще выкладывают.
29.01.19 17:45
0 2

Ну, формально, если бы переадресация SMS работала для коротких номеров - это было бы уже опасно.
29.01.19 20:59
0 1

/Ну, хорошо, допустим, злодей - человек хитрый и не делает сразу вход, а подло ждет ночи, чтобы вы SMS прочитали только утром./
Во всех случаях (которыми я пользуюсь) СМС-код живёт не более нескольких минут. (хотя могут быть и другие варианты, не знаю). Надо злоумышленнику выбирать момент, когда жертва делает последний зевок перед сном 😄
29.01.19 16:20
0 2

Во, не совсем в тему, но давно хотел поделиться историей, которая со мной недавно произошла.

Был у меня личный кабинет к карте "Пятерочка" (если кто не в курсе - один из наших глобальных сетевых брендов, карта дает кэшбек от 1% на все покупки, вроде и не много - но тоже в копилочку).
Для авторизации необходим номер телефона, пароль, и подтверждение из СМС. Но, с помощью СМС пароль можно изменить, так что реально нужен номер телефона и СМС-ки из него.
Что же произошло: приходит СМС с кодом, из Пятерочки, и так как я его не запрашивал, то соответственно я на него забил. А через пару часов обнаруживаю в почте информационное письмо о смене пароля. Ну и обнаружилось что со счета у меня было списано 1500 с чем то баллов (т.е. 150 рублей), на покупку бутылки подсолнечного масла, и пачку сливочного масла, и покупка эта состоялась хдей-та аж в Чувашии (а я на тот момент находился на границе Московской и Тверской областей).
Телефон проверил всеми доступными антивирусами - ничего не нашел. Позвонил в службу поддержки, на что мне объяснили что такого просто не может быть, приняли заявление со обещанием разобраться и перезвонить через неделю. Но там я по работе замотался, сумма была не столь высока, ну и в общем так я и не выяснил: как так оно произошло.
Ну и тут только такие мысли: есть у меня в телефоне вирус, который не определяется антивирусами; был какой-то вирус с самоуничтожением (во что верится меньше всего); была сделана копия сим-карты, каким-то образом.... ну или у них в системе огромный баг, позволяющий получать копию отправляемых смс-ок.
Более такого не происходило.

... Может кому и пригодится эта история...
29.01.19 15:03
0 0

Уже на уголовку за масло идут. Дожились...
29.01.19 15:51
0 3

технически смски перехватываются, но имеет ли смысл это делать ради покупки масла, я не знаю
29.01.19 16:04
0 1

Ну, вот покупка таких продуктов более всего и смущает в этой ситуации... 😄
Меня еще дружбан хорошо подстебнул на эту тему: Юра, если люди идут на такие ухищрения, чтобы купить бутылку подсолнечного и пачку сливочного, то поверь, им это нужнее! 😄
Ну а вообще, может есть договоренность по обналичиванию, какая... Т.е. подбирали товары, дабы максимально освоить баллы, а потом возврат, и деньги пополам. Понятно, что ради 150-ти рублей такое делать не будешь, но вот если это была массовая "акция"...
29.01.19 16:32
0 0

Где-то натыкался, что дырка в пятерочке в том, что можно авторизоваться под своим аккаунтом, потом от фени вбивать номера других карт (система нумерации простая там), получать, с небольшим шаманством, доступ (ты же уже авторизованный, кодов не надо), потом показывать кассиру штрих код с приложения. Дырень огромная была. Не знаю закрыли или нет.
29.01.19 18:23
0 1

Что ни говори, а социальная инженерия работала и будет работать. До сих пор есть множество людей, которые спокойно могут продиктовать три цифры с задней стороны карты и/или код из SMS (при оплате картой). К сожалению.
29.01.19 13:41
0 0

Работает, да. Просто есть реальные варианты развода, а есть страшилки, к которым относится статья, о которой я говорю.
29.01.19 14:28
0 0

Ну некоторые сервисы вполне могут просить три цифры с обратной стороны карты по телефону. Отели, авиакомпании и т.п. SMS код правда при этом диктовать им не нужно.
DS^
29.01.19 14:56
0 1

Эээ... и какая связь между угоном аккаунта вконтактика и запросом через платежную систему кода CVV/CVS?
aag
29.01.19 15:03
0 0

Эээ не сталкивался чтобы просили 3 цифры cvv по телефону?
А на фига им?
29.01.19 17:09
0 0

Ну например, некоторые операции по доплатам и бронированиям через колл-центр.
P.S. Да и Алекс что то из испанского опыта вроде описывал, что могут из конторы попросить все данные вашей карты. ))
DS^
29.01.19 22:41
0 0

На самом деле не дождется он ночи, у кода из СМС весьма короткое время действия - несколько минут после отправки
29.01.19 13:40
0 6

Кстати, да, логичное замечание, спасибо.
29.01.19 14:03
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 271
авто 441
видео 3984
вино 359
еда 498
ЕС 60
игры 114
ИИ 29
кино 1579
попы 190
СМИ 2751
софт 930
США 130
шоу 6