Адрес для входа в РФ: exler.world
Как у него украли 350 тысяч рублей, а у Билайна...
Пошли страшилки в Интернете из серии "У Билайна украли базу и у меня увели все деньги". Вот один из характерных примеров - "Как у меня украли 350 000, а у Билайна "старую" базу". У одного чувака некие, цитирую, "сутулые собаки" каким-то образом (каким - чувак не объясняет) получили доступ к его онлайновому банкингу, также они получили доступ к его личному кабинету в Beeline по "слитым", как утверждает чувак, паролям к личным кабинетам, после чего настроили переадресацию звонков и SMS и похитили у него 350 тысяч рублей.
История, конечно, предельно мутная. Чувак сыплет громами и молниями в адрес Beeline, а я пока в упор не могу понять, при чем там вообще Beeline и как такое вообще могло произойти.
Во-первых, каким образом сутулые собаки завладели паролем-логином его онлайнового банкинга? Во-вторых, даже если сутулые собаки и получат доступ к личному кабинету, то как они узнают, на какой именно телефон отправляются SMS? Ни в одном нормальном банке эти данные не указываются в явном виде.
Ну, хорошо, предположим, методами социальной инженерии они все-таки выяснили его номер. И тут сразу напрашивается третий вопрос: как они узнали пароль к его личному кабинету в Beeline? Ссылки на "слитую базу" не катят ни разу: никто логины-пароли к личным кабинетам не сливал, слили базу домашних пользователей Интернета от Beeline, там ФИО, адреса и телефоны. Тоже беспредел, конечно, но это все-таки не логины-пароли ни разу.
Так вот, как они узнали пароль к его личному кабинету? У него в банкинге и личном кабинете Beeline стоял пароль "пароль123"? Ну тогда парень сам дурак. Кроме того, когда делается переадресация звонков и SMS, то это требует подтверждения на самом телефоне, ему соответствующие сообщения должны были прийти.
В любом случае не очень понятно, какое отношение к этой мутной истории имеет Beeline. Что-то этот чувак недоговаривает.
Зная номер телефона, ФИО и другие паспортные данные через подкупленного представителя компании инициируется процедура замены сим карты. Получаем новую симку.
Делаем сброс пароля в личном кабинете сотового оператора и делаем переадресацию всех звонков на другой номер. Симку уничтожаем, она больше не нужна.
Делаем сброс пароля в онлайн банке.
Воруются деньги.
И он приходит как смс? Если вдруг это так, это жутко дырявый банк из которого надо бежать - смс обычно это второй фактор, в _дополнение_ к паролю (и-или паролю на переводы).
В добавку - перевод на другую карту делали явно с другого устройства и другого IP - если и это все банком игнориться и вся история правдива (я лично думаю как и Алекс - чувак что-то недоговаривает) - то хранить деньги в такой банке нельзя.
Что у них реально есть переадресация СМС? Никогда такого никогде не слышал.
Современный банк это сервисы, максимальное удобство без которого теперь и прожить сложно.
Тому же Тинькову спасибо за это, внес значительный вклад.
Так что тут ясно, что ничего не ясно
Ни утечек личных данных, ни звонков "мы предлагаем вам офигенный кредит" (сбербанк обожает так звонить), ни-ка-ких проблем.
Я тут на днях себе карту в Сбере оформил, чтобы сбербанк онлайн был. А то у всех есть, а у меня нет. Так мне через 2 дня какие-то сутулые собаки уже звонят, мол, несанкционированный вход в приложение и сомнительный перевод денежных средств. Ага. У меня там еще ни одного пополнения не случилось, а уже пытаются украсть аж 25000 руб.
Короче, я даже не клиент. Так, пользуюсь.
Запрещено административно у МТСа на уровне софта.
С точки зрения техники все реализуемо.
В разрыв сигнального трафика (который СМС передает от отправителя на коммутатор оператора) ставится железяка/софтина, которая читает этот трафик и ... делает что требуется. Например "выкусывает" нужное сообщение и не передает его "в эфир", зато создает новое сообщение и отправляет его на нужный номер.
Вопрос как быть если телефон в роуминге... Возможно в этом случае и не сработает - сопстно, думаю, потому и не тарифицируются входящие СМС в роуминге..
Сигнальный трафик это не голосовой, там много усилий не надо чтоб его читать.. И не защищен он чуть менее чем совсем..
На примере МТС (уверен, что у Билайна есть что-то подобное): переадресация SMS делается через личный кабинет (lk.mts.ru) через дополнительный сервис за 1,5 рубля в день. Фрагмент с сайта - ниже.
---
SMS-переадресация – возможность переадресовать входящие SMS на другие номера телефонов.
Виды SMS-переадресации:
безусловная – вы можете задать номера, на которые будут переадресовываться входящие SMS;
по номерам/группам номеров – вы можете указать, с какого номера/группы номеров на какой номер должны переадресовываться SMS;
по времени – вы можете указать период времени, в течение которого будут переадресовываться SMS.
SMS-переадресацию можно устанавливать на номера любых операторов мобильной связи.
---
При входе в ЛК приходит смс-ка, думаю, что ее легко проворонить...
По моему их есть даже в Гуглмаркете..
На телефоне ставится малюсенькая программка, перехватывающая СМС и копирующая ее по другому номеру. При этом на первом телефоне она "тихо гасится" и не видна в истории.
По моему их есть даже в Гуглмаркете..
Дома (в зоне покрытия Билайна/нужногооператора) оставляется копеечный смартфон с симкой на которую идут СМСки. Они данной прогой переадресуются на другой телефон. Голос перадресовывается стандартным образом.
Если известно что покрытия на условной даче нет (нет СМС и голос тоже же не работает?) то вполне рабочий вариант "выходного дня - я на даче"
Так что методом установки СМС "логгера" на телефон все решается.. Вопрос как он туда попадет - уже другой 😄
Придурки на то и нужны, чтобы нормальным людям было проще.
Окуджава вспоминается: Пока есть на свете дураки.
Бога ради, я не о вас. Я всё об посте Алекса. Ну вот что с этими ненормальными делать?!
Даже единственный работающий квантовый компьютер - и тот не вполне он. Так, потенциальные ямы ищет. Я про D-Wave, если что...
Мои счета он точно не найдёт и не взломает.
tjournal.ru
Вывод: надо пароли держать разные для разных сервисов.
А то мы твердим-твердим 100500 лет всем, что так надо делать - но лень-то раньше людей родилась.
Им даже пароль к Вконтакту не запомнить.
Непонятно, как они узнали пароли к личным кабинетам Билайн. В слитой базе вроде ничего такого не было.