Новый вид мошенничества появился в России: злоумышленники изготавливают дубликат сим-карты жертвы и списывают деньги через банковское приложение, сообщили эксперты международного разработчика антивирусных решений ESET.
"В Сети начинает набирать обороты новый вид мошенничества с сим-картами, который позволяет хакерам получить доступ к номеру телефона и моментально переводить деньги из банковских приложений", — рассказал обозреватель ESET Станислав Жураковский, слова которого приводятся в сообщении.
На первом этапе мошенники приобретают на черном рынке фейк-аккаунт (созданный несколько лет назад и ничем не отличающийся от настоящего), на втором этапе производится поиск жертвы, цель новой атаки социальной инженерии — предприниматели и владельцы бизнеса. После этого злоумышленник выясняет номер телефона, например, предлагает перевести общение в мессенджер.
Узнав номер, хакер делает поддельную доверенность на получение дубликата сим-карты жертвы, причем обычно заявление подают в филиале оператора, расположенном на другом конце страны. На заключительном этапе осуществляется перевод денег: мошенник обращается в банк для восстановления пароля от банковского приложения, пройдя аутентификацию по личному номеру, и переводит все деньги с карты на другой счет.
Чтобы избежать подобных проблем, эксперты советуют выпустить второй виртуальный номер в приложении мобильного оператора — к нему можно привязать банки и соцсети, он связан с основным, но остается недоступным для третьих лиц. Кроме того, стоит переключить в банках SMS-авторизацию на push в приложении и подготовить "запрет передоверенности", не позволяющий выдавать дубликат сим-карты без личного присутствия по доверенности.
"С точки зрения банков — это даже не мошенничество. Потому что двухфакторные авторизации на сим-картах являются подтверждением личности. Если перевели деньги с помощью вашей сим-карты, значит, это сделали вы. Выходит, что современная сим-карта оказывается важнее и весомее паспорта, а ее кража — опаснее утери основного документа гражданина страны", — отметил Жураковский.
Комментарии
А это что такое? И да, у меня тоже вопрос насчет 2 сим-карт.
> вопрос насчет 2 сим-карт.
делается фейковый роуминг, все СМС и звонки приходят туда
вся безопасность в мобильных телефонах построена на двух аксиомах
1) "традиционные" АТС и операторы, созданные в 1950-х, и все их сотрудники - белые и пушистые
2) создать своего АТС и оператора настолько трудно и дорого, что никаких "мелких" операторов, у которых мошенники будут весомой частью доходов, создать невозможно
...и поэтому все команды проходящие между двумя любыми (в любых странах) АТС по внутренней сети ОКС-7 (SS7) абсолютно достоверны
В частности невозможно звонить с "поддельного" номера телефона, потому что никакая АТС такого у себя не позволит, нет таких АТС в природе и появиться им не откуда. Символ веры.
...и так далее.
Цифровизация явно отстает от МГБ ГДР Те номера двойники использовали еще лет 40 назад а то и больше. Правда не бабки у бюргеров тянули (не поляки же в конце концов,особенно после того как польскую разведку перевели на самообеспечение) а базы данных Однако сам факт
Сколько раз сталкивался с тем, что при выдаче дубликата и его активации оригинальная симка тут же перестаёт работать. Сразу же.
И да, получить дубликат у ОПСОСа в другом регионе - практически нереально. Официально, разумеется.
симка же не по номеру телефоона идентифицируется. что-то не понятно о чем речь.
Такое впечатление, что наши банки никакие мошеннические действия не считают мошенническими. Может в них дело.
банки и не будут этим заниматся, они действуют в рамках законодательства. Тут надо вопрос перенаправлять в Москву в Кремль и дома правительства. Спросить у господина Путина и господина Мишустина какой у них интерес в том что население грабят потому что законодательство отстает от реалий времени лет 20-30.
Путин виноват в том, что когда человеку звонят по телефону и говорят: «Слышь, дебил, ну ка быстро продиктуй мне код смс», то человек отвечает: «Сам дебил. А код такой-то…»
Банки заявили о безопасности двухфакторной идентификации. Они ее внедрили. Из-за того, что эта технология оказывается не надежной люди теряют деньги. А банки не причем?
Однако начинать надо с того простого факта, что технология, упорото внедряемая далеко не только ростовщиками при методологической поддержке продаванов вредоносного ПО на полноценную реализацию «двухфакторной авторизации» близко не тянет!
ЗЫ: Удобство vs безопасность (с неизбежным уклоном в первую часть по причине требований продажи сервиса тому, кому он ненужен) и ничего личного.
Банки врут и навязывают однофакторную аутентификацию под видом двуфакторной.
Думаю, что в том числе именно для того, чтобы потом врать про надёжность двуфакторной (которой не было), как доказательство отсутствия мошенничества.
Вот недавно Авангард отключил свою программу онлайн-подтверждений, а вместо неё выкатил программу онлайн-платежей. Т.е. однофакторность без вариантов.
Слышал об истории в Великобритании, кажется, даже не с мобильниками, а с банкоматами. Когда у людей с карточки сняли в ноль, пока они были за рубежом в отпуске. В суде банк заявил, что банкомат обмануть невозможно, он дорогой и умный, а значит пострадавшие сами отдали свою карточку банковскую преступникам, и вообще они не пострадавшие, а мошенники. Пострадавшие нашли эксперта, который подготовил данные о реальной безопасности в банкоматах и продемонстрировал обман банкомата этого банка - после чего его и посадили. "Ну мы же говорили ,олни не пострадавшие - а банда преступников, видите, они банкоматы обворовывают"
Банки используют стандарты защиты банковских карт внедряемые вскими п..ми из Визы и Мастер-кард. Поэтому звонить нужно президенту Байдену и королеве Елизавате. Либо вешать Набиуллину, Грефа и создателей карты Мир на одном суку.
Когда банки фактически запрещают функцию подтверждение платежей (запрошенных в других устройствах ), например вводя оплату СМС-подтверждений, и подменяют его на "телефон сам закажет платёж и сам его подтвердит, такая удобная и безальтернативная программа" - это тоже VISA заставила?
У Мегафона например при получении дубликата симки голосовые функции сразу активируются, а SMS-сервис только через 24 часа. Как-то пришлось поменять симку с сохранением номера. Старая вышла из строя. После этого в Совкомбанке перестало работать подтверждение операций по SMS. Пришлось предъявлять паспорт и лицо. Это все к тому, что тут больше пиара ESET, чем реальных дел.
менял симку мегафона мини из кнопочного на нано чтобы вставить в смартфон, сразу не озадачился, но через пару дней залез в онлайн-сбер смски приходили как и на старую
это то что касается смс
а старую симку они мне тоже отдали на память, с включением новой она превратилась в кусочек пластика, телефон её не видел
СИМ карта не имеет никакого отношения к номеру телефона. Это не дубликат. Сим карта это девайс, а номер телефона - адрес этого устройства в сети, который назначает оператор. Любой номер можно назначить любой СИМке. В статье же говорится о дублировании физической СИМ карты, что в принципе невозможно. Это изначально так придумывалось, чтобы СИМ карту нельзя было продублировать.
Возможно, у вас ошибка восприятия. Я сразу понял, что говорится не о клонировании сим-карты.
До определенного момента можно было. Эту дыру прикрыли много лет назад с отказом от алгоритма COMP128v1. Но к данному мошенничеству она все равно не имеет отношения, так как для клонирования нужно было иметь физический доступ к оригинальной сим-карте.
Это уже всё давно не актуально.
Современную СИМку клонировать нельзя.
А это уже вторая часть.
Банковые сервисы, во избежание описанных нюансов, с некоторого времени привязываются к конкретной физической SIM-карте.
И в случае её замены необходимо лично посетить офис банка и подтвердить замену… почти что токена.
Такие операции выполняются по предьявлению паспорта. Я конечно не эксперт но за это по моему светит уголовка оператору.
девочка в салоне связи никак не отличит фальшивый паспорт от настоящего, она даже рожу сверить не всегда может (для НИХ мы такие же одинаковые белые свинки как они для нас одинаковые обезьянки). так что сама схема с доверенностью в целом рабочая, сам получал новую симку для знакомого, но нервов поели не ало - и надо знать слишком много инфы о терпиле. номер привязанный к карте, какой банк, фио, номер серия паспорта на момент получения им симкарты первый раз (если лет 10 назад тотлегко паспорт другой!) и прочую ботву. гимору много, на выходе - бохатый должник 5 банков по кредитам, скрывающийся от коллекторов.
паспорт проверяет студент на подработке, 2 часа в день. Подрабатывать он может не только на Мегафон.
гонево.
И что мы имеем?
1. Мошенник предъявил фальшивую нотариальную доверенность.
2. Мошенник одновременно с левой доверенностью предъявил левый паспорт с вклеенной своей фоткой. Оператор этот паспорт отсканировал.
3. Получил новую симку. У жертвы мгновенно перестал работать телефон.
4. Мошенник через сутки пытается войти в интернет-банк в ЛК жертвы. Как он это делает, не зная пароля? Рассказывает по телефону сотруднику Сбера о своих трудностях?
В общем, туфту гонят создатели подобных статеек о страшных хакерах на других концах нашей большой страны.
Вопрос в том, каким дебилом должна быть жертва, чтобы ничего не заподозрить при этом.
Есть вариант такого дебилизма. Например, жертва - продвинутый программист, «хорошо знающий» про мошшенисетства с мобильными банками. Поэтому для банка он заводит специально отдельный телефон с отдельной симкой. Ну, а поскольку этот второй телефон ему нужен раз в неделю, то вот так он и не улавливает момент, когда его симка умирает.
Описанная в статье схема в принципе технически не реализуема.
> Как он это делает, не зная пароля? Рассказывает по телефону сотруднику Сбера о своих трудностях?
Именно так, в образе скандальной тупой тётки-хабалки например.
Если уж с гигантами Apple и Amazon это работает, то почему со Сбером нельзя?
https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Тот, кто написал эту статью - ничерта не понимает в принципах сотовой связи. Но вякнуть то нужно...
Это какая-то тупая журнашлюшка выдумала маркетинговую акцию по продвижению нового вида услуг со стороны сотовых операторов. Развод!
Менял недавно утерянную симку, собственно в статье больше вранья чем правды. При замене во первых старый номер отключается совсем он становится не виден в сети, я не знаю у кого там что приходила сразу на два номера. И на 24 часа не работают СМС и так же номер перестает работать в приложениях в частности в сбер-онлайн надо заново проходить идентификацию и получать смс на номер. Повторюсь старый номер просто становился картонкой мелкой. Менял и мегафон так и мтс. Требовали паспорт все дела, фото на вебкамеру и видеокамеру. Думаю даже тупой сообразит что что то не то когда перестанет работать телефон и будет 24 часа разобраться. И то помоему этой фигне уже как лет 10 я еще в 2011 слышал и читал про доверенность на замену симки. Вроде кого то даже посадили тогда что то украли так же с помогайками из абонентского отдела.
выше писал, менял симку мегафона на другой формат, через пару дней спокойно по новой уже симке зашел в сбер-онлайн без всякой повторной идентификации
но не через приложение на телефоне, а через вебморду на компе
В вебинтерфейсе просит либо логин, либо номер карты. Просто по номеру телефона не прокатит.
с логином и паролем, затем подтверждающая смс на привязанный номер на вход, всё как обычно
через пару дней после замены симки
Ну эм, все верно, банк же не в курсе что вам симку поменяли. И как это поможет мошеннику? Если кто-то знает ваш логин, пароль и украл ваш телефон - для банка это будете - вы. В этом и смысл двухфакторной аутентификации - пара логин+пароль и смс. Если вы продолбали и то и другое - пардон, есть еще трехфакторная аутентификация, делается по заявлению в банке. Тогда при операциях свыше указанной в заявлении будет проходить еще одно подтверждение, способом, который вы укажете в заявлении, на другой номер телефона, по электронной почте и т.д. Мне например при операциях свыше 100 тысяч рублей звонил сотрудник банка и спрашивал секретный пароль.. стоила услуга лет пять назад копейки.
Сокращу стену текста - хотите полностью обезопаситься - делаете трехфакторную аутентификацию и запрет на переводы вне диапазона трехфакторной аутентификации - допустим 1 в день. Таким образом даже если у вас украдут всё и воспользуются терморектальным криптоанализом - более указанной суммы в заявлении в день у вас не уведут, а за 24 часа написать заявление в полицию и заблочить карту - не проблема даже в выходной день.
Ессно не касается вывоза в лес - там никакой способ не сработает кроме прямого запрета на операции свыше определенной суммы в день. В принципе лимит на ежедневное снятие есть у всех карточных продуктов банков, его также можно изменить заявлением. Вы вообще сильно удивитесь, узнав сколько и каких параметров обслуживания можно поменять письменным заявлением в отделении банка =)
эт понятно
просто выше камрад писал, что после замены симки ему пришлось в банке проходить заново идентификацию - мне этого не потребовалось
по поводу трехфакторной тут да, много есть полезного, к сожалению тот же сбер эти услуги не рекламирует, с умыслом или без - непонятно
Умысел Сбера есть - это большой Геморой для его сотрудников, потому что это ручная человеческая работа.
да, похоже на то
в сбере можно настроить лимит переводов и платежей в сутки. изменить лимит только звонком в банк с кучей геморных вопросов.
Трёхфакторная — перебор.
Достаточно *полноценной* (!!!) реализации двухфакторной.
Со сроком действия СОС в 24 часа.
> этом и смысл двухфакторной аутентификации - пара логин+пароль и смс
вот только её отменяют.
хочешь СМС - плати за них. А иначе - ставь банковскую программу на телефон, в ней делай платежи, и В НЕЁ ЖЕ получай подтверждающие коды.
конечно, обезьянки в офисе заученно врут, что это и есть двуфакторная аутентификация, сначала пароль в программу, а потом код в этой же программе, ага.
Обычно зайти в ИБ можно - СМС будет , а вот СМС с кодами на денежные операции не проходят.
и на операции, всё как и раньше
честно говоря не знал, что может быть иначе
Тинек, Райф и Сбер дружно обломали когда менял старую СИМ-ку на нано-СИМ.
Другие "мои" банки "не заметили потери бойца".
Не знаю как с симками, а вот с электронными подписями такую лабуду прикрыли. Езжайте ножками и получайте с паспортом лично или продляйте пока старая ещё действует.
Вы можете в личном кабинете своего мобильного оператора посмотреть номер договора, он уникальный и длиннее чем номер телефона. Чтобы занять номер телефона, надо чтобы этот номер был свободен, а он занят вами. Чтобы номер был свободен, надо 3 месяца не совершать платных действий (звонков, СМС), после чего ежедневная абонентка должна обнулить остатки вашего аванса... и только после этого номер попадает в какой-то там у них список на удаление и через полгодика (это не точно, предполагаю) номер освобождается и его могут занять.
Дубликат СИМ карты нельзя сделать. Мы на производстве специально их изготавливали по заказу оператора для тестовых целей. Иногда случайно одновременно активировали две продублированных СИМки и буквально через несколько минут получали звонок в голову. Вычисляли моментально и блокировали.
Дублировать СИМ карту можно только на заводе и только вручную перенастраивая оборудование.
ОТОЖ.
Welcome back to the кнопочные телефоны.
Продажи оных в России уже подросли - народ по-тихоньку начинает просекать, что смартфоны стали слишком "smart". Или "лучшее - враг хорошего".
А некоторые и не слезали. Когда приходит СМС со ссылкой на некое приложение, которое надо срочно установить - очень забавно. Когда приходит код подтверждения чегой-то там - очень забавно. Когда некий чудик шлёт тупорылое СМС, что вам ошибочно положил 300 рублей на телефон - очень забавно.
Дык, у меня ёрзалок никогда и не было. Пользуюсь обычным кнопошником с минимум функциоала. Заряда а неделю хватает. Экран чтобы разбить - ну если только молотком долбануть. А у модных смарт-приблуд у народа, смотрю, каждый второй экран - раздолбаный...
Страницы