Адрес для входа в РФ: exler.world
Страшилка про угон аккаунтов через кабинет сотового оператора
Несколько дней назад на "Хабре" проскочила статья с громким названием "Новый способ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи". Мне на нее прислали ссылку и спросили, что я думаю по данному поводу - в смысле, опасаться или нет.
Пошел читать статью. Краткое изложение.
Один страшный злодей получает доступ к некоему аккаунту - ну, например, во "Вконтактике". И тут же начинает рассылать френдам этого аккаунта СТРАШНОЕ - скриншот из статьи.
То есть предполагается, что вы свой номер мобильника открыли всем френдам. Этого делать крайне не рекомендуется - именно из-за возможности "увода" аккаунта соцсети, - но многие делают, да.
Вам на телефон приходит следующая SMS.
Ну то есть очевидно, что "френд" пытается войти в ваш личный кабнет. По мнению автора статьи, вы являетесь законченным кретином и сообщаете "френду" этот код.
Дальше автор рисует прелестную апокалиптическую картину о том, что страшный злодей вошел в ваш кабинет, тут же настроил переадресацию SMS на свой номер, сменил пароль, после чего ваша жизнь не будет стоить и ломаного гроша, потому что он сначала сольет все деньги со счета, затем получит доступ ко всем вашим мессенджерам, там прочитает тайную переписку, где вы сообщаете всем и каждому ваши логины-пароли к банковским аккаунтам, после чего зайдет в ваши бансковские аккаунты и сольет все бабки оттуда.
Потом, разумеется, уведет вашу жену, купит на ваше имя квартиру в ипотеку, оформит кредит на "Ламборгини" и продаст вашу почку богатому арабу. Ой, нет, это я уже все придумал, но выше - именно так изложено в статье. Автор даже пишет, что он, имитируя ситуацию, сумел получить доступ к "чужому" банковскому счету и сделать перевод, цитирую:
Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.
Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.
Ну, ОК, давайте разберемся.
Вообще сам факт того, что какой-то "френд" попросит вас прочитать ему SMS, пришедшую на ваш телефон - это уже какой-то абсурд. С какого бодуна вы должны кому-то диктовать ВАШ код? Ну, хорошо, вы сильно заняты, "френд" хорошо знакомый, вы сильно пьяный и код продиктовали.
Дальше при его заходе в ваш личный кабинет вам приходит вот такое сообщение.
Единственная возможная ваша реакция - немедленный звонок по указанному номеру и ваш аккаунт блокируется для разбирательства.
Ну, хорошо, допустим, злодей - человек хитрый и не делает сразу вход, а подло ждет ночи, чтобы вы SMS прочитали только утром.
Зашел он в ваш аккаунт. Что он теперь может сделать? На самом деле только одно - обчистить ваш счет телефона. Например, перевести сумму на свой номер. Да или просто на свою карту.
А как же, спросите вы, установка переадресации SMS с целью похищения всего на свете?
Отвечаю. Да, переадресацию вы можете установить в вашем личном кабинете и при этом не потребуются подтверждающие SMS.
Однако! Эта переадресация работает только с обычными SMS, отправленными с длинных номеров. SMS с коротких номеров, а их как раз используют банки, мессенджеры и так далее - не переадресуются. Я это все в свое время выяснил, когда пытался переадресовывать банковские SMS на свой испанский номер. Ну и на всякий случай вчера еще проверил - такие SMS приходят только на оригинальный номер.
Так что все остальное - просто буйные фантазии автора статьи. Ни к каким мессенджерам так доступ не получить и уж тем более не получить доступ к банковским аккаунтам, тем более что там еще, извините, надо знать логин и пароль. А предположение автора о том, что вы эти логины-пароли в открытом виде пересылаете через ваши мессенджеры - ну, знаете, тут уже вы получаетесь не просто идиотом, а каким-то законченным кретином.
Но, как мы выяснили, даже в случае вашего законченного кретинизма, фиг кто таким образом получит доступ к вашему банковскому аккаунту.
Так что это все - просто банальная страшилка, не подкрепленная никакими доказательствами. Просто фантазии. Ну и замечу, что даже из этой достаточно дурацкой статьи не следует, что аккаунты угоняют "оптом", так что на черта это еще вынесено в название - непонятно совершенно.
Пошел почитать комменты - подумал, что уж на "Хабре" народ грамотный, объяснит товарищу, что не надо всякую шнягу писать. Ан нет, обсуждают только, что за подобное никого не ловят и не сажают. Цирк на льду.
Естественно, описывать не буду, но что-то мне кажется, и в других банках такая штука должна сработать.
И Алекс - если ты чего-то не знаешь, не пиши, что это 'цирк' и и.д. Просто напиши, что не в курсе, не надо стараться быть спецом по всему сразу.
Электронные карты Starbucks не генерируют штрих-код динамически, как можно было подумать исходя из многомегабайтного рамера их телефонного приложения, а используют фиксированный. Это значит, что в очереди у кассы запросто могут сфотографировать ваш штрих-код и использовать его. А это не просто бонусы – большинство людей привязывают эти карты к реальным банковским, так что злоумышленники будут питаться в Starbucks-e за ваш счет.
Вопрос в том, что сложного обновлять штрих-код после каждой оплаты?
Каким надо быть ниндзя и с какой техникой чтобы незаметно сфотографировать код с экрана телефона и он при этом был достаточно читаем для использования.
Ну и уведомления о списания с банковской карты никто не отменял. Питаться будут недолго.
Во всех случаях (которыми я пользуюсь) СМС-код живёт не более нескольких минут. (хотя могут быть и другие варианты, не знаю). Надо злоумышленнику выбирать момент, когда жертва делает последний зевок перед сном 😄
Был у меня личный кабинет к карте "Пятерочка" (если кто не в курсе - один из наших глобальных сетевых брендов, карта дает кэшбек от 1% на все покупки, вроде и не много - но тоже в копилочку).
Для авторизации необходим номер телефона, пароль, и подтверждение из СМС. Но, с помощью СМС пароль можно изменить, так что реально нужен номер телефона и СМС-ки из него.
Что же произошло: приходит СМС с кодом, из Пятерочки, и так как я его не запрашивал, то соответственно я на него забил. А через пару часов обнаруживаю в почте информационное письмо о смене пароля. Ну и обнаружилось что со счета у меня было списано 1500 с чем то баллов (т.е. 150 рублей), на покупку бутылки подсолнечного масла, и пачку сливочного масла, и покупка эта состоялась хдей-та аж в Чувашии (а я на тот момент находился на границе Московской и Тверской областей).
Телефон проверил всеми доступными антивирусами - ничего не нашел. Позвонил в службу поддержки, на что мне объяснили что такого просто не может быть, приняли заявление со обещанием разобраться и перезвонить через неделю. Но там я по работе замотался, сумма была не столь высока, ну и в общем так я и не выяснил: как так оно произошло.
Ну и тут только такие мысли: есть у меня в телефоне вирус, который не определяется антивирусами; был какой-то вирус с самоуничтожением (во что верится меньше всего); была сделана копия сим-карты, каким-то образом.... ну или у них в системе огромный баг, позволяющий получать копию отправляемых смс-ок.
Более такого не происходило.
... Может кому и пригодится эта история...
Меня еще дружбан хорошо подстебнул на эту тему: Юра, если люди идут на такие ухищрения, чтобы купить бутылку подсолнечного и пачку сливочного, то поверь, им это нужнее! 😄
Ну а вообще, может есть договоренность по обналичиванию, какая... Т.е. подбирали товары, дабы максимально освоить баллы, а потом возврат, и деньги пополам. Понятно, что ради 150-ти рублей такое делать не будешь, но вот если это была массовая "акция"...
P.S. Да и Алекс что то из испанского опыта вроде описывал, что могут из конторы попросить все данные вашей карты. ))
А на фига им?
