ваш код для доступа к сервисам мтс не сообщайте его никому что это такое
Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи
Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.
Upd: Тем не менее слово «новый» из названия убрал, спасибо за критику. Ответы на основные моменты критики поместил в конце, чтобы не было нужды читать комментарии.
Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.
Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.
Описание способа
Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».
Предварительный анализ угроз и их ощущаемой «ужасности»
Краткий опрос 9 обывателей показал:
Тестовая эксплуатация угнанного доступа в ЛК МТС
Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.
МТС уведомляет старый номер жертвы о:
NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.
Затем, только с помощью нового телефона, я удачно:
Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.
Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.
Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.
Upd 14.02.19 — ответы на вопросы и критику в комментариях
Чаще всего претензии комментаторов были к названию:
Где здесь новый способ? — в первом же предложении обосновал, но недостаточно, более верным словом было бы «нераспространенный» или «малоизвестный», однако, я вообще убрал это слово. Новизна, относительная, не в прямой просьбе денег, а в просьбе «не финансового характера», не имеющей прямой очевидной связи с финансовыми потерями. Это объективная редкость — чаще просят тупо в долг, но я с радостью познакомлюсь с реальной статистикой. Спасибо за понимание хабровчанам, ответившим точно так же в комментариях ниже.
А в чем оптовость такого угона? — действительно, я не пояснил, виноват, исправляюсь. «Оптом», в кавычках, обозначает то, что один и тот же телефон может быть «вторым фактором» двухфакторной авторизации сразу на многих сервисах, и получение такого доступа может привести к потерям контроля сразу для нескольких аккаунтов, а также к иным потерям. Лучше слова не придумал, но суть в том, что один ключ может открыть не одну очевидную дверь, а несколько, причем неизвестно какие.
Другой популярный мотив возмущения:
Обычная социальная инженерия! Зачем это на хабре? — так и есть, да только социальная инженерия очень широкий термин, не говорящий ничего конкретно. Однако можно строить систему так, чтобы схемы простого обмана пользователя не срабатывали, а мошеннические схемы все разные, и любому айтишнику или безопаснику обязательно надо знать о возможности существования нелегитимно включенной переадресации. Поэтому на хабре.
Примеры:
— прикручиваем возможность прослушать капчу или код с автозвонка?
— оставили цифровой номер у шлюза для подтверждающих смс?
Учитываем, что можем пустить «зомби» в систему. Это не всегда очевидно. Возможно после такого восстановления доступа нужно действительно ограничить права или задать уточняющие вопросы при восстановлении доступа.
— отправляем по смс или автодозвонщиком какую-то конфиденциальную информацию?
Есть риск ее раскрыть злоумышленникам или например ответить по ФЗ 152 за «Иван Иванович у вас долг по кредиту такому-то столько-то рублей».
— сотрудник жалуется, что ему не приходят СМС с корпоративного портала?
Не посылаем его куда подальше, а исследуем ситуацию, возможно его смс ушли «налево».
Кроме того, если хотя бы десяток людей лишний раз проговорят со своим окружением правила вида: «любые переводы или коды, только после личного созвона, даже если это вообще не про деньги», то я уже не зря писал.
Отдельное спасибо trublast за habr.com/ru/post/436774/#comment_19638396 и tcapb1 за habr.com/ru/post/436774/#comment_19637462, в которых они поняли и развили мои мысли, привели возможные угрозы и варианты.
В конце добавлю ответ на комментарии типа «По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего».
Совершенно верно, красть как правило нечего, и это еще одна важная особенность, которую должны учитывать информационные системы, протоколы безопасности и политики авторизации. То, что многие люди стараются быть хорошими, добрыми, помогать друг-другу, теряют свои деньги, но они работают на предприятиях. Если у кого-то глючит компьютер, а надо срочно отправить письмо — пустят, не смотря на то, что у них доступ совсем другого уровня.
Средний айтишник, все-таки довольно параноидален, имеет высокий уровень абстрактного мышления, способен быстро строить цепочки рассуждений и оценивать вероятности, да и наслышан о различных схемах обмана. А средний человек совершенно другой, ему нужно решить свои рабочие вопросы попроще и побыстрее самому и другу помочь, а он потом тебе поможет. Какой-нибудь грузчик, электрик, курьер, менеджер, люди не связанные с постоянным контактом с вопросами информационной безопасности, могут иметь доступ к очень закрытым данным, дорогим изделиям и совершенно не понимать, что именно они способны нарушить, уровень риска и цену потенциального ущерба. И даже если они будут виновны в убытке на миллионы, с них нечего взять, вообще. Поэтому, я считаю, именно айтишникам, нужно держать в голове все потенциальные уязвимости каждого «Иван Иваныча» и учитывать их в проектировании и обслуживании информационных систем предприятий, ну и знакомых как-то просвещать.
Пришла Смс Код Доступа к Сервисам Мтс Что Это
🗣 Мтс Login Ваш Код Для Доступа к Сервисам Мтс
МТС-банк проверяет сообщения клиентов о фактах доступа к их счетам со стороны злоумышленников
Скриншот переписки клиента представителем банка. Источник: форум banki.ru.
Клиенты МТС-банка сообщили в СМИ о том, что с конца марта по начало июня 2020 года с их счетов происходили списания средств, причем это делалось без ведома владельцев счетов. Оказалось, что все хищения происходили по одной схеме: мошенники блокировали мобильный номер клиента МТС-банка (сотовым оператором большинства пострадавших является МТС, также есть случаи блокировки номеров клиентов «МегаФона», «Билайна» и Tele2). Далее злоумышленники меняли в банке номер телефона на свой, получали доступ к счету и онлайн-банкингу и переводили деньги на другие счета. Большинство пострадавших клиентов пользовались услугами мобильного оператора МТС. В издании РБК сообщили, что к ним обратились одиннадцать пострадавших, с их слов, у них было похищено более 1, 8 млн руб. Однако, на форуме banki.ru обращений и жалоб с такой проблемой значительно больше.
Пояснение клиента банка, который попытался сам разобраться в ситуации.
В настоящее время МТС-банк начал внутреннюю проверку по этой ситуации, но информацию о списании со счетов клиентов денег не подтвердил. В Банке России также в курсе жалоб клиентов и разбираются в ситуации. Вдобавок проблемой клиентов банка заинтересовались в Роспотребнадзоре, там сейчас тоже проводят проверку по факту обращения клиентов.
Вот только одна из жалоб клиента банка.
Оказалось, что большинство пострадавших счетов было привязано к кредитным картам, также клиенты жаловались на случаи списания с их дебетовых карт и накопительных счетов.
Один из пострадавших клиентов МТС-банка уже получил ответ от кредитной организации, в котором банк отказалался возвращать выведенные мошенниками деньги, так как все операции были подтверждены одноразовым кодом. А использовал этот код мошенник или клиент, в данном случае не играет роли.
Специалисты по информационной безопасности пояснили, что в подобных схемах злоумышленники сначала звонят в call-центр оператора связи и попросят временно заблокировать номер клиента. Такая возможность есть у любого оператора, например на случай кражи телефона. Для этой процедуры им нужно знать только паспортные данные жертвы. Затем мошенник, используя эти же паспортные данные клиента, звонит в call-центр банка и попросит привязать другой номер телефона вместо прежнего. А далее он получает полный доступ к одноразовым СМС-паролям, которые приходят на новый привязанный номер телефона для подтверждения операций со счетом.
Основатель и технический директор компании DeviceLock Ашот Оганесян пояснил, что паспортные данные и кодовые слова клиентов можно найти, например, в продаваемых базах данных в даркнете или с помощью «пробива» у оператора связи или сотрудников банков. Причем там может быть актуальная информация, включая ФИО клиентов, их контактные телефоны и даже данные по текущим остаткам на их счетах.
Ранее в конце мая 2020 многие клиенты МТС-банка жаловались на принудительную смену паролей банком для входа в мобильное приложение. Фактически, банком была проведена массовая рассылка по СМС новых паролей, при этом часть пользователей не смогли зайти по ним в свой личный кабинет. Тогда в банке пояснили, что проводятся плановые мероприятия по повышению безопасности онлайн-сервисов. А почему пароли высылались в открытом виде и в них были только цифры, в банке не уточнили.
После появления этой новости от МТС-банка пришел официальный комментарий:
МТС Банк провел дополнительную проверку IT-систем банка. Утечек не обнаружено. Все данные и средства клиентов МТС Банка надежно защищены.
Информация в СМИ и соцсетях о 30 пострадавших не соответствует действительности. В чат во «ВКонтакте», о котором говорится в сообщениях, вступили также сотрудники претензионной работы МТС Банка, чтобы быть на связи с клиентами, и другие заинтересованные лица, не являющиеся пострадавшими — итого в данной группе состоит порядка 30 пользователей.
В МТС Банк обратилось 12 человек из 2, 5 млн клиентов. Это единичные случаи. На данный момент по каждому из них проводится дополнительная проверка обоснования списания средств, которая пока не закончена.
В случае выявления факта мошеннических действия со средствами клиента, МТС Банк возмещает денежные средства, если устанавливает, что списание произошло без участия клиента, — то есть клиент сам не называл мошенникам пин-код, телефонные коды, логины, пароли и другие персональные данные.
МТС Банк призывает клиентов финансовых учреждений внимательно относиться к персональным данным и ни при каких обстоятельствах не сообщать их третьим лицам. В прошлом году по данным ФинЦЕРТ Банка России семь из десяти хищений денежных средств со счетов клиентов российских банков осуществлялись в случаях, когда клиенты сами сообщали мошенникам необходимую информацию, которая открывала злоумышленникам доступ к счетам. В последнее время, на фоне периода самоизоляции, случаи мошеннических действий по отношению к клиентам российских банков участились.
Шесть советов, которые помогут защитить данные в вашем смартфоне от злоумышленников
Мы давно уже относимся к смартфону как к хранилищу информации, и зачастую самой важной. Чего только нет в гаджете современного пользователя — контакты, фотографии, приложения банков, аккаунты в социальных сетях, почтовые приложения и даже сканы личных документов. В общем, вся жизнь. Чтобы она не оказалась в руках мошенников, необходимо соблюдать определенные правила. Мы подготовили для вас шесть рекомендаций, которые позволят защитить данные от посторонних и самим не потерять к ним доступ в случае пропажи смартфона.
Обращайте внимание на запросы приложений
Намерены установить новое приложение? Сначала проверьте, к чему оно собирается получить доступ. Сделать это можно в подробном описании приложений в магазине.
Подозрительно, если игра или программа для смены темы на смартфоне хочет иметь информацию об аккаунтах, SMS или вашем местоположении. Руководствоваться в вопросе разрешений следует здравым смыслом. Например, приложению Facebook доступ к контактам необходим для того, чтобы вы могли найти друзей в социальной сети. При этом вам решать, нужно это вам или нет: можно программе в таком запросе отказать, она все равно будет работать. Но так будет не со всеми приложениями: некоторые работать откажутся. Если какому-нибудь фильтру для фотографий непременно нужна ваша история вызовов, а отказ он не принимает, то лучше его вообще не устанавливать.
Регулярно меняйте пароли
Старайтесь чаще обновлять цифровой пароль, если вы используете его в своем смартфоне. Специалисты по рекомендуют делать это не реже чем раз в 3–6 месяцев. Пароль не должен быть простым, нельзя использовать свою дату рождения, имена, набор из одних и тех же или последовательно идущих на клавиатуре символов — именно такие варианты злоумышленники будут пробовать в первую очередь.
Особенно важно, чтобы пароли к смартфону и банковским приложениям не были одинаковыми, ведь подобрав код к гаджету, посторонний человек получит доступ и к вашим деньгам.
Разные пароли необходимы и для связанных приложений, например, если ваш аккаунт в Facebook, Twitter или «ВКонтакте» привязан к электронной почте. Иначе, подобрав правильное сочетание символов к одному ресурсу, преступник тут же получит доступ и к другому.
Еще один важный фактор безопасности — использование на Потеряли вы телефон или стали жертвой воров — не столь важно. Главное, что вашу симку можно вставить в другой смартфон и с легкостью украсть ваши деньги, если вы пользуетесь какой-либо платежной системой. Ничто не помешает мошеннику отправить запрос на смену пароля на сайте сервиса, а потом перевести средства кому угодно. В этом случае не поможет даже двухфакторная аутентификация (см. ниже), поскольку код для входа в электронный кошелек придет злоумышленнику — на вашу А если у него окажутся еще и данные вашей пластиковой карты, он сумеет войти в банковское приложение и украсть с нее деньги.
Кроме того, завладев чужой симкой, можно снять средства с мобильного счета или оплатить различные товары в пределах суммы, которая лежит на нем.
Наличие позволит вам избежать подобной опасности или хотя бы даст время, чтобы отвязать свои карты от телефона и заблокировать их.
Следите за подключениями Wi-Fi
Сегодня общественный можно найти в кафе, ресторанах, аэропортах и других общественных местах. Однако публичный беспроводной интернет не так надежен, как может показаться. на смартфоне автоматически подключается к открытым сетям, которыми вы хотя бы один раз пользовались. Мошенники могут создать точку доступа с тем же именем и подсунуть пользователю страницу с просьбой ввести логин и пароль от его учетной записи, что позволит им добраться до важной информации. Чтобы этого избежать, не ленитесь очищать список запомненных беспроводных сетей или вообще откажитесь от автоподключения к общественным сетям в настройках Особенно вас должны настораживать сети, совсем не требующие ввода пароля.
Используйте резервное копирование данных
Практически каждый из нас хранит в смартфоне множество ценной информации, в том числе фотографии, контакты, переписку и т. д. Сохранить их в случае утраты гаджета поможет резервное копирование. Опция доступна в стандартном облачном сервисе от производителя смартфона и на сторонних ресурсах. Например, владельцы Android-гаджетов могут воспользоваться сервисом Google.
В настройках смартфона зайдите в раздел Google.
Выберите раздел «Резервное копирование».
Активируйте пункт «Загружать на «Google Диск» и нажмите «Начать копирование».
У абонентов МТС есть отличная альтернатива в виде сервиса «Вторая память», который не только позволит создать бэкап и восстановит утраченные контакты, но и упростит вам «переезд» на другой гаджет.
Применяйте двухфакторную аутентификацию
Двухфакторная аутентификация — один из самых надежных способов защиты любого аккаунта. Ее суть заключается в том, что система запрашивает не только пароль, но и одноразовый код, который приходит по SMS или в специальных приложениях. Даже зная пароль, злоумышленник не совершит вход, поскольку не получит одноразовый код без физического доступа к вашему смартфону или Такой способ аутентификации можно выбрать в настройках аккаунта многих интернет-сервисов, включая соцсети и банковские приложения.
Не переходите по сомнительным ссылкам
В современной жизни смартфон — не только незаменимый помощник и хранитель важной информации. Это еще и средство, которое охотно используют мошенники всех мастей, чтобы завладеть нашими ресурсами, в том числе деньгами. В ход идет все: SMS, сообщения в мессенджерах, почтовые отправления, звонки от якобы банков, социальных и других служб. Обо всех этих нечестных методах говорится часто и много, но без улова преступники все же не остаются. Они играют на нашей любви к близким, страхе потери, стремлении к халяве. Уж, казалось бы, сколько раз предупреждали — не переходите по ссылкам от незнакомых людей, особенно если в сообщении написано, что вы вдруг стали победителем какой-нибудь лотереи или счастливым обладателем машины-квартиры-айфона и т. д. Но нет, каждый раз находятся легковерные — переходят в надежде на внезапное счастье, но теряют даже то, что у них есть.
Главный принцип безопасности — осторожность и внимательность. Не сообщайте никому логинов, паролей, кодов и идентификационных номеров, не верьте тем, кто провоцирует вас совершить необдуманное действие. Не бросайте свой смартфон без присмотра и не доверяйте его малознакомым людям.
Некоторые вопросы с безопасностью на вашем смартфоне можно автоматизировать, установив на ваш Android-гаджет антивирусное приложение. Например, бесплатную программу Kaspersky Security для МТС.
Шесть советов, которые помогут защитить данные в вашем смартфоне от злоумышленников
Мы давно уже относимся к смартфону как к хранилищу информации, и зачастую самой важной. Чего только нет в гаджете современного пользователя — контакты, фотографии, приложения банков, аккаунты в социальных сетях, почтовые приложения и даже сканы личных документов. В общем, вся жизнь. Чтобы она не оказалась в руках мошенников, необходимо соблюдать определённые правила. Мы подготовили для вас шесть рекомендаций, которые позволят защитить данные от посторонних и самим не потерять к ним доступ в случае пропажи смартфона.
Обращайте внимание на запросы приложений
Намерены установить новое приложение? Сначала проверьте, к чему оно собирается получить доступ. Сделать это можно в подробном описании приложений в магазине.
Подозрительно, если игра или программа для смены темы на смартфоне хочет иметь информацию об аккаунтах, SMS или вашем местоположении. Руководствоваться в вопросе разрешений следует здравым смыслом. Например, приложению Facebook доступ к контактам необходим для того, чтобы вы могли найти друзей в социальной сети. При этом вам решать, нужно это вам или нет: можно программе в таком запросе отказать, она всё равно будет работать. Но так будет не со всеми приложениями: некоторые работать откажутся. Если какому-нибудь фильтру для фотографий непременно нужна ваша история вызовов, а отказ он не принимает, то лучше его вообще не устанавливать.
Регулярно меняйте пароли
Старайтесь чаще обновлять цифровой пароль, если вы используете его в своём смартфоне. Специалисты по рекомендуют делать это не реже чем раз в 3–6 месяцев. Пароль не должен быть простым, нельзя использовать свою дату рождения, имена, набор из одних и тех же или последовательно идущих на клавиатуре символов — именно такие варианты злоумышленники будут пробовать в первую очередь.
Особенно важно, чтобы пароли к смартфону и банковским приложениям не были одинаковыми, ведь подобрав код к гаджету, посторонний человек получит доступ и к вашим деньгам.
Разные пароли необходимы и для связанных приложений, например, если ваш аккаунт в Facebook, Twitter или «ВКонтакте» привязан к электронной почте. Иначе, подобрав правильное сочетание символов к одному ресурсу, преступник тут же получит доступ и к другому.
Ещё один важный фактор безопасности — использование на Потеряли вы телефон или стали жертвой воров — не столь важно. Главное, что вашу симку можно вставить в другой смартфон и с лёгкостью украсть ваши деньги, если вы пользуетесь какой-либо платёжной системой. Ничто не помешает мошеннику отправить запрос на смену пароля на сайте сервиса, а потом перевести средства кому угодно. В этом случае не поможет даже двухфакторная аутентификация (см. ниже), поскольку код для входа в электронный кошелёк придёт злоумышленнику — на вашу А если у него окажутся ещё и данные вашей пластиковой карты, он сумеет войти в банковское приложение и украсть с неё деньги.
Кроме того, завладев чужой симкой, можно снять средства с мобильного счёта или оплатить различные товары в пределах суммы, которая лежит на нём.
Наличие позволит вам избежать подобной опасности или хотя бы даст время, чтобы отвязать свои карты от телефона и заблокировать их.
Следите за подключениями Wi-Fi
Сегодня общественный можно найти в кафе, ресторанах, аэропортах и других общественных местах. Однако публичный беспроводной интернет не так надёжен, как может показаться. на смартфоне автоматически подключается к открытым сетям, которыми вы хотя бы один раз пользовались. Мошенники могут создать точку доступа с тем же именем и подсунуть пользователю страницу с просьбой ввести логин и пароль от его учётной записи, что позволит им добраться до важной информации. Чтобы этого избежать, не ленитесь очищать список запомненных беспроводных сетей или вообще откажитесь от автоподключения к общественным сетям в настройках Особенно вас должны настораживать сети, совсем не требующие ввода пароля.
Используйте резервное копирование данных
Практически каждый из нас хранит в смартфоне множество ценной информации, в том числе фотографии, контакты, переписку и т. д. Сохранить их в случае утраты гаджета поможет резервное копирование. Опция доступна в стандартном облачном сервисе от производителя смартфона и на сторонних ресурсах. Например, владельцы Android-гаджетов могут воспользоваться сервисом Google.
В настройках смартфона зайдите в раздел Google.
Выберите раздел «Резервное копирование».
Активируйте пункт «Загружать на «Google Диск» и нажмите «Начать копирование».
У абонентов МТС есть отличная альтернатива в виде сервиса «Вторая память», который не только позволит создать бэкап и восстановит утраченные контакты, но и упростит вам «переезд» на другой гаджет.
Применяйте двухфакторную аутентификацию
Двухфакторная аутентификация — один из самых надёжных способов защиты любого аккаунта. Её суть заключается в том, что система запрашивает не только пароль, но и одноразовый код, который приходит по SMS или в специальных приложениях. Даже зная пароль, злоумышленник не совершит вход, поскольку не получит одноразовый код без физического доступа к вашему смартфону или Такой способ аутентификации можно выбрать в настройках аккаунта многих интернет-сервисов, включая соцсети и банковские приложения.
Не переходите по сомнительным ссылкам
В современной жизни смартфон — не только незаменимый помощник и хранитель важной информации. Это ещё и средство, которое охотно используют мошенники всех мастей, чтобы завладеть нашими ресурсами, в том числе деньгами. В ход идёт всё: SMS, сообщения в мессенджерах, почтовые отправления, звонки от якобы банков, социальных и других служб. Обо всех этих нечестных методах говорится часто и много, но без улова преступники всё же не остаются. Они играют на нашей любви к близким, страхе потери, стремлении к халяве. Уж, казалось бы, сколько раз предупреждали — не переходите по ссылкам от незнакомых людей, особенно если в сообщении написано, что вы вдруг стали победителем какой-нибудь лотереи или счастливым обладателем машины-квартиры-айфона и т. д. Но нет, каждый раз находятся легковерные — переходят в надежде на внезапное счастье, но теряют даже то, что у них есть.
Главный принцип безопасности — осторожность и внимательность. Не сообщайте никому логинов, паролей, кодов и идентификационных номеров, не верьте тем, кто провоцирует вас совершить необдуманное действие. Не бросайте свой смартфон без присмотра и не доверяйте его малознакомым людям.
Некоторые вопросы с безопасностью на вашем смартфоне можно автоматизировать, установив на ваш Android-гаджет антивирусное приложение. Например, бесплатную программу Kaspersky Security для МТС.