После недавнего расследования Bellingcat многие удивлялись, как позвонить человеку с другого номера. Например, с номера его начальника или коллеги. Такая возможность действительно существует. Для подделки обратного номера в ФБК использовали виртуальную АТС и настройки IP-телефонии, а для подделки голоса — пранкерский софт. Теперь же все эти инструменты доступны любому желающему через бота в Telegram, пишет «Коммерсантъ».
Таким образом звонящий может выдать себя за родственника, друга или работодателя жертвы с целью вымогательства, считают эксперты.
После оплаты услуги бот позволяет ввести в специальное поле номер абонента и обратный номер, который высветится у него на экране. В данный момент под наплывом пользователей бот сильно глючит.
Глава отдела информационной безопасности «СёрчИнформ» Алексей Дрозд (labyrinth) в комментарии «Коммерсанту» пояснил, что чаще всего злоумышленники представляются службой безопасности банка и в ходе разговора уговаривают жертву, чтобы она перевела деньги на счёт мошенника. По статистике ЦБ, около 80% злоумышленников, звонящих от лица финансовых организаций, используют подмену номеров. В I пол. 2020 года ЦБ заблокировал 9700 мошеннических номеров. Инициативу для борьбы с подменой номера готовит комитет Госдумы по финансовому рынку.
Появление бота в Telegram не поможет мошенникам, потому что у них уже есть специализированные инструменты. Просто эта услуга станет доступной более широкому кругу людей для розыгрышей или в профессиональной деятельности. Такой сервис востребован у компаний, желающих обезопасить своих клиентов и сотрудников от нежелательных звонков, пояснил Игорь Шеко, ведущий разработчик коммуникационной платформы Voximplant, которая оказывает коммерческие услуги в том числе с подменой телефонного номера.
Есть также вероятность, что бота запустили правоохранительные органы, чтобы повысить раскрываемость данного вида преступлений.
Большинство абонентов сотовой связи со временем привыкнет, что распознавание номера на мобильном телефоне не даёт достоверной информации о звонящем.
UPD. Алексей Дрозд из «СёрчИнформа» подробнее рассказывает про функционал этого бота и виртуальных АТС вообще. По его словам, спуфинг CallerID — востребованная и полезная технология для информационной безопасности, но конкретно к этому боту есть претензии из-за функции изменения голоса. Цель этой функции не вполне понятна.
Таким образом звонящий может выдать себя за родственника, друга или работодателя жертвы с целью вымогательства, считают эксперты.
После оплаты услуги бот позволяет ввести в специальное поле номер абонента и обратный номер, который высветится у него на экране. В данный момент под наплывом пользователей бот сильно глючит.
Глава отдела информационной безопасности «СёрчИнформ» Алексей Дрозд (labyrinth) в комментарии «Коммерсанту» пояснил, что чаще всего злоумышленники представляются службой безопасности банка и в ходе разговора уговаривают жертву, чтобы она перевела деньги на счёт мошенника. По статистике ЦБ, около 80% злоумышленников, звонящих от лица финансовых организаций, используют подмену номеров. В I пол. 2020 года ЦБ заблокировал 9700 мошеннических номеров. Инициативу для борьбы с подменой номера готовит комитет Госдумы по финансовому рынку.
Появление бота в Telegram не поможет мошенникам, потому что у них уже есть специализированные инструменты. Просто эта услуга станет доступной более широкому кругу людей для розыгрышей или в профессиональной деятельности. Такой сервис востребован у компаний, желающих обезопасить своих клиентов и сотрудников от нежелательных звонков, пояснил Игорь Шеко, ведущий разработчик коммуникационной платформы Voximplant, которая оказывает коммерческие услуги в том числе с подменой телефонного номера.
Есть также вероятность, что бота запустили правоохранительные органы, чтобы повысить раскрываемость данного вида преступлений.
Большинство абонентов сотовой связи со временем привыкнет, что распознавание номера на мобильном телефоне не даёт достоверной информации о звонящем.
UPD. Алексей Дрозд из «СёрчИнформа» подробнее рассказывает про функционал этого бота и виртуальных АТС вообще. По его словам, спуфинг CallerID — востребованная и полезная технология для информационной безопасности, но конкретно к этому боту есть претензии из-за функции изменения голоса. Цель этой функции не вполне понятна.
vmkazakoff
Мне не очень понятно, как так с моего номера может звонить кто угодно. Нахрена тогда симкарты физические, вот это все? Почтовые сервисы отправляют письмо в спам сразу, если отправитель представился одним адресом, но домен не совпадает, а у операторов связи такого нет?
el_kornholio
Legacy-протоколы, они такие…
struvv
Подменяется callerId — там можно что угодно накалякать всегда было.
У операторов связи проходит правильный номер и правоохранители если соизволят начать расследование, увидят реальный номер
Возможно если все будут массово подменять номера, это быстро приучит людей не доверять номеру телефона, отображаемому этим самым телефоном
vmkazakoff
Да я уже как бы на незнакомые не реагировал. Но считал что если номер у меня записан как "мама" то и звонить с него может только "мама"...
struvv
Очевидно звонить с него может кто угодно
Это было бы более понятно людям, если бы это было опцией оператора типо 1 руб один звонок с подменой номера
01Vovchik
Моя паранойя тоже on. И вот родился вопрос и возможно какой-никакой вариант.
Если мне звонит «мама», но взяв трубку я что-то подозреваю, то сбросив и перезвонив, я ведь попаду точно на реальную маму?
inkelyad
vmkazakoff
Как написали уже выше — вроде как (я уже реально не знаю) да. Вот только как вашей маме понять что это реально вы? Но по это уже тоже написали...
Rampages
Нужно пройти правильную аутентификацию и хендшейк :) после установки условно доверительного канала связи обменяться обезличенной информацией
K0styan
Если никто не заморочится, например, дублированием её SIM-карты или принудительным включением переадресации — то да. Более того, это основной рекомендуемый вариант при подозрениях — самый простой и всем доступный.
Caller ID — это просто метаданные соединения, их можно крутить как угодно. Идентификатор вызываемого абонента — основные данные, необходимые для правильного соединения, с ними манипулировать на порядки сложнее (в общем случае надо заставить что-то делать оператора связи).
NetBUG
Да.
Именно поэтому телефонные мошенники, имперсонирующие СБ какого-нибудь банка, так не любят, когда жертва пытается перезвонить в банк сама.
ElfenEars
Не уверен…
vladkorotnev
Казалось бы, просто резать этот подставной и отдавать опять тот, что в базе, но тогда что делать с колл-центрами...
nero211
Посмотрите инфу про calleID spoofing. Самый популярный протокол VoIP SIP не имеет механизмов проверки соответствия идентификатора звонящего. Вызов (теоретически) можно выполнить с любого номера. Тут уже всё на совести и софте оператора связи.
vmkazakoff
Да. Уже погуглил. Мой мир не будет прежним.
Almet
Могу вас еще немного «обрадовать». МВД пойдет на контакты
Melkij
А вот что изменилось бы, если бы почтовые сервисы получали деньги за каждое принятое письмо? Точно боролись бы со спамом?
lexore
Вы не поверите, но в почтовых протоколах изначально нет проверки адреса отправителя.
Вот пример общения по протоколу SMTP. Отправка письма выглядит, как отправка вот таких команд и текста:
Конечно же, сегодня (и последние 15-20 лет) почтовые серверы проверяют все поля.
Они проверяют ip-адрес сервера-отправителя, домен, адрес "от", "кому" и т.д.
Есть много инструментов для проверки "а шлет ли этот сервер письма с таких доменов".
Можно даже проверить "а есть ли такой ящик на том сервере, с которого прилетело письмо".
Плюс, проверяют содержимое тела письма.
Поэтому сейчас очень сложно отправить вам письмо от адреса вашей мамы.
Но в мире телефонии таких жестких проверок ещё нет.
Оператор N шлет звонок в оператора M, а в данных звонка указан обратный номер "777".
"Не вижу причин не верить этому" говорит оператор М. Конечно не видит, если особо не проверяет.
Как уже сказали ниже, Legacy-протоколы, они такие...
vmkazakoff
Да, то что я могу поднять сервер какого-нибудь sendmail и отправить письмо хоть от имени президента америки я знаю. На работе этим часто пользуюсь в оассылках от моего сервиса по коллегам.
Но во всех знакомых мне сервисах такое письмо окажется в спаме без малейших раздумий, и, честно говоря, когда я пользуюсь мобильным телефоном я ожидаю что такой же сервис по проверке номера мне оказывает мой оператор. Ожидал. Теперь понял что был не прав.
И по мне это какой-то звездос получается. Какое нахрен тогда 5G, если им надо технический долг отдавать и баги фиксить критичные… Получается что они не тем занимаются. Или и тут я не прав и это разные люди делают?
lexore
Вы правы с точки зрения закрытия потенциальных рисков. Попробуйте посмотреть на это с точки зрения подсчета денег.
От выкатки новых фич доход есть. А от латания потенциальных дыр — дохода нет.
Проблема от этой дыры не у компании, а у конечных пользователей.
И проблема системная — переходом к другому оператору её решить нельзя.
Поэтому… потери? денежные? репутационные? В случае, если проблема и есть у всех, от ответственности можно уйти. В договорах, скорее всего, это давно учтено.
Тем более, что пока это не так активно используется, риск проблем очень маленький.
Если проблема станет массовой, скорее всего втихаря начнут накручивать фильтры, как с SMTP. И постепенно начнут с этим справляться так же хорошо, как со спамом. Как только поймут, что система более менее рабочая, сразу разрекламируют это как фичу. Потому что от фич — доход есть.
pvsur
Мобильные операторы уже накрутили много фильтров, и спам-звонки фильтровать они прекрасно умеют… но вам это доступно будет только за отдельную плату 3.5 рубля в день… бизнес, ничего личного.
Maccimo
Вы никогда не получали SMS с текстом вместо номера в поле «Отправитель»? А если получали, то давно должны были всё понять.
vmkazakoff
Был уверен, что такие смс присылаются через моего оператора (возможно с использованием компании прослойки) и в конечном итоге всеравно есть какой-то договор и конечнве ответственные люди.
В общем я уже понял что был не прав напрочь в своих ожиданиях. Как уже написал — мой мир не станет прежним.
JerleShannara
Я лет шесть назад тролил знакомых тролей поздравлениями с новым годом SMSками с номера типа «UrMomTooFat». Как помню, SMSки шли через Африку.
inkelyad
Потому что смысла отдавать его нет. Весь этот голосовой трафик стремительно замещается просто передачей данных. Где проверку абонента можно сделать прямо средствами самого устройства, а не транспортной сети. Ну вот как никто особо не следить за IP адресами собеседников в месседждерах. Потому что какая разница, какие они?
vmkazakoff
Ммм. И тогда все разбегутся по разным приложениям — одному в телегу звони, другому в вотсап, третий вообще в вайбере только ответит...
lexore
Кстати, это уже произошло. Родственники с разных концов страны звонят друг другу бесплатно по аудио и даже видео связи через whatsapp и одноклассников (да-да).
Это отличная альтернатива платным телефонным звонкам с хитрыми тарифами и "домашними" регионами. Именно поэтому сотовые операторы уже лоббируют "зарегулировать" звонки через интернет. А то как так? Мышки кактус не едят.
nero211
А помните вооооот такие заголовки новостей: vg-news.ru/news-sotovye-operatory-trebuyut-zapretit-v-rossii-skype? Собаки гавкают — караван идет.
RiseOfDeath
Ха-ха-ха.
У меня есть мэйловская некропочта, которой я де-факто не пользуюсь. Мне один раз приходил спам с моего же адреса (причем со слов ТП он не был отправлен с моей почты, т.е. это не взлом вроде бы), а вы тут говорите про почту мамы…
lexore
Я сказал сложно, а не невозможно) Кто-то лучше от такого защищает, кто-то хуже. Попробуйте такой фокус на gmail.
jevius
Достоверно без отправки туда письма — нельзя.
whyme
можно, есть VRFY и EXPN smtp команды, созданы специально для проверки без отправки. tools.ietf.org/html/rfc5321#section-3.5
lexore
Есть такой метод, называется Callback.
Суть в том, что почтовый сервер получателя стучится на почтовый сервер отправителя и как-бы начинает отправлять письмо отправителю. Если ему не говорят "таких нету", то он делает вывод, что ящик есть. Метод не 100% рабочий, но против спамеров помогает.
jok40
AKYLA
Ещё во времена Siemens SL45, легендарный ослик, на него можно было накатывать патчи. Так вот была возможность патча с подменой номера для СМС и даже можно было скопировать сим карту и зашить ее в телефон, тогда такая возможность поражала.
belav
У мегаслона есть платная услуга, которая вместо подмененного caller id, высвечивает реальный номер (или номер шлюза)
razielvamp
Они занимаются этим видом преступлений (на практике, а не теоретически)? У них, благодаря некоторым законам, итак вся инфа есть за последние, сколько там, 3 года? Им не отсутствие бота мешало, а большой вес пятой точки, которую от стула неприятно отрывать, ибо маржа от раскрытий данного вида преступлений низкая.
Xtoman
он уже упал, видимо от наплыва пользователей
mSnus
Предупредите родителей. Это и раньше был надёжный развод — звонок в 2 часа ночи хриплым волнующимся голосом "мама, я сбил человека/ меня задержали в ОВД за митинг/подкинули наркоту" и дальше "не могу говорить, передаю трубку майору, нужны деньги". И люди привозили все свои сбережения в указанное секретное место.
А если ещё и подмена номера станет массовой… Где появился один бот, будут и другие.
Almet
Для каких целей? Типа, пошутить?
lexore
Вы уже придумали одну цель — пошутить. Кто-то подумает, и придумает ещё цели. Можно — уже плохо.
Ptenchkin
Думаю, им часто будут пользоваться пранкеры и журналисты- расследовали
a-l-e-x
Просто идея о том, что что-то (А) может являться идентификатором чего-то ещё (Б) — работает только в ограниченном контексте (включая время). И чем шире контекст, там меньше шансов, что это работает. Мне представляется, что это чистая философия и логика.
Отсюда следствие — использовать что-то (номер телефона, паспорт, имя и фамилия, адрес электронной почты, и так далее) как идентификатор человека можно только в ограниченном контексте. И всегда есть вероятность ошибки идентификации, даже в этом ограниченном контектсе.
vistoyn
Мне непонятна одна вещь. Как можно подменить callerID звонящего, если SIP транки у операторов напрямую запрещают этого делать и ставят callerID номера сип транка, а не тот, что передала ему SIP АТС?
a-l-e-x
какого оператора? где? во всём мире и всегда?
этот запрет — это же не второй закон термодинамики
vistoyn
У российских сотовых операторов и те, кто предоставляет услуги SIP телефонии, запрещена эта функция.
a-l-e-x
да, да. Именно. «закуклиться в пространстве, и остановить время»
nero211
Да. Но! де-факто поднять свой сервер и подключиться к оператору, который не умеет (не хочет\0-day уязвимость… etc) блокировать вызовы с левыми идентификаторами. хорошо, когда при выходе из основного коммутатора проверяется соответствие id пользователя и номера, а если нет?
pvsur
Вот как раз обычному человеку слать левые АОН достаточно проблематично, операторы такие вызовы не примут. Но можно же и договориться, вопрос в цене.
vistoyn
Есть ANI (Automatic number identification). По нему оператор, который принимает звонок и передает его абоненту, может узнать номер, кто звонит и использовать его вместо CallerID.
Maccimo
Нужно заменить номера в записной книжке на открытые криптостойкие ключи и обеспечить техническую возможность проверить этот ключ при звонке.
a-l-e-x
И это тоже не поможет. Потому что таким образом идентифицируете (верифицируете) ключи, а не человека.
Maccimo
Если для подмены номера нужно будет знать приватный ключ это уже усложнит жизнь злоумышленникам. Хранить свой приватный ключ в недоступном для детей, хакеров и спецслужб месте — обязанность его владельца.
vmkazakoff
Второй шаг — этими ключами шифровать канал, сравнивать получившийся секрет, внутри звонка внутри используя биометрию (голос) и второй фактор (девичья фамилия, где мы познакомились, мое любимое блюдо, etc) проверять собеседника, а если есть сомнения, использовать третий фактор (я тебе сам знаешь в чате какой игры скинул числа, а в сам знаешь какой месенджер — буквы, прочитай все вслух).
Ну все. У меня paranoia mode on (((
a-l-e-x
Это всё кончено так… Битва с матстатистикой. То есть тратим ресурсы на уменьшение вероятности. Ресурcы ограничены. Здесь и сейчас. А энтропия растёт… То есть имеем просто задачу экономику — на что будет тратить ограниченные ресурсы. И чем больше людей решат, что это нужно, тем больше ресурсов потратим…
pvsur
Это уже не стандартные протоколы (на данный момент)… ни один крупный оператор не пойдет на многомиллиардные затраты по замене оборудования и софта только ради вашей уверенности в АОН, если не будет государственной воли. Но стандарты разрабатываются долго, внедряются ещё дольше… хотя подвижки есть, американсы уже рисуют расширение sip с криптографическим подтверждением звонящего… и даже вроде в астериске будет его поддержка. Но у операторов куча по, в которое никто не будет этот стандарт внедрять, банально невыгодно. Инфраструктура у телекомов десятилетиями работает без изменений...
nero211
вот, возможное решение будущего TSIP (Trust Sesion Initiation Protocol) =)
Chamie
Интересно, как это всё сочтётся с существующим сейчас в России «телефонным правом».
rogoz
Так пранкеры судей и прокуроров уже давно «пранкуют».
dartraiden
Что стало с пермским пранкером, разоблачавшим судей, готовых принимать решения по звонку сверху
vistoyn
А в чем проблема для оператора отображать реальный ANI (Automatic number identification), а не CallerID?
Darkk_smith
Отличная тема для журналистов
shasoft
Mur81
Предположим, что тот известный разговор на самом деле был, там на самом деле была применена техника подмены номера и там на самом деле участвовал всамделешний сотрудник ФСБ. Теперь вопрос — не должно ли это самое ФСБ теперь очень сильно заинтересоваться как такой фокус столь легко проходит в сетях наших любимых опсосов?
qyix7z
Chamie
Так у них, может, и левые — левые?
qyix7z
Три раза перечитал и все равно не понял.
ololowl
левые для вас номера, являются левыми и для мошенников, которые с них звонят. я, например, несколько раз пытался им перезвонить и всегда попадал на случайных, ничего не понимающих людей.
qyix7z
А смысл? Если подделывать номер, то уж на номер банка.
Исходящими занимается товарищ с верхней шконки, входящими — с нижней, играет случайного ничего непонимающего.Мои попытки перезвонить всегда были «номер недоступен» — и это логично, нафига батарейку тратить на бесполезный входящий?
Chamie
qyix7z
А если подставить номер банка, то легче найти?
А если ничего не подставлять, то тоже?
Chamie
Номер банка, обычно, короткий — его не подставить. Пустым обратный номер не оставить, да и подозрительно бы было. А свой оставлять — могут найти.
qyix7z
Длинных номеров банк конечно не имеет.
Вы серьезно полагаете, что мошенники используют свой номер?
Chamie
qyix7z
Я про тот случай, когда не подставляют. Вы реально думаете, что мошенник идет в салон связи с паспортом, получает симку и с нее представляется сотрудником СБ банка?
Chamie
А вы думаете, все мошенники — гении конспирации? Да и в любом случае — к номеру привязана симка, а симку можно вычислить по геолокации, за кем бы она ни числилась. А ещё по ней можно будет связать несколько разных случаев в одно дело.
qyix7z
Им не надо быть гениями. Все проще. Геолокация показывает на какую-нибудь ИК №5 или СИЗО №2, где несколько тысяч таких гениев. Успехов Вам в связывании дел.
Подмена номера — это не вопрос безопасности звонящего мошенника, а вопрос повышения доверия у жертвы.
undestroyer
Соглашусь с тем что эта технология (подмена CallerID) как минимум сомнительна. С другой стороны есть мирное применение этой технологии. Мы в CRM для сервисных центров (Servix.io) похожим образом реализуем автоматический звонок клиенту о готовности. Когда мастер заканчивает работать над заказом мы можем отправить роботизированный звонок клиенту.
Безопасность обеспечивается проверкой номеров телефонов (человек должен ответить по этому номеру и в тоновом режиме сделать нажимать кнопки для подтверждения).
Такие звонки нормально работают если регистрируется номер из какой-нибудь IP-телефонии вроде манго или задарма. Если зарегистрировать номер мобильного оператора (МТС / Мегафон / теле 2), то роботизированные звонки на телефон клиента внутри оператора (МТС -МТС) будут заблокированы.