Сегодня в СМИ ворвалась новость про бот в Telegram для телефонных звонков с функцией подмены обратного номера. На Хабре тоже уже появилась. Ну а так как я и есть Алексей Дрозд, подумал, что вам может быть интересно узнать немного подробностей про функционал бота и про угрозы, которые он несёт.
Старая песня на новый лад
С технической точки зрения в атаке ничего нового. Новизна, скорее, с функциональной стороны. Появление такого бота снижает до нуля порог вхождения для мошенников. Если раньше надо было немного пошевелить мозгом для того, чтобы прочитать инструкции по настройке виртуальной АТС, то сейчас достаточно шевелить лишь пальцем. Всё интуитивно понятно.
Удешевление атаки, равно как и снижение порога входа, способствует росту популярности. Первой ассоциацией, пришедшей на ум, был давний пост @LukaSafonov про утёкшие исходники Citadel. Спрос порождает не только предложение, но и сервис. Вот и у ТГ-бота тоже есть возможность покурить мануалы, написать в сапорт и посмотреть различные отчёты своей деятельности. В лучших традициях, прикручена партнёрка с рефералами.
Что касается тарифов, то всё более-менее стандартно. Посекундная тарификация и различные пакеты.
С чего вдруг ополчился на бот?
Действительно, к самой технологии претензий нет. Не секрет, что подобные звонилки много кто использует в мирном русле. Поэтому изначально к боту вопросов не было, пока не дошло до функции изменения голоса.
Зачем легитимному сотруднику колл-центра такой функционал? Вопрос из разряда риторических. Кроме того, даже без тестового звонка можно предположить, что бот изменяет pitch. А это обратимый процесс, если записать голос звонившего.
В чём опасность?
В первую очередь, как уже писал, увеличение потока желающих. Классическая атака состоит из 2 частей: позвонить-напугать-убедить + вывести деньги. Часть 1 стало легче организовать. Часть 2, в принципе, отработана и так.
Во вторую очередь меняются подходы. Если раньше преимущественно звонки шли от "сотрудников службы безопасности банка", то в последнее время чаще наблюдаю двухходовку. Сперва мошенники узнают реальные номера отделений полиции, ФИО работников. Далее, звонят жертве с подменного номера, представляясь сотрудником ведомства, и просто предупреждают о зафиксированной попытке списания средств. Никаких действий совершать не просят. Всячески разыгрывают спектакль "Моя милиция меня бережёт". В конце разговора предупреждают о том, что скоро свяжется сотрудник банка и нужно будет следовать его инструкциям. Собственно, ради этого напутствия спектакль и затевался.
После разговора с "полицейским" некоторые жертвы проявляют здравый скепсис и лезут в Сеть проверять достоверность предоставленной информации. Естественно, находят и номер, и ФИО сотрудника, от имени которого вёлся разговор. It's a trap! Подозрительность снижается и звонящему банковскому сотруднику верят охотнее.
P.S. Не стоит надеяться, что единожды проинформировав родственников и знакомых о мошеннической схеме, вы решите проблему навсегда. Увы, практика показывает, что в подавляющем большинстве случаев жертвы до последнего уверены, что с ними такого не случится. Поэтому настоятельно рекомендую к прочтению пост @iiwabor. А самые отчаянные могут найти бота и воспроизвести атаку на своих же. Бесплатного времени хватит на несколько секунд. Но, надеюсь, у вашей "жертвы" наступит прозрение, когда вы покажете наглядно, как легко "на коленке" можно организовать атаку. Пусть запомнят раз и навсегда, им звонить никто не будет. Если есть сомнения, надо повесить трубку и самостоятельно связаться с банком\отделом полиции\прокурором\спортлото.
anonymous
Harwest
Думаю прокуроры легко сделают перекрестную идентификацию, типа 'Как звали ту рыжую которая была с нами в сауне позапрошлый раз'.
Chamie
Часто вы начальству перекрёстную идентификацию устраиваете?
namikiri
Думаю, если бы начальник сказал мне сделать что-то неадекватное, я бы всё же лишний раз удостоверился, а он ли это. Разумеется, если бы смог за разумное время отойти от шока.
Mishootk
Во многих фильмах сцены с атакой через социнженерию в направлении босс-подчиненный построены на задействовании "слабых" подчиненных. Это или новички, или тряпки, которых фразы "ты что, идиот?", "уволю!" переключают в режим марионетки. Собственно, они мало что решают и могут, но будучи примененными в нужном месте (или в цепочке) дают нужный эффект.
Вряд-ли атакующий по сложному сценарию (с использованием имитации личности) с требуемым гарантируемым результатом (а не ловлей лоха) будет выбирать жертвой адекватную личность со стрессоустойчивым мозгом. Будет выбрана кандидатура у которой период шокового оглушения будет больше периода требуемого на выполнение операции.
mig126
Собственно уже были реальные случаи. Позвонил «босс» и попросил сотрудника перевести деньги на названный им счёт. Деньги перевели, дальше деталей не помню. Но там ещё вроде бы подменой лица/голоса пользовались.
Chamie
Вы про это?
K0styan
Для начала — обобщённый айтишник в принципе несколько скептичнее относится к указанию начальника. А те, кто, например, носят погоны, обучены тому, что приказы не обсуждаются.
Но если заход действительно многоходовый, то можно одного попросить сделать мелочь, не настолько уж прям неадекватную, затем — второго, и т.д.
arandomic
У Азимова таким образом обходили три закона робототехники.
Нескольким роботам давали команды, которые никак не нарушали первый закон, но в сумме приводили к смерти человека. (А Азимовские роботы, нужно сказать, параноидально исследуют последствия выполнения приказов в плане нарушения законов)
DreamingKitten
Что-то я не помню такого в роботическом цикле. Напомните, в каком это произведении такая фабула?
McStrauth
Там была специальная партия роботов для помощи инженерам в сборке какой-то космической вундервафли. Работы были связаны с нахождением в зоне слабого то ли рентгеновского, то ли ещё какого излучения — при наличии защитного костюма и соблюдении временных интервалов было вполне безопасно. Но обычные роботы по первому закону инженеров просто в эти зоны не пускали и буквально оттуда вытаскивали — излучение же, человеку низзя. В итоге сделали партию роботов, которым первый, кажется, закон не то, чтобы обошли, а слегка, самую малость подкорректировали. Ну и всё завертелось…
Невтонами их, вроде как, называли. Но вот название рассказа — простите, склероз, увы.
sumanai
Помню одного зависшего робота, который принёс хозяину отравленную чашку чая. Правда не помню, кто или что отравило чай.
arandomic
Вот это из Naked Sun — одно из убийств с помощью роботов.
Там был детектив в стиле «замкнутая комната» в том смысле что местные жители никогда не посещали друг-друга лично, и были окружены лишь роботами, но кто-то смог совершить убийство…
arandomic
Это в цикле про Р. Дэниэла Оливо.
ru.wikipedia.org/wiki/Обнажённое_солнце_(роман)
В этом цикле роботический цикл рассматривается героями уже как сборник древних сказок.
Сам цикл — прелюдия к основаниям.
arheops
Ну так можно адекватное, в пределах должности просить.
Shatun
Вполне можно звонить и просить что-то адекватное, что никто не будет проверять.
Например позвонить от начальника на вахту и попросить пропустить человека, сказав что он к нему пришел. Попросить разработчика переслать письмо еще одному представителю заказчика. И т.д.
sirocco
Я постоянно. Начальник любит звонить через WhatsApp, и давать идиотские распоряжения. И так как моя мобила не умеет писать разговоры с интернет мессенджеров, то я сливаю входящий и перезваниваю по обычной сотовой связи.
polyform
С 2012 года пранкер звонил местным судьям и, представляясь судьей рангом повыше или высокопоставленным силовиком, убеждал их принимать те или иные решения по гражданским, административным и уголовным делам. Сложно сказать, насколько часто его звонки реально влияли на исход дела, но судьи, принимая Давыдова за начальника, по телефону обычно обещали выполнить его просьбы.
https://zona.media/article/2020/10/08/prunk
GShan
да, а потом переспросят ничего ли страшного, что мы общаемся по обычному телефону
vagonovozhaty
— Нет времени объяснять, срочно выпускай Навального!