10.08.2018 15:02
ptsecurity 23 7500 Источник


Изображение: Pixabay

Издание Motherboard опубликовало материал, посвященный атакам на пользователей крупных операторов мобильной связи. По данным журналистов, все чаще киберпреступники подкупают сотрудников телеком-компаний, чтобы те переносили номера клиентов на новые SIM-карты.

SIM Swap и телеком-безопасность


В некоторых случаях мобильные номера могут «переназначаться» от одной SIM-карты другой. Это вполне легитимное действие, встречющееся в практике любого телеком-провайдера. Распространенные примеры SIM Swap — восстановление SIM-карты потерянного телефона, перевыпуск карты в случае ее поломки или необходимости в смене размера (nano-SIM, microSIM и т.п.).

Однако если возможность отвязывать номер от одной SIM-карты и привязывать его к другой появляется у злоумышленников, это может приводить к серьезным проблемам для жертв атак. В таком случае преступники могут обходить большинство систем двухфакторной аутентификации и получать доступ к самым разным аккаунтам жертв.

Недавнее исследование показало, что в настоящий момент в США наблюдается волна подобных атак. В результате пользователи мобильной связи лишаются доступа к своим аккаунтам в соцсетях, а иногда с их счетов в банках пропадают крупные суммы денег. Для проведения такой атаки хакерам зачастую не нужно совершать никаких сложных действий — главное найти работника телеком-компании с нужным уровнем доступа для осуществления SIM Swap и убедить совершить желаемое действие.

Заманчивое предложение


Злоумышленники ищут в интернете сотрудников телекоммуникационных компаний — они анализируют профили в LinkedIn, посты в Instagram и других соцсетях. А затем с подставных аккаунтов пишут сообщения с предложением подзаработать.

Журналистам удалось поговорить с несколькими работниками крупных телекоммуникационных компаний из США. Один из них, сотрудник T-Mobile, заявил, что ему предлагали $100 в криптовалюте за перепривязку одного номера. Преступник обещал ему до 10 заказов в неделю, так что недельный заработок мог составить $1000.

По данным Motherboard, с подобными предложениями сталкивались и сотрудники других компаний, например Verizon — работнику этой организации обещали «$100 тысяч за пару месяцев».

Как реагируют телеком-компании


По словам некоторых опрошенных журналистами сотрудников телекоммуникационных компаний, подобные атаки становятся возможными из-за недостаточного внимания к деятельности инсайдеров. К примеру, в платформе компании AT&T рядовые сотрудники имеют права доступа, позволяющие им обходить функции системы безопасности, вроде паролей для переноса номеров (этот пароль можно сменить и сразу же осуществить SIM Swap).

Работник T-Mobile рассказал о наличии аналогичных прав доступа. При этом, по его мнению, в компании давно знают об этой проблеме, но не предпринимают никаких действий к ее решению.

В теории, системы безопасности телекоммуникационных компаний должны отслеживать каждый случай перепривязки номера к новой SIM-карте. Однако в разговоре с Motherboard хакер под ником Moe The God — не так давно он «угнал» Twitter-аккаунт звезды рестлинга с помощью SIM Swap — рассказал, что у него есть «кроты» в AT&T и Verizon. Первый из них работает на него с февраля 2018 года, а второй — с апреля, и у преступника не возникает проблем все это время.

По данным экспертов Positive Technologies, в России проблемы, описанные в исследовании Motherboard, также встречаются довольно часто. Уровень доступа, необходимый для перевыпуска SIM-карт есть у рядовых сотрудников точек продаж телеком-компаний — поэтому злоумышленники платят своим «кротам» меньшеб чем в США. Однако, в нашей стране операторы пристально следят за активностью по замене и перевыпуску карт, действия сотрудников логируются, поэтому вероятность быть пойманным и остаться без работы очень высока.

Комментарии (23)


  1. lostpassword
    10.08.2018 19:10
    #18982365

    быть пойманным и остаться без работы
    Не самое страшное наказание — остаться без работы. Как по мне, тут должна быть уголовная ответственность. Интересно, есть ли она.


    1. LumberJack
      10.08.2018 19:32
      #18982421

      274 УК РФ, но привлечь по ней, подозреваю, оооооочень трудно.


      1. 200sx_Pilot
        10.08.2018 19:46
        #18982457
        +4

        Да, это вам не картинки лайкать.
        [sarkasm]


      1. altrus
        11.08.2018 04:14
        #18983233
        +1

        Это не та статья. 274 УК РФ — если по халатности допустил. А если с умыслом (за деньги), то там куча других, включая мошенничество.


        1. fapsi
          12.08.2018 13:25
          #18985341

          п.3 ст 272

          Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения

          + п.2 ст.158
          2. Кража, совершенная:
          "«а) группой лиц по предварительному сговору;


  1. denis-19
    10.08.2018 21:08
    #18982635
    +2

    У наших телекомов сотрудники ИБ тоже с этим встречаются и по возможности наказывают персонал.
    Но тут дело в том, что продавцы и прочие, кто имеет доступ к сим данным, часто просто очень жадны на такую наживу, к сожалению.


    1. lostpassword
      10.08.2018 22:17
      #18982781
      +3

      Можете поведать, как именно наказывают? Допустим, клиенту перевыпустили симку и сняли с банковского счёта кучу денег. Будет ли кто-то за это отвечать?


      1. mvalery
        11.08.2018 13:51
        #18983833

        Поругают.


  1. altrus
    11.08.2018 04:11
    #18983231
    +2

    Мне кажется, каждый случай необоснованного сим-своппинга должен заканчиваться увольнением того сотрудника, под аккаунтом которого прошла эта операция. Каким образом это мошенничество существует?

    Единственный вариант- мошенник с сотрудником сделают поддельный скан паспорта жертвы, чтобы отвести подозрение. Тогда увольнение должно быть после 2-3 инцидента.


    1. Hardcoin
      11.08.2018 10:14
      #18983477
      +2

      А в чем проблема для сотрудника — уволиться? Устроился, украл деньги со счетов пары крупных клиентов (сделав клон симки), уволился. Каким образом это должно остановить следующего мошенника, который будет устраиваться с такой же целью?


      1. altrus
        11.08.2018 10:19
        #18983481

        Ну, если абсолютно реальный срок за кражу или мошенничество вас (его) не пугает, если вы такого низкого мнения о СБ магазина, оператора, о возможностях органов следствия, то почему нет?

        Технологические преступления научились раскрывать, кстати, очень неплохо. Куча следов — чего тут не раскрыть. Дело только в вопросе мотивации.


        1. Hardcoin
          11.08.2018 10:23
          #18983485
          +2

          заканчиваться увольнением того сотрудника

          абсолютно реальный срок

          Увольнение — это не срок. Вы же не написали "должен заканчиваться заведением уголовного дела", вы написали про увольнение. Отсюда и вопрос — увольнение — это разве проблема? Как увольнение поможет предотвратить целенаправленные случаи замены карт?


          1. altrus
            11.08.2018 10:34
            #18983501

            Я написал с точки зрения хозяина магазина, который себя такими вещами сильно дискредитирует.
            А есть еще точка зрения государства в форме уголовного преследования. Мне кажется, она подразумевается.


  1. mvalery
    11.08.2018 14:04
    #18983847
    -2

    Привязкой SIM к определенному номеру должны заниматься те же органы, которые выдают паспорта. Потому, что идентификация личности по номеру телефона достигла таких же масштабов как бумажные документы удостоверяющие личность. У операторов нет подготовленного персонала для такого уровня секретности.


    1. roscomtheend
      13.08.2018 12:18
      #18987705

      И симку выдавать только после положительной характеристики с места работы и из профкома. Беспартийным — без интернета.

      PS. Перечитал — увидел про «уровень персонала». Вы даже не представляете…


  1. KostaArnorsky
    11.08.2018 17:30
    #18984215

    У жены AT&T, однажды просто перестал телефон идентифицироваться в сети. Она смогла зайти в ЛК под своим аккаунтом — там чей-то левый профиль. И доступ ко всем звонкам и СМС. Такое ощущение, что номер просто отдали кому-то другому. Сходила в стор — ей дали новую симку. Там полный бардак.


  1. granade18
    11.08.2018 18:53
    #18984325

    Статья ни о чём


  1. Barnaby
    11.08.2018 19:23
    #18984349

    Недавно переносил номер с мтс на теле2, удивило что никаких уведомлений от мтс не пришло только в момент переноса мтс бонус отключился. Они конечно звонили, но я не снял трубку.


    Еще зеленый банк не заблочил вход по смс, к счастью. А пивной заблочил, пришлось судорожно вспоминать кодовое слово.


    1. GamePad64
      12.08.2018 11:09
      #18985127

      Это не к счастью, а к сожалению. Вход во всякие интернет-банкинг блокируется специально, чтобы защитить от мошеннической смены сим-карты.


  1. volk0ff
    12.08.2018 01:15
    #18984833
    +1

    Странный вопрос, но все же: со стороны меня, как пользователя, если мою симку угнали, разве передо мной не должен нести отвественность мой мобильный оператор, а не какой то там кассир?
    Если допустим у меня из за этого пропадут деньги со счета


    1. dobergroup
      12.08.2018 11:20
      #18985131

      А разве мобильный оператор предоставляет вам услугу аутентификаци в банке? Это уже ваш риск. Оператор должен нести ответственность в пределах компенсации затраченного времени и усилий на восстановление услуги. Коррумпированный сотрудник и хакер — уголовную ответственность.


      1. volk0ff
        12.08.2018 11:24
        #18985137

        ну вот я к тому и спрашиваю, что странная истопия получается: телефон, как ни крути, привязать надо, как последнюю инстанцию, что ты — это ты, а выходит, что в сохранности банального пароля, если ты его в голове держишь, ты можешь быть уверен больше, чем в сохранности собственной симки, раз оператору по сути пофиг.


        1. pyrk2142
          13.08.2018 05:04
          #18986617

          Субъективное мнение: с учетом уровня безопасности мобильных операторов (как минимум, в РФ), использование двухфакторной авторизации с помощью СМС как дополнительной защиты — не очень надежный способ. А если при этом возможно восстановление аккаунта с помощью этого номера телефона (например, возможность получения кода восстановления аккаунта в виде СМС), то надежность защиты аккаунта наоборот снижается очень сильно.