Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Замена SIM-карты – стандартная услуга мобильных операторов. Запросы на создание дубликата поступают от пользователей регулярно: при смене мобильного устройства или оператора многие предпочитают сохранить старый номер. Автор предполагает, что мошенник получил доступ к его личной информации где-то в Сети и воспользовался этим, чтобы отправить запрос на выпуск новой SIM-карты, не возбуждая никаких подозрений у персонала. За последний год подобная схема взлома стала стремительно набирать популярность.
Перехватив контроль над телефонным номером и располагая некоторым количеством информации о жертве, злоумышленник без труда сумел войти в связанный аккаунт на сервисах Google и закрыть его от владельца. Для этого ему достаточно было выбрать опцию «Забыли пароль?», после чего система выслала код подтверждения на указанный в профиле номер и предложила сменить данные для аутентификации.
Доступ к электронной почте предоставил мошеннику еще больше возможностей для взлома личных аккаунтов – большинство сервисов позволяет менять пароли по «волшебной ссылке», которая отправляется на почту по запросу. В данном случае его внимание было сосредоточено на получении доступа к криптокошельку.
План-схема атаки, воссозданная автором
«С таким наивным отношением к собственной безопасности я, пожалуй, заслуживал того, чтобы меня взломали», – признает Шон Курс в своем посте. Анализируя случившееся, он подчеркивает, что не только пренебрегал базовыми мерами защиты своих аккаунтов до инцидента, но и недостаточно быстро реагировал на тревожные сигналы, когда атака уже началась.
Мошенник начал действовать поздним вечером, вероятно, в расчете на то, что до утра пользователь не сумеет связаться с мобильным оператором. Шон заметил на экране сообщение о том, что SIM-карта отсутствует, но не придал этому большого значения, решив, что она была повреждена при падении телефона. В течение часа был перехвачен контроль над почтой. За ночь взломщик поменял пароли на Coinbase и нескольких других сервисах; при этом он последовательно удалял все письма с верификационными ссылками. Из-за этой предосторожности, получив утром новую SIM-карту в салоне и восстановив доступ к почте, автор статьи не обнаружил факта взлома других аккаунтов и не предпринял необходимых действий. Тем же вечером атака повторилась, за ночь мошенник в несколько приемов опустошил кошелек. Сумма ущерба составила 100 тыс. долларов в криптовалюте; вернуть эти деньги, по всей видимости, не удастся.
Автор статьи пострадал не только материально – на электронной почте и связанных аккаунтах хранилась масса личной информации, утечка которой делает его более открытым для атак в будущем. Однако он сделал для себя выводы и намерен в дальнейшем лучше заботиться о защите своего онлайн-пространства. Читателям он советует не использовать телефон в качестве основного метода восстановления пароля на Google, а отдать предпочтение тем, которые предполагают применение материальных объектов. Например, можно воспользоваться Google Authenticator, чтобы привязать пароль к конкретному устройству, или YubiKey, который проводит аутентификацию через прикосновение USB-ключа, зарегистрированного на конкретного пользователя. Актуальными также остаются и самые базовые правила безопасности: не оставлять личную информацию на открытых площадках, иметь отдельный, предельно защищенный адрес для финансовых транзакций и хранить пароли в оффлайн-менеджере.
Комментарии (31)
assusdan
23.05.2019 14:21-2Ну все понятно, опять у российских операторов связи данные работники сливают и симки за тысячу рублей всяким злоумышленникам восстанавливают чужие.
====
upd спустя 18 минут. Уточню свою мысль. Тут какое-то время назад была серия постов про утечку данных через сотрудников операторов моб. связи, и в комментариях было популярно мнение, что такое происходит только в России. Я попытался сыронизировать, у меня получилось плохо.
tormozedison
23.05.2019 14:25+2Взгляните на схему в статье, там показан оператор AT&T.
assusdan
23.05.2019 14:31Я читал статью, там нет упоминаний российских операторов, и имена намекают, что дело происходит за границей. Тем не менее, дубликаты симкарт случаются и там.
dhaenoor
23.05.2019 14:35+1Вот поэтому у меня отдельная Nokia C3-01 для мобильного банка и регистраций и я никогда никому этот номер не сообщал. А для пущей надёжности у меня нет 100.000$
SergeyMax
23.05.2019 14:47я никогда никому этот номер не сообщал
А ваш мобильный банк случаем не пишет на экране «код для смены пароля отправлен на телефон номер xxxxxxxxx»?fur_habr
23.05.2019 19:18Не, они сейчас пишут что то вроде "+7901 234 ****", но только если зайти на сайт другого банка(или не банка) и ввести тот же логин, там напишут что-то вроде "+7 9** *** 5678". Аналогично и ФИО для перевода денег, на одном будет «Иванов. П. А.». На другом «И. Петр Алексеевич». Приватность на высоте.
pnetmon
23.05.2019 14:47Читая оригинальную статью пришла мысль что у автора все завязано на один почтовый ящик, который "как-то узнал" злоумышленник, а ведь это не очень хорошо, автор тоже к этому пришел, но эта рекомендация в переводе как-то не слишком выделена: иметь отдельный, предельно защищенный адрес для финансовых транзакций.
Один из выводов (гугло перевод):
Создайте дополнительный адрес электронной почты: вместо того, чтобы связывать все с одним адресом электронной почты, создайте дополнительный адрес для своих критически важных сетевых идентификаторов (банковских счетов, учетных записей социальных сетей, криптообменников и т. Д.). Не используйте этот адрес электронной почты для чего-либо еще и держите его в секрете.
Но с соцсетями он погорячился, их привязывать не надо. И этот финансовый электронный адрес желательно приводить как можно реже (например не использовать его для восстановления публичного электронного адрес(почты)) иначе узнав его и владея сим-картой с телефонным номером злоумышленник может так же взломать и эту учетку.
odissey_nemo
23.05.2019 15:39-1Что такое сотня тысяч долларов в криптовалюте? Не уверен, что их можно реально обменять на настоящие.
mclander
23.05.2019 15:58C хорошим дисконтом можно обменять что угодно и быстро)
odissey_nemo
24.05.2019 01:26Обменять на 10 бумажных долларов и быстро? Вот в это верится больше. Любопытных и глупых для таких пропорций найти можно много. Даже в Африке.
dartraiden
23.05.2019 17:03+2Сотня тысяч долларов в криптовалюте — это кол-во криптовалюты, которую по текущему курсу можно поменять на сотню тысяч долларов.
vortupin
23.05.2019 17:22Что-то не внушает мне эта история особого доверия; подобную атаку довольно сложно организовать, но, как я думаю, полиции довольно легко раскрыть.
По моему опыту, заменить SIM-ку без сообщника в локальном AT&T store, достаточно затруднительно: для этого нужно подделать driver's license (и, естественно, нужно знать данные оригинальной), и знать номер карточки социального страхования (social security number), без этих данных в магазине не поменяют. Online также отпадает — новая SIM-ка будет отправлена по почте на billing address пользователя, заменить который тоже без подтверждения непросто. В случае же наличия сообщника, совместных усилий полиции и AT&T должно быть достаточно, чтобы уличить пособника вора, и найти самого вора.
Во-вторых, в данному случае атака велась целенаправлено, что резко сужает круг подозреваемых (правда, я не эксперт в криптовалютах, но мне думается, что постороннему человеку вычислить identity владельца крупной суммы невозможно).
В-третьих, для такой дорогостоящей атаки слишком много возможных «дыр»: например, «не придал этому большого значения, решив, что она была повреждена при падении телефона» — а если бы телефон не падал? Стоило ему забить тревогу, и связаться с AT&T (служба поддержки работает круглосуточно), как атака бы провалилась — по его просьбе новую SIM-ку могли заблокировать (был прецедент с потерей одним товарищем телефона и бумажника — отделался лишь потерей бумажника и телефона, со счетов ничего не ушло).
VBKesha
23.05.2019 17:28В-третьих, для такой дорогостоящей атаки слишком много возможных «дыр»: например, «не придал этому большого значения, решив, что она была повреждена при падении телефона» — а если бы телефон не падал? Стоило ему забить тревогу, и связаться с AT&T (служба поддержки работает круглосуточно), как атака бы провалилась — по его просьбе новую SIM-ку могли заблокировать (был прецедент с потерей одним товарищем телефона и бумажника — отделался лишь потерей бумажника и телефона, со счетов ничего не ушло).
Когда ты знаешь, что случится дальше гораздо проще принять правильное решение. А так вполне нормальная реакция сдохла симка ночью, ну и хрен с ней завтра новую возьму.
Тут по моему самый главный урок, нельзя доверять ключи от важных данных третьим лицам, а мобильные операторы как раз и есть такие лица. Но все наоборот считают что это повышает надежность.vortupin
23.05.2019 17:41Ну, не ночью, а поздно вечером. Как он сам указал, новая SIM-ка была активирована в 10 вечера — это, кстати, однозначно говорит о сообщнике; будь-то подделанный DL, то активизировали новую SIM-ку бы прямо в сторе, а в 10 все уже закрыто.
Во-вторых, лично я бы немедленно попытался связаться с AT&T — завтра на работу, с утра времени не будет, а поддержка круглосуточная. Да и вообще, человек, который последовательно, за 5 минут 1) теряет доступ к мобильной сети 2) теряет доступ к Google эккаунту (зная, что этот эккаунт используется, как ключ к финансам и множеству сервисов), и спокойно ложится спать — мне кажется, это из области маловероятного. Что еще показательно — он не заявил в полицию о краже (в этом случае изложенные факты можно было бы хоть как-то проверить).
Что-то тут «нечисто», по-моему. Интересно, не платит ли medium.com за «хайповые» статейки? ;)VBKesha
23.05.2019 17:46Во-вторых, лично я бы немедленно попытался связаться с AT&T — завтра на работу, с утра времени не будет, а поддержка круглосуточная.
У всех свое отношение к мобильной связи, я например могу спокойно пару недель без неё жить и не страдать.
теряет доступ к Google эккаунту (зная, что этот эккаунт используется, как ключ к финансам и множеству сервисов), и спокойно ложится спать
Вот это уже действительно странно…
decomeron
24.05.2019 00:15Без мобильной связи это значит без телефона, а если все карты в приложениях и как же без них?
VBKesha
24.05.2019 09:25Ну у меня карты с собой, а не в приложениях, так что никаких проблем.
decomeron
24.05.2019 17:51А проверять? Вдруг сняли не ту сумму или вообще что-то сняли без спроса?
VBKesha
24.05.2019 17:59Ты для этого звонилки хватает с смсками, и у меня на картах нет каких сумм чтобы я их мониторил постоянно опосаясь, что вдруг чего случится. А в случае чего можно одноразовых паролей в банкомате взять(если не отменили это ещё).
Barabek
23.05.2019 18:11Вот поэтому правильные операторы при замене симки автоматически блокируют СМС на сутки. А у кого есть права на разблокировку — тех мало и всё жёстко логируется. А почистить логи могут совсем другие люди и их ещё меньше и все они под микроскопом ИБ постоянно. В общем в сговор нужно вовлекать пол компании.
Popadanec
Симку нельзя так просто восстановить. Нужно прийти с паспортом в салон связи, а значит был сговор с сотрудником салона. Дата перерегистрации точно известна. Уникальный код симки так же известен, а значит и известно в каком салоне новую симку получали.
Допросить оформившего симку, посмотреть видеозапись и объявить в розыск вора.
Что то либо владелец темнит, либо новость не полная.
symbix
С паспортом? В США? :-)
Popadanec
Ну с ID или правами, сути это не меняет. Или хотите сказать, что в США может любой Джон прийти и сказать: «Сделайте мне новую симку этого номера». Так что ли?
symbix
Если есть достаточно информации о жертве, хорошо работает социнжиниринг. Например, рассказал какую-нибудь жалостливую историю, как у него все украли или вроде того, попросил войти в положение, "доказал", что он это он, каким-нибудь поддельным utilily bill-ом и выглядящими достоверными ответами на вопросы.
Не получилось в одном салоне — пошел в другой, они там на каждом шагу :-)
Это как вариант. Может, сговор, а может, вообще сотрудник AT&T.
Amihailov
В последний раз, когда я изучал этот вопрос для России, можно было за 5 тысяч заказать дубль на профильных форумах. Естественно, там преступный сговор и какой-нибудь Ваня в салоне под Ельцом за тыщенку клепает дубли.
Кроме того, несколько лет назад был велик шанс получить дубль, придя в салон с паспортными данными жертвы и самописной доверенностью, сугубо с помощью социнженерии. На такое тоже можно найти гонца рублей за 500-1000. Сейчас, вроде, чуть-чуть построже с этим, но, как всегда, самая большая дыра в безопасности — это человек.
Штаты тоже не без греха. Например, полно сайтов, которые предлагают отлочить телефон от At&t и Verizon и в сложных случаях (при наличии долгов на симке) такие вопросы решаются через своих людей у оператора. С симками это тоже, наверняка, актуально.
t38c3j
В Украине по крайней мере все проще из-за не компетентности сотрудников. Пришол в салон, сказал что номер деда, куда он звонил и что он делал я не знаю, ему за 80, звонил ему неделю назад со своего номера, абонент не абонент. Через 5 минут у тебя новая симка с нужнум номером без паспорта, камер и смс в провинциальном городке. История двух дневной давности.
ПС. Реально восстанавливал номер деда а не в корыстных целях.
Gritsuk
Не знаю, как сейчас, но несколько лет назад у одного из наших операторов была услуга «Замена SIM пользователю». Т.е. если человек пользуется симкой, зарегистрированной на другого человека, он все равно может ее обменять, если ответит на несколько вопросов, по-моему, достаточно было 3 из 5. Вопросы простые — владелец симки, когда и на какую сумму пополнялся баланс, номера, с которыми общались в последнее время.
Думаю, подобную информацию добыть нетрудно — позвонить жертве с известного номера за пару дней, пополнить баланс ему в автомате. Потом снаряжается какой-нибудь Вася, который за две бутылки озвучивает все это в офисе оператора, светя там своим лицом и своими документами, и вот у вас на руках нужная симка, и никто вас никогда не найдет.