Проверьте, на кого оформлен ваш мобильный номер. Даже если пользуетесь им уже много лет.

Ольга Лимонова
автор


Андрей Жаркевич
редактор

источник

Я собралась перейти со своим номером к другому оператору сотовой связи, но получила отказ. В службе поддержки меня спросили, на кого оформлен номер. Я назвала свою фамилию, а мне ответили, что она не совпадает с фамилией владельца номера.

Такой ответ стал не просто неприятным сюрпризом. То, что мой номер оформлен на постороннего человека, означало, у меня серьёзные проблемы: ведь к этому номеру привязана вся моя жизнь.

В этой статье я расскажу, как так случилось, в чём опасность и что делать в подобной ситуации.

1. Покупка SIM-карты

Я оформляла свой номер четыре года назад в передвижном магазине в Москве. Брендированный фургон оператора стоял прямо у метро Люблино. Сотрудники в нём были в фирменной одежде, поэтому даже мысли не возникло, что я делаю что-то не так, тем более что покупка была оформлена по всем правилам: у меня попросили предъявить паспорт, оформили договор в двух экземплярах, я заплатила деньги и получила на руки SIM-карту с новым номером.

Активация прошла без малейших сложностей, как и дальнейшее использование номера: я несколько раз переключала тарифы и получала консультации на горячей линии.

2. Смена оператора

За четыре года номер прочно вошёл в мою жизнь: к нему были привязаны мессенджеры, учётные записи в соцсетях, и интернет-банках, почта и прочие милые сердцу вещи, требующие подтверждения по СМС для большей безопасности. Разумеется, переходя к другому оператору, я планировала сохранить номер, чтобы не менять разом все накопившиеся привязки.

Чтобы перенести номер к другому оператору, нужно подать заявление на сайте или в салоне связи нового оператора и получить новую сим-карту. После этого операторы уже без участия абонента сверят данные владельца номера и проверят отсутствие блокировок и задолженностей. Если всё хорошо, процесс завершится успешно. Если же какие-то данные отличаются, перевод номера останавливается до решения проблемы. Здесь возможны два варианта:

1. Ошибка в паспортных данных. Эта проблема устраняется относительно быстро. Достаточно предъявить паспорт для корректировки сведений у операторов.
2. Не совпадает владелец. Это значит, что SIM-карта не принадлежит вам, и вы не можете поменять оператора.

С каким типом ошибки я столкнулась, мне сообщили в службе поддержки оператора. Моя SIM-карта оказалась оформлена на другого человека. Сотрудник поддержки сказал, что для решения вопроса нужно написать заявление в ближайшем отделении оператора. Посмотреть, на которого оформлен номер, можно в мобильном приложении оператора.

Установив приложение, я выясняю, что мой номер оформлен на некую Ниязову Ферузу Очаловну. Очаровательно. Сомнений не осталось: я стала жертвой мошенников.

В чём опасность?

Я хотела сохранить свой номер, потому что к нему привязана моя социальная и финансовая жизнь, моя цифровая безопасность. Но что могут сделать мошенники?

Вариант 1. Заблокировать номер. Меньшее из бед, но очень неприятно неожиданно потерять возможность зайти в свой онлайн-банк по СМС. Дискомфорт и беготня с выяснением обстоятельств обеспечены на пару дней точно. Тем более что многие банки меняют номер телефона только при личном визите в офис.

Вариант 2. Прийти в любой салон оператора, сообщить, что потеряли SIM-карту, предъявить свой паспорт и совершенно бесплатно получить новую SIM-карту за тем же номером. Вместе с SIM-картой они получат возможность перехватить весь мой поток конфиденциальных СМС-кодов. Лакомый кусочек для любого мошенника.

В подобных ситуациях сотовые операторы не несут никакой ответственности, а значит нужно позаботиться о себе.

3. Решение проблемы

В абонентском отделе оператора сообщаю продавцу-консультанту о случившемся. Мне выдают два бланка и просят заполнить их:

1. Заявление о рассмотрении вопроса переоформления договора на пользователя. В нём нужно указать паспортные данные и обстоятельства приобретения SIM-карты.
2. Приложение к заявлению — опросный лист с внушительным списком данных, среди которых:

• IMEI оборудования, в котором используется SIM карта;
• ICC ID и PUK sim-карты. Если вы не сохранили коробку от SIM-карты или если она была поддельная, у вас проблемы;
• дата последнего пополнения баланса;
• последний набранный номер;
• три номера, на которые вы звонили чаще всего за прошедший месяц. Если вы не фанат телефонных звонков, поймёте боль алгебраических подсчётов в уме;
• выходили ли в интернет с этого номера за последние три дня;
• если за последние полгода вы выезжали за пределы региона, совершали и принимали звонки, укажите в каком месяце это было;
• кодовое слово;
• три примера звонка за последние три дня с указанием времени, даты и точного места.

Радуюсь, что вся информация есть и в течение 20 минут заполняю все бланки. Продавец тем временем проверяет документы на SIM-карту и сообщает, что печать в договоре напечатана на принтере. Внимательно изучаю бумажку и убеждаюсь, что это правда.

Отдаю заполненные документы и выясняю, что будет происходить дальше:

1. Операторы дозваниваются до «настоящего» владельца номера, и он говорит, что номер не его. Это самый простой вариант. Меня проинформируют об этом, и я смогу переоформить свой номер на себя.
2. Операторы дозваниваются до «настоящего» владельца SIM-карты, и он говорит, что номер его. В этом случае я могу попрощаться с номером. Мне никогда его не вернут и не переоформят, а скорее всего, моментально заблокируют.
3. Операторы не дозваниваются до «настоящего» владельца SIM-карты. По стандарту на дозвон отводится 2 месяца. Как только время истекло, меня проинформируют, что предыдущий владелец не откликнулся, и я смогу переоформить договор на владение своим номером. Вариант неплохой, но времени жалко. К сожалению, это мой вариант и чаще всего выпадает именно он.

В разговоре с продавцом я выяснила, что такие ситуации возникают у всех операторов, и это в целом довольно распространённое явление.

«Вроде бы бывают иногда SMS-рассылки с советом проверить свои паспортные данные», — виновато говорит продавец. Но я таких рассылок за четыре года ни разу не получала, либо не обращала на них внимания. И на сайтах операторов почему-то нет упоминаний о подобных ситуациях.

1. Внимательно покупайте SIM-карту

• Выбирайте стационарные отделения оператора. Передвижные пункты легче подделать, нежели обычные.
• При оформлении договора на приобретение SIM-карты, убедитесь, что печать на договор ставят при вас и что это не заранее распечатанный бланк (как было в моём случае).
• Сохраняйте все документы, сопровождающие покупку.

2. Удостоверьтесь, что SIM-карта оформлена на вас

• Позвоните оператору и попросите проверить владельца номера.
• Установите мобильное приложение оператора и проверьте в нём ФИО владельца.

3. Чтобы переоформить SIM-карту

• Обратитесь в салон сотового оператора.
• Возьмите с собой документы на SIM-карту, телефон и паспорт.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 ноября по 5 декабря 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники научились перехватывать СМС-коды с подтверждением входа в учётную запись с нового устройства, не производя замену сим-карт.

В результате успешной атаки преступники получили доступ к учётным записям нескольких бизнесменов в Телеграм. Примечательно, что к атаке оказались уязвимы все мобильные операторы.

1. Атака начиналась с того, что в мессенджер Телеграм пользователю приходило сообщение от официального сервисного канала Telegram с кодом подтверждения, который пользователь не запрашивал.
2. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.
3. Во всех случаях злоумышленники заходили в чужой аккаунт через мобильный интернет, а их IP-адрес почти всегда находился в Самаре.

На данный момент не установлено, какая именно схема использовалась для обхода СМС-аутентификации. В разное время исследователи приводили примеры перехвата сообщений с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически, подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи.

Чтобы защититься, включите в Телеграме двухфакторную аутентификацию. В этом случае помимо СМС-кода при входе с нового устройства будет запрошен пароль.

Вредоносная кампания RevengeHotels направлена на хищение данных банковских карт из информационных систем отелей.

Атакованы не менее 20 брендов отелей в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции.

Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. В письме содержится заказ на резервирование большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный.

Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку, которая перехватывает номеров клиентских кредитных карт и делает снимки экрана при посещении страницы с платежной информацией на онлайн-платформах и вызове диалога для отправки данных на принтер.

Таким образом, заражение компьютер менеджера отеля или рабочей станции на ресепшн приводят к тому, что личные и платежные данные постояльцев отправляются не только в архив гостиницы, но и злоумышленникам в режиме реального времени.

Мошенники воруют учётные записи пользователей Steam с помощью фишингового сайта.

Picture-in-picture Steam phish using a bogus giveaway as bait.

giveavvay^.com

Of interest: webdev0^.com/base/js/faker_secrets.js pic.twitter.com/tFJQgiLpmU

— nullcookies (@nullcookies) November 30, 2019

Вредоносный сайт рекламируется в самом Steam с помощью комментариев к профилям пользователей:

«Дорогой пользователь! Ваш SteamID был выбран в качестве победителя еженедельной бесплатной раздачи. Вы можете забрать свой приз на giveavvay[.]com»

Если пользователь перейдёт на мошеннический ресурс, ему предложат 26 бесплатных дней для получения скинов.

Чтобы получить один из них, нужно ввести учётные данные Steam в фишинговую форму:

Мошенники не полагаются на случай, проверяя аутентификацию в оригинальном сервисе. Поэтому после указания логина и пароля жертва получит запрос от Steam Guard:

Далее мошенники используют учётную запись по своему усмотрению.

Инциденты

Один из крупнейших в США провайдеров дата-центров CyrusOne стал жертвой вымогательского ПО REvil/Sodinokibi.

Судя по уведомлению с требованием выкупа, атака на сети CyrusOne была целенаправленной. Точка входа, с которой началась атака, пока не установлена.

В настоящее время CyrusOne проводит расследование случившегося при участии правоохранительных органов и криминалистов, а также помогает своим клиентам восстанавливать потерянные в результате атаки данные из резервных копий.

Неизвестный злоумышленник взломал online-сервис потоковой музыки Mixcloud и выставил на продажу данные 21 миллиона его пользователей за 2 тысячи долларов США.

Информация о пользователях Mixcloud включает логины, адреса электронной почты, зашифрованные пароли, сведения о стране проживания, дату регистрации, дату и IP-адрес последнего входа в систему.

Компания Mixcloud подтвердила утечку данных в официальном в блоге и сообщили, что большинство пользователей зарегистрировались через Facebook и не имеют пароля, связанного с учетной записью Mixcloud.

В открытом доступе обнаружена база данных, содержащая SMS более 5 миллиардов пользователей сотовой связи со всего мира.

Владельцем базы оказалась американская компании TrueDialog, которая работает с более чем 990 операторами сотовой связи и обеспечивает предприятиям, колледжам и университетам обмен текстовыми сообщениями.

База хранила в себе отправленные и полученные текстовые сообщений клиентов TrueDialog в  незашифрованном виде. При этом сама база не была защищена паролем. Записи содержали сведения о финансовых приложениях университетов, маркетинговые сообщения от компаний с кодами скидок, оповещения о вакансиях, конфиденциальные текстовые сообщения, например, коды доступа к медицинским online-службам и коды сброса пароля и логина для сайтов, включая учетные записи в Facebook и сервисах Google.

Мобильная безопасность

В Android обнаружена уязвимость StrandHogg, которая позволяет вредоносным приложениям модифицировать легитимные и выполнять вредоносные операции от их имени.

1. Используя уязвимость, преступник может обманом вынудить пользователя предоставить опасные привилегии вредоносному приложению во время его взаимодействия с легитимным приложением, например, доступ к SMS-сообщениям, фотографиям, микрофону и GPS, что позволит ему читать сообщения, просматривать фотографии и отслеживать перемещения жертвы.
2. Кроме того, StrandHogg можно использовать для показа жертвам фальшивых страниц логина во время подключения к легитимным приложениям, перехватывая учётные данные банковских приложений.

Проблема связана с механизмом многозадачности Android, поэтому злоумышленникам не приходится взламывать сторонние приложения, а сами атаки проходят максимально скрытно для жертв. Преступники стараются застраховаться от подозрений, подстраивая содержание и оформление всплывающего окна под интерфейс маскировочного приложения, поэтому у жертв атаки нет шансов заметить перехват управления, и они с высокой вероятностью одобрят запрос:

В реализации стандарта Rich Communication Services (RCS) обнаружены уязвимости, которые могут использоваться для отслеживания местоположения устройства пользователя, перехвата звонков и текстовых сообщений.

Rich Communication Services  — это система передачи коротких сообщений между абонентами в сотовой связи семейства стандартов GSM. RCS основан на таких интернет-протоколах, как SIP и HTTP, для реализации групповых чатов, видеозвонков, передачи файлов.

В зависимости от конфигурации сети злоумышленники могут локально или удаленно перехватывать одноразовые SMS-пароли для авторизации банковских операций или перехватить контроль над учетными записями электронной почты, в социальных сетях и мессенджерах:

Используя одну из уязвимостей в RCS, можно удаленно загрузить файл конфигурации RCS на смартфон, чтобы повысить привилегии программы в системе и предоставить злоумышленнику доступ к голосовым вызовам и текстовым сообщениям:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 ноября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Злоумышленники используют пуш-уведомления в браузерах для кражи учетных данных, распространения спама и вредоносного ПО.

Обычно мошенники принуждают своих жертв к подписке под странным предлогом, например, указывая получение уведомлений в качестве обязательного условия для воспроизведения видео или загрузки файлов.

Во многих случаях посетители считают, что подписываются не на рекламу, а на обновления сайта. В результате, когда пользователей начинают заваливать рекламными объявлениями, они не понимают, откуда те взялись.

Среди рекламы присутствует как обычный спам, так и вредоносные сообщения:

• уведомления о мнимом выигрыше в лотерею,
• приглашения к участию в оплачиваемых опросах,
• всплывающие окна с именами известных интернет-ресурсов и компаний,
• оповещения о якобы обнаруженных на компьютере вирусах.

Получив согласие пользователя на получение уведомлений, вредоносный компонент присваивает машине идентификатор и отправляет его на управляющий сервер злоумышленников, а браузер запоминает сайт, на который была оформлена подписка.

После этого сервер получает возможность отправлять клиенту контент в формате JSON. При этом злоумышленники не указывают в уведомлениях реальный адрес, на который попадает кликнувший пользователь. Пользователь видит в оповещении сайт, где он оформил подписку, однако цепочка переадресаций приводит его на другую страницу.

Злоумышленники создают фальшивые сайты с распродажами к Чёрной пятнице, чтобы выманивать ФИО, номера телефонов, адреса электронной почты, банковские реквизиты и другие данные посетителей.

Роскомнадзор предупреждает, что основная цель сбора таких данных — для последующей рассылки спама и кражи денег с банковских карт. Для предотвращения неправомерного использования данных ведомство рекомендует следующее:

• Проверяйте оригинальность домена интернет-магазина. Как правило, мошенники регистрируют похожие на настоящий сайт домены, чтобы ввести покупателя в заблуждение и используют логотипы известных брендов, которые участвуют в акции.
• Проверяйте наличие SSL-сертификата. На страницах с вводом и передачей личной информации пользователей сайты используют шифрование SSL «https:». Если сайт банка или авиакомпании начинается на «http:», это повод усомниться в оригинальности страницы.
• Проверьте структуру сайта и ссылки. Если при клике на ссылку вы переходите на страницу с ошибкой или на страницы, которые не похожи оригинальный ресурс, значит, вы попали на фишинговый сайт.
• Проверяйте сайт на наличие пользовательского соглашения, политики конфиденциальности и контактов. Согласно российскому законодательству, при сборе и обработки личной информации сайты обязаны размещать правовую информацию, с которой может ознакомиться пользователь.

Уязвимости

Панели управления светосигнальным оборудованием Dialight в аэропортах США и Канаде были подключены к открытому интернету и доступны любому желающему.

Светосигнальное оборудование в аэропортах подсвечивает взлётно-посадочные полосы в аэропортах, обеспечивая безопасность взлёта и посадки. Доступ посторонних к управлению спецоборудованию создаёт серьёзные риски, поскольку злоумышленник сможет менять интенсивность, включать и отключать освещение.

Умные устройства

Детские умные часы SMA-WATCH-M2 стоимостью 35 долларов раскрывают личные данные и сведения о местонахождении более 5000 детей и их родителей.

Часы SMA-WATCH-M2 работают в паре с мобильным приложением. Родители регистрируют учетную запись, подключают умные часы ребенка к своему телефону и используют приложение для отслеживания его местоположения, голосовых вызовов и получения уведомлений, когда ребенок покидает определенную область.

Выяснилось, что к программному интерфейсу, который использует мобильное приложение, может подключиться любой желающий, поскольку сервер не проверяет подлинность токена аутентификации. Используя этот интерфейс, злоумышленники могут собрать данные о детях и их родителях: текущее географическое местоположение ребенка, тип устройства и IMEI SIM-карты.

Кроме того атакующий может установить приложение на собственное устройство, изменить идентификатор пользователя в файле конфигурации и связать свой смартфон с умными часами чужого ребенка, даже не вводя адрес электронной почты или пароль от родительского аккаунта. После этого приложение можно использовать, чтобы отслеживать ребенка с помощью карты, совершать звонки и общаться голосовые чаты с детьми.

И самое опасное — злоумышленник может изменить пароль от учетной записи и заблокировать приложение настоящих родителей, пока сам общается с ребенком.

Инциденты

Вымогатель Ryuk заблокировал работу ИТ-систем 100 домов престарелых в США и потребовал 14 млн долларов США в биткоинах.

Объектом атаки вредоносного ПО стал облачный провайдер Virtual Care Provider Inc (VCPI), на серверных мощностях размещалась инфраструктура и данные домов престарелых. От атаки пострадали более 80 тыс. компьютеров провайдера, в результате чего работа компании была парализована: не работали интернет-услуги и электронная почта, доступ к записям пациентов и счетам клиентов, телефонные и даже платежные системы.

В открытом доступе обнаружена база ElasticSearch, содержащая данные более чем 1,2 млрд пользователей.

Размер базы данных составляет около 4 Терабайт, и в ней содержится почти 4 млрд записей, но лишь 1,2 млрд из них уникальны. Каждая запись содержит имена, адреса электронной почты, номера телефонов и информацию профилей LinkedIn, Twitter, Facebook и т. п. Конфиденциальной информации на сервере не было.

Предположительно данные в базе собраны из различных источников и принадлежат одному из беспечных клиентов компаний-брокеров данных People Data Labs и OxyData, который приобрёл данные, но не позаботился об ограничении доступа к ним.

ИТ-компания, обслуживающая Управление полиции Нью-Йорка, на несколько часов вывела из строя базу данных отпечатков пальцев, подключив к сети полиции инфицированный мини-компьютер Intel NUC.

Инцидент произошёл в процессе установки цифрового дисплея в полицейской академии. Неизвестное вредоносное ПО распространилось на 23 компьютера, подключенных к системе отпечатков пальцев LiveScan. После того, как заражение было обнаружено, базу данных пришлось отключить до устранения опасности.

Мобильная безопасность

В мобильном приложении для блокировки спам-звонков Truecaller обнаружена уязвимость, эксплуатация которой позволяет раскрыть данные о пользователях, информацию о системе и местоположении.

Уязвимость позволяет злоумышленнику внедрить вредоносную ссылку в качестве URL профиля. В результате пользователь, просматривающий такой профиль, автоматически становился жертвой, при этом ничего не замечая, поскольку вредоносная активность происходит в фоновом режиме.

Вредоносное ПО

Криптовалютный майнер Dexphot заразил более 80 тыс. компьютеров по всему миру благодаря использованию сложных техник для уклонения от обнаружения.

В ходе атак операторы Dexphot используют обфускацию, шифрование и случайные имена файлов для сокрытия процесса установки. Вредонос практически не оставляет следов на жёстком диске, используя бесфайловые методы для запуска вредоносного кода непосредственно в памяти.

После запуска Dexphot перехватывает легитимные системные процессы Windows msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe для избежания обнаружения. Итогом работы Dexphot становится запуск майнера криптовалюты на устройстве. В планировщик и службу мониторинга добавляются запланированные задачи, инициирующие повторное заражение при попытке удалить вредоносное ПО.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.