В предыдущем своем посте я рассказала о четырех случаях, которые лично наблюдала, когда у людей смогли списать деньги без ведома владельцев с банковских счетов, привязанных к картам. В комментариях к статье люди рассказывали о своих случаях, где они пострадали похожими способами. Статья вызвала интерес у разных знакомых специалистов и мне довелось познакомиться с одной технологией уязвимости мобильной связи, которая проливает свет на те необъяснимые случаи, когда у пострадавших не было ни вирусов, ни активного использования Интернет-банкинга. Давайте я еще раз напомню те случаи:
1. Деньги вывели ночью с кредитной карты Райффайзенбанка за покупки в ИМ Wildberries, пришли итоговые смс с оповещением о списании
2. Деньги списаны со Сбербанковской карты пенсионерки, владелец крайне редко пользовалась онлайн банком и никогда оплатой в интернете.
3. Деньги переведены из онлайн банка ВТБ двум физлицам в Сибири, причем владелец засекла момент начала операций, открыла он-лайн кабинет, но не могла производить никаких операций в нем. Списания происходили у нее на глазах.
4. У Натальи Шилиной и ее мужа в один день (ночью) списали с 5 карт Сбера и Тинькофф. На карте мужа, помимо списаний, произошло оформление кредита на 500$. Также были списания у дочери с ее карты тоже в тот же день. Мошенники вошли в приложения, управляли звонками и СМС.
5. Женщина из комментария к предыдущему посту описывала случай, где с карты Сбер у ее мужа списали остаток средств, они увидели только смс с балансом «0».
И еще много других похожих случаев.
Здесь общее то, что у всех пострадавших были мобильные телефоны, на которые они получали коды доступа или отчеты об операциях банка. У большинства были интернет-банки на телефонах. Суммы ущерба не велики (до 150 тыс.р.) и это наводит на мысль, что их не вычисляли как выгодных «богатых» жертв, а они «попали», так сказать, в базу потенциальных доступных жертв.
Сама я стала интересоваться данной тематикой после того, как обнаружила, что бывший близкий друг, который весьма продвинут в технологиях и компьютерах, каким-то образом имеет доступ к моей почте, WhatsApp и может определять мое местонахождение. Но доказать доступ и понять в то время что происходило было нельзя, и я просто мучилась параноидальными подозрениями. Апофеозом было то, что он смог произвести звонок с моего телефона себе без моего участия. "Разговор" длился 31 сек. Последний случай мне не могли прокомментировать ни у оператора связи Билайн, ни у производителя телефона Apple. Примерно в то же время "друг" начал довольно грубо требовать деньги. И я потеряла покой, понимая, чем все это может мне грозить. С тех пор я стала по крупицам собирать странные случаи, пока не получилась картинка.
Итак, технология о которой я поведаю, относится к области телеком связи, и подробности ее работы продвинутые читатели смогут сами найти, набрав в поисковике SS7. Формат очень древний, был разработан между 70-ми и 80-ми годами прошлого века. Коротко и просто расскажу, что этот формат связи обрабатывает запросы на передачу сообщений. Вот что пишет один специалист по безопасности: «Благодаря тому, что шифрования в этом канале изначально не было, а оборудование, для ускорения и упрощения работы, проектировалось таким образом, что источник управляющего пакета не проверялся, потому что это очень серьезно замедлило бы работу всей сети — то злоумышленник получал полный контроль над ним, без особого труда, потому что его команды было не отличить от операторских. Достаточно было только иметь компьютер с необходимым набором софта и доступом в интернет. Особо неприятно то, что хакеру абсолютно не требуется находиться близко к взламываемому абоненту, он может атаковать из любой точки земного шара.»
Пробелы работы SS7 хорошо известны связистам, и этими погрешностями пользовались мошенники в разных развитых странах несколько лет назад. Когда-то там тоже была развита двухфакторная аутентификация, когда все подтверждения идут по смс. С тех пор продвинутые банки перешли на иные способы проверки корректности операции, так как этот способ уже не является гарантом безопасности. Формат SS7 устроен таким образом, что сигнал передачи может быть инициирован мошенником из мобильной передвижной станции на телефон жертвы, после чего он изменяет данные местонахождения жертвы на свои и может перехватывать смс сообщения, использовать их, и, после получения доступа к личному кабинету и использования средств жертвы, отключаться от сеанса связи.
Жертва после такого опять может пользоваться телефоном и всеми сервисами. То есть при таком способе исключается подозрение на:
- копирование сим-карты
- внедрение вирусов на телефонный аппарат жертвы
и обьясняет, что такое мошенничество можно сделать и с владельцами кнопочных телефонов.
Этот способ вообще многое объясняет. И выводит из подозрения любые модели телефонов (был спор, что Android-ы более подвержены мошенническим действиям, чем iPhon-ы) , слив паролей через Google, нерадивых сотрудников банка и операторов связи. Правда, для начала этого мошенничества нужно обладать двумя вещами: номером вашей карты и номером вашего мобильного, к которому привязана карта. Не спрашивайте меня, как мошенники могут это получить, ибо способов миллион. Мне кажется, что самое простое объяснение, когда мы используем программы лояльности, и сами заполняем о себе данные, а потом пользуемся этими картами и следом своими банковскими картами для расчетов за покупки. Но уверена, что есть и множество других способов. Слив данных из банков - тоже простая версия, объясняющая многое. Я проверяла этой осенью, как после посещения офиса ВТБ, где был открыт вклад на мое имя и оформлен на новый номер телефона, буквально через час выхода из офиса меня настиг уже звонок с какой-то рекламой.
Для информации: считается, что новые сети 5G должны устранить эту уязвимость в работе с данными сети.
Итак, я вам смогла объяснить технологию, но не смогу объяснить, как появляется доступ к работе таких мошенников на территории России. Ведь все станции учтены, все строго регламентировано. Без работы правоохранителей мы с вами не получим достоверную информацию. Есть предположения, что работа таких станций идет где-то из сопредельных территорий, где менее щепетильные органы надзора и слабее законы. Сигнал-то доходит из любой точки земли сейчас в любую точку земли за считаные секунды. Возможны также иные способы, про которые знают спецслужбы.
Этот метод мошенничества позволяет также устанавливать местонахождение жертвы, слушать ее разговоры и подделывать USSD -запросы. Впервые проблемы по безопасности стали озвучивать еще в 2008 году на профильных конференциях. Одна из нашумевших историй, связанная с этим форматом, была при участии известного Сноудена, где он поведал о тотальной слежке властей.
Нам, простым гражданам надо понимать механизм и понимать, какие способы могут нас защитить от таких продвинутых мошенников. Я напишу свои способы, но выбирать применять/не применять - решать вам.
- Отключаем роуминг в настройках телефона. Если вы сидите в Москве, он вам не нужен. Считается, что это сможет помешать переключениям ваших сим-карт на аппараты мошенников.
- Тем, кто параноик, как и я, используем способ, данный в первом посте - убираем он-лайн банки со своих аппаратов и переводим их на другой телефон. Оформляем привязку к телефонам, которые вы будете использовать только для этих целей и не будете светить нигде в интернете.
- Оформляйте цифровые карты, привязанные к основным, для расчетов в интернете. Держите там какой-то минимальный лимит, нужный вам для расчетов в ближайшее время.
- Зарплаты (пенсионные) карты используем только для снятия наличных в банкомате. Привязка к номеру телефона не должны быть к тому, который вы используете для остальных целей.
- Стараться пользоваться сервисами двухфакторной авторизации, НЕ использующие СМС для подтверждения критичных действий, тем более что NIST (National Institute of Standards and Technology) настоятельно не рекомендует это делать, именно из-за проблем в SS7.
- Основные счета (депозиты и другое) не должны быть привязаны к картам и быть открыты в он-лайн банках.
Я сожалею, что мне приходится все это писать в наш просвещенный век искусственного интеллекта и продвинутых технологий. Но лучше немного потратить времени сейчас и сделать что-то полезное для себя и не сложное для своей безопасности, чем потом бегать с заявлениями и писать «Ну как же так?». Уж если мы смогли пережить пандемию, все эти маски, изоляции и прививки, то и с этой угрозой справимся.
P.S. Буду благодарна, если в комментариях смогут написать те, кто столкнулся с подобными, описанными выше, случаями мошенничества и они смогли разоблачить негодяев. Не просто вернуть деньги, а именно разоблачить.