Социальные сети снова гудят: «Мошенники звонят, представляются инженерами сотовых операторов и просят набрать #09 или #90 для проверки связи. Не делайте этого, иначе потеряете SIM-карту и деньги!»
Звучит страшно, правда? Но давайте разберёмся, что это за паника и стоит ли бояться этих «волшебных» команд. Спойлер: лучше в принципе НИЧЕГО не делать по просьбе неизвестных лиц.
Пример распространяемой новости прислала одна из читательниц:
Страшилка для доверчивых?
Схема проста, как сценарий дешёвого триллера. Вам звонит некто, называет себя «инженером связи» и с серьёзным видом просит:
«Наберите #09 или #90, чтобы проверить линию/качество связи/наличие 4G».
И якобы после этого мошенники получают доступ к вашей SIM-карте, мобильному банку и, видимо, начинают заказывать пиццу и кредиты на ваш счёт.
Сообщения в духе «перешлите всем срочно!» уже заполонили чаты, а особо впечатлительные граждане теперь боятся даже баланс проверить.
Уже ряд изданий заявили что это фейк и он не нов, он гуляет по интернету годами, периодически всплывая в новой обёртке. Но вот незадача: никто так и не объяснил, как именно эти кнопки открывают ворота в ваш телефон или не подтвердил, что они ничего не значат.
Поэтому я не готов во всеуслышание сказать, что это безопасно и невозможно.
Что значат #09 и #90? Ничего страшного, но есть нюанс...
Команды вроде #09 или #90 — это так называемые USSD-коды, которые мы все используем, чтобы, например, узнать баланс. Например *105# у Т2. Или подключить тариф.
Они отправляют запрос оператору, а тот присылает ответ. У каждого оператора свои коды, и их значение зависит от настроек сети:
- У МТС или Билайн #09 может вообще ничего не значить — просто ошибка.
- У Tele2 или МегаФона такие комбинации тоже не несут тайного смысла, если не привязаны к услуге.
- В редких случаях это может быть что-то вроде запроса статуса какой-нибудь опции, но точно не ключ к вашей SIM-карте.
Главное: эти коды работают только в системе оператора. Они сами по себе не дают никому «взломать» ваш телефон и уж тем более не связаны с банковскими приложениями. Все возможные последствия связаны только с SIM-картой/номером.
Иногда еще доступ могут украсть вот так:
Так что, если вас просят набрать #09, максимум, что случится, — вы потратите пару секунд на бесполезное действие.
Тем не менее, сохраняется определенный риск, что у оператора могут быть какие-то незадокументированные команды, временные «проблемы» и прочие факторы. Так же факт отправки этой команды может быть "первым этапом" обмана. А потом позвонит "полковник специальной службы" и расскажет, как вы только что помогли экстремистам.
Как можно в это поверить?! Спросите у тех, кто каждый день мелькает в новостях о жертвах мошенничеств...
Даже несмотря на то, что публичной информации о смысле данных команд нет, лучше воздержаться от их использования в разговоре с неизвестными.
Помните золоте правило - НИЧЕГО не говорить посторонним и уж тем более ничего не делать по их команде/просьбе. Впрочем, люди квартиры продают и миллионы «курьерам» для «декларирования» отдают, едва ли их остановит предостережение о риске ввода пары цифр…
Переадресация звонков и SMS: тут нужен номер
Я лично вижу один вполне реальный шанс навредить с помощью USSD команд. Это переадресация.
Штука реальная, но у большинства популярных операторов для того, чтобы ваши звонки или сообщения ушли на чужой номер, одной команды вроде #09 или #90 недостаточно. Как минимум требуется «закрывающий» символ для отправки команды. Но, возможно, команда написана не полностью.
Нужна конкретная комбинация с номером мошенника, например, *21+79991234567#.
Вот как это работает:
- Вы вводите код с номером, активируя переадресацию.
- Все входящие звонки или SMS перенаправляются на этот номер.
- Мошенник получает ваши банковские коды, если они приходят по SMS.
Но есть нюанс: не все операторы поддерживают такие команды без дополнительных проверок.
В то же время я натолкнулся на пару комментариев в сети, что у одного из не самых популярных операторов есть возможность передачи какой-либо информации в ходе РАЗГОВОРА. Т.е. выполняемая команда действительно может предоставить какие-то сведения абоненту, с которым вы говорите.
Это, повторюсь, лишь комментарии. Я не считаю себя профильным техническим специалистом, пусть и тесно связан с темой «антимошенничества», но про подобное не слышал.
Придерживаемся старой модели поведения: НИЧЕГО не выполняем! НИЧЕГО не называем!
Как на самом деле перехватывают SMS? Топ популярных схем
Мошенники действительно охотятся за нашими SMS-кодами, но их методы куда хитрее, чем новости про «страшную команду #90».
Вот краткий список их уловок:
- Вредоносные приложения. Уговаривают скачать «полезную» программу (типа антивируса или игры), а она тихонько пересылает ваши SMS куда надо. Или присылают .apk-файл, который сам все сделает, если на него нажать.
- Фишинг на основе социальной инженерии. Звонок от «банка», «энергосбыта», «оператора связи», «медсестры из поликлиники» с просьбой назвать код из сообщения «для записи куда-то там». Вы называете — они обчищают.
- SIM-дубликат. С помощью фальшивого паспорта или недобросовестного сотрудника точки оператора, мошенники перевыпускают вашу SIM-карту и получают все сообщения на неё. Процесс сложный, возможен только при «целевой разработке» жертвы.
- Переадресация через коды. Да, это возможно, но только если вы сами введёте номер мошенника в команде, и то не все операторы поддерживают переадресацию СМС.
Многие способы обмана уже разобраны тут:
Реально больше 30 "разводняков". Изучите и поделитесь =)
Стоит ли паниковать?
Нет, ничего не поменялось и не случилось. Но я не разделаю тенденции успокаивать граждан, что "ничего страшного не случится, команды - фигня".
Завтра мошенник предложит реальную команду для переадресации и человек ее введет!
Я вижу больше риск не технический, а психологический. "Жертва", выполнив просьбу мошенника, становится открытой для следующего этапа обмана.
Жулье подстраивается под любые реалии. Вот как пример потенциальной переадресации (не забудьте подписаться).
Не сам звонок мошенников «позволяет получить доступ» - как нас пугают в примере новости в начале статьи - а человеческая доверчивость и неосторожность. А там может быть что угодно. Начиная от команды (в т.ч. подключающей переадресацию) или кода от Госуслуг, заканчивая продажей квартиры…
Даже если это фейк, рассчитанный на тех, кто любит пересылать «срочно всем» (о чем я НЕ МОГУ однозначно заявить!), это не отменяет необходимости сохранять бдительность.
И не нажимать/не вводить/не отправлять непонятное. Лучше перезвоните тому, кем прикинулся звонящий.
«Нравлик» по традиции, остальное – как желаете!
Кстати, приглашаю подписаться на ВК – там доступны бесплатные консультации, в том числе приватные – для донов сообщества.
З.Ы. Если кто в курсе значения этих или схожих с ними команд - поделитесь в комментариях, буду признателен.