Жертвой таких атак, думаю, становились многие (мне "посчастливилось" даже дважды): на телефон с интервалом в несколько секунд начинали сыпаться одна за другой СМС от магазинов, почтовых сервисов, онлайн-кинотеатров, банков, соцсетей, а внутри - одноразовый код. Странности добавляло, что на большинстве этих ресурсов вы никогда не регистрировались. Что же мошенникам было нужно? Конечно, ответ в каждом конкретном случае могут знать только сами злоумышленники, но мы попробуем докопаться до наиболее правдоподобной версии (и она будет описана ниже).
Эта статья подготовлена исключительно с целью обезопасить вас в случае атак мошенников. А главный вывод прежний: никому и никогда не сообщайте одноразовые коды, даже если они вам кажутся цифровым мусором.
Зачем они вообще нужны - одноразовые коды?
Одноразовые коды (или OTP - "one time password") состоят из случайного набора цифр и высылаются автоматически в СМС на мобильный телефон, который был ранее привязан к сервису или только что введённый для его первичной привязки. Отправка сервисом одноразового кода пользователю и его получение от пользователя "обратно" (через форму на сайте) подтверждает, что конкретный номер в пользовании именно у этого человека и именно он даёт согласие на какие-либо операции/действия. Коды называются одноразовыми, поскольку никогда не используются дважды. Обычно "срок жизни" кода составляет несколько минут. Если за это время его не ввести в нужную форму, то понадобится запросить код повторно (придёт уже другая последовательность цифр).
В рамках этой статьи надо добавить, что "волна" одноразовых кодов, которая неожиданно сваливается в СМС на пользователя-жертву атаки, явно указывает, что и со стороны мошенников используется автоматизация: ваш номер телефона на десятках сайтов наверняка вводит компьютер.
Одноразовый код - ваша цифровая подпись
В России одноразовый код из СМС значит больше, чем в некоторых других странах, где сим-карты не привязываются к паспортам владельцев.
Телефонные сим-карты с момента их появления в начале эпохи мобильников подразумевали в нашей стране заключение договора на услуги связи (и предъявление паспорта). А Федеральный закон от 30.12.2020 г. N533-ФЗ "О внесении изменений в Федеральный закон "О связи" перекрыл и существовавшую ранее лазейку с "обезличенными" корпоративными сим-картами (если пользуетесь корпоративной связью, то знаете, о чём я: прошли процедуру подтверждения личности пользователя через личный кабинет оператора и Госуслуги).
Да и владельцам личных сим-карт регулярно приходят сообщения от операторов сотовой связи с требованием подтвердить свои паспортные данные, иначе номер грозят заблокировать.
Таким образом, по российскому законодательству мобильный номер считается привязанным к паспорту конкретного человека, что увеличивает риски его, телефона, использования.
Различные сервисы (прежде всего - банки и МФО) при дистанционном обслуживании считают факт подтверждения одноразового кода "простой цифровой подписью" клиента: ввели код из СМС на сайте - под чем-то "подписались" (приняли какие-либо условия, дали согласие на какую-либо операцию или услугу).
А теперь главное - рассмотрим несколько версий.
Версия 1. Мошенники массово регистрируют от вашего имени аккаунты на разных сайтах и сервисах
Это первое, что приходит в голову. Даже если предположить, что мошенники взяли очень большой "подряд" по увеличению числа новых пользователей каких-либо сервисов, то реализация кажется бестолковой: без одноразовых кодов, которые пришли на ваш номер, они его всё равно привязать к учётным записям не смогут. Впрочем, нельзя полностью исключать, что таким образом ваш телефон попадёт в базы данных для последующих спам-рассылок. Даже если так, эта версия выглядит наименее реалистичной.
Версия 2. Странная реклама?
Самая длинная атака на мой телефон длилась около получаса. Кстати, все такие атаки происходили примерно в одно и то же время - под конец рабочего дня. Тогда мне пришло более 50 СМС от музыкальных сервисов, видеохостингов, автошкол, медклиник, Интернет-магазинов, различных фондов. Про большую часть из них я слышал впервые.
На сайты некоторых организаций - не удержался, заглянул и сразу поймал себя на мысли: как бы нелепо это не прозвучало, но присланные с подачи злоумышленников СМСки сыграли роль своеобразной рекламы. Я же на сайты сервисов-отправителей СМС таки зашёл! А продавцы не зря говорят, что если удалось заманить покупателя в магазин, то, считай, полдела сделано: что-нибудь обязательно купит.
К примеру, на сайте онлайн-кинотеатра меня заинтересовал баннер с фильмом, который давно хотел посмотреть; к тому же - предлагался промо-период - не удержался, зарегистрировался. В Интернет-магазине глаз зацепился за рубашки по привлекательной цене - для оформления заказа тоже пришлось зарегистрироваться.
Кстати, если СМС от магазинов, в которых ничего не покупал, можно было проигнорировать, то с банками-то другая ситуация! Все слышали истории, как мошенники вешают кредиты на других людей? Логично, что получив СМС от некого банка (хотя вы и не его клиент), сразу же попытаетесь с ним связаться - проверить. Так сделал и я. Продуктивность общения со службой поддержки банка по телефону и в чате вы можете себе представить - с моих слов оператор составил претензию, продиктовал её номер и предложил подождать решения вопроса (в установленные законом сроки). Пришлось выкроить время на следующий день и ехать в банк, чтобы написать уже письменное заявление: мол, номер, на который СМСки шлёте - мой, но я не ваш клиент, а если кто-то его указал - требую удалить. И, естественно, в заявлении пришлось указать свои паспортные данные (анонимки, понятно, банк не принимает).
Кстати, если у вас будет похожая ситуация, то сначала загляните в офис оператора сотовой связи и попросите справку о том, что номер действительно вам принадлежит. Получение такого документа тоже непростая задача. Мне, к примеру, сначала просто выдали распечатку принадлежащих мне номеров - без всяких подписей и печатей. Но это отдельная тема.
Короче говоря, моё заявление рассмотрели примерно за неделю и сообщили: не беспокойтесь, просто кто-то ошибочно ввёл ваш номер на сайте банка, бывает. Что в остатке? Кредитная организация, клиентом которой я даже не являюсь, получила мои персональные данные и могла бы использовать для маркетинговых целей, направляя регулярные "выгодные предложения".
Получается, СМС-атака не прошла бесследно. Компании-отправители СМС остались в плюсе: получили мои паспортные/персональные данные для потенциального использования в дальнейшем (не надо объяснять, как ценны такие данные), расширили число клиентов/подписчиков, наконец, продали мне товары и получили за них деньги. В общем, неужели атака была этакой нестандартной рекламой?
В Интернете мне попадались упоминания неких "партнёрских программ", что намекало на возможную маркетинговую цель у массовой рассылки одноразовых кодов, но я так не думаю. Если такие "программы" и существуют, то они скорее исключение, чем правило. Я бы не стал делать вывод, что СМС-атака с одноразовыми кодами - это всегда закамуфлированная реклама. Слишком уж сильно она противоречила бы базовым маркетинговым принципам. Как минимум - конверсия не обещала бы быть высокой из-за размытости целевой аудитории, полного отсутствия таргетированности (сужу по сообщениям, которые сам получал) и перегруженности торговыми марками/названиями сервисов. Кроме того, зачастую в СМС с кодами "кликабельные" ссылки на сайты отсутствовали - даже при большом желании "рекламодатель" не смог бы понять, что источником перехода на его сайт стало именно конкретное СМС, полученное пользователем. Поскольку рекламодатели привыкли деньги считать, то вряд ли бы стали тратить их на такой непрозрачный рекламный механизм.
А подозревать мошенников в том, что они по доброте душевной решили увеличить доходы десятков случайных организаций из разных сфер деятельности - тоже не приходится. В общем, эта версия тоже мимо.
Версия 3. Звонок из "службы безопасности банка" в новом варианте
Эту версию я обнаружил в Интернете. Её суть та же, что и со звонками из "служб безопасности" - мошенники пытаются получить у жертвы одноразовый СМС-код. Они заранее заполняют заявку на онлайн-кредит на сайте некой микрофинансовой организации, указывают телефон жертвы, а подтверждающий его код "топят" в СМСках от музыкальных сервисов и Интернет-магазинов. После этого якобы связываются с жертвой через мессенджер прикидываясь такой же жертвой, втираются в доверие и пытаются заполучить скриншот всей "простыни" СМС из телефона. Поскольку жертва считает СМСки мусором, то такой скриншот вполне может отправить. А в нём мошенники найдут нужное сообщение с кодом, который введут в заявке на сайте МФО и привяжут кредит к номеру жертвы. После этого кредитные денежки по "привычной" схеме уйдут к неизвестным, а долг ляжет на жертву СМС-атаки. Что-то доказать в МФО потом будет сложно: паспортные данные чьи? Жертвы (наверняка мошенники их раздобыли и указали в заявке). Телефон, с которого операцию подтвердили простой цифровой подписью, чей? Тоже - жертвы атаки.
Слабые места этой версии: во-первых, большинство одноразовых кодов действуют считаные минуты, поэтому мошенники ограничены по времени "обработки" жертвы; во-вторых, МФО как-никак проверяют онлайн-заёмщика, должны запросить фото с паспортом в руках, использовать видеозвонок для подтверждения личности и т.п. - это, по идее, дополнительно усложнит злоумышленникам работу по такой преступной схеме. Зато с психологической стороны такой "сценарий" выглядит вполне правдоподобным.
Версия 4. Вы - не жертва, а инструмент атаки
Возможно, одноразовые коды из СМС мошенникам не нужны, они - побочный продукт организованной ими DDOS-атаки на сайты крупных компаний. Допустим, злоумышленники вводят на таких сайтах все телефоны подряд в различных формах регистрации. Сайты, понятно, отправляют одноразовые коды, но в какой-то момент перестают справляться с большой нагрузкой. Вполне возможно, это и есть цель мошенников - вызвать временные перебои в работе сайтов. А для любой компании это ЧП: жалобы клиентов и прочие неприятности. В общем, злоумышленники могут встать в позу дворового гопника, вслед за атакой разослав пострадавшим компаниям "предложение": "Видали, как мы можем? Не хотите повторения - гоните бабки". Глядишь, кто-то и заплатит. Хотя, понятно, что такой шантаж будет бесконечным.
Версия 5. Атака ради атаки
Поскольку мы рассматриваем все версии, то и эту упускать из вида не будем. Возможно, целью атаки на ваш телефон было обычное хулиганство, т.е. не предполагалось получение какой-либо наживы. Да, звучит невероятно, но обозлённые на весь мир хакеры наверняка существуют. Цели для своих атак они могут выбирать совершенно рандомно и наслаждаться созданным хаосом.
К таким IT-хулиганам я бы причислил и "мстителей" за неудавшиеся "классические" телефонные мошенничества. Уже не раз мне попадались в сети "советы" в духе: если позвонили мошенники из очередной "службы безопасности", не сердите их, а то отомстят. Авторы таких "советов" подразумевают, что, мол, не надо пытаться "играть" с мошенниками, если их раскусили, или оскорблять. Комментировать такие рекомендации не буду.
Итак, вроде бы, ничего не забыли? Четвёртая версия мне представляется наиболее вероятной. А вам? Напишите в комментариях, попадали ли вы под лавину таких СМСок и что думаете о целях мошенников.