Новая схема кражи денег через SIM-карту и блокировку телефона
На сегодняшний день ключ к нашим деньгам и аккаунтам — это наш номер телефона, и эта информация давно не приватная. Потеря контроля над ним равносильна потере денег, и мошенники это прекрасно знают. Есть основные методы, как мошенники могут заблокировать ваш телефон или выкинуть вас из сети.
Внезапно пропадает сеть
Представьте, вы живёте свою лучшую жизнь, и тут у вас пропадает связь, симка вне зоны действия сети. Такое замечаешь не сразу — повсюду стоят глушилки, отсутствие связи зачастую обыденность, да и созваниваемся по мобильной сети мы редко. Но представьте, что связь так и не появляется, и вдруг вы обнаруживаете, что кто-то получил доступы к вашим онлайн-банкам и вывел деньги, которые были на счету. Вы звоните оператору, и оказывается, что SIM-карта была перевыпущена без вашего ведома, установлена на другое устройство, и совсем другой человек получал SMS для обхода вашего аккаунта. Связь пропала, потому что кто-то привязал ваш номер к другой SIM-карте, а ваша перестала обслуживаться.
Суть схемы в том, что без вас выпускается копия SIM-карты или просто ESIM. Для этого нужно, чтобы выполнялись три действия:
- У мошенника должен быть сообщник в салоне связи.
- У них обоих должно быть актуальное SMS на выпуск ESIM, которое придёт вам.
- Вы должны не заметить уведомление от оператора, который за 24 часа предупредит вас, что симка будет отключена.
Сообщники в салонах и выманивание SMS
Сегодня всё ещё встречаются сотрудники, которые готовы выпустить ESIM по фото паспорта вместо настоящего, потому что за это хорошо платят. Сотрудник не хакер, он не может самостоятельно обойти защиту от копирования, ему нужно, чтобы злоумышленник передал ваш паспорт, а точнее данные из него, и код из SMS. Паспорт сегодня можно найти в утечках, а код из SMS нужно выманить. Отсюда появляются легенды: «Здравствуйте, это ваш оператор, у вас заканчивается действие SIM-карты, давайте-ка её продлим». У симки нет никакого срока действия, это скам.
Ранее встречались случаи, когда мошенники выпускали Есимы без визита в салон. Крупные операторы дают возможность выпустить ESIM прямо в приложении. Но для верификации этого действия мошеннику нужно будет обязательно авторизоваться в ваших госуслугах. Сегодня это успешно получается только в том случае, если у вас в госуслугах всё ещё стоит подтверждение входа по SMS, если вы отключили подтверждение входа через Макс и при этом не стали ставить дополнительных систем защиты типа кодового слова. Мошенники под предлогом продления договора сначала получают доступ в приложение оператора, а затем и в приложение Госуслуг, потому что люди называют разные SMS сотруднику.
Маскировка уведомлений от оператора
Обязательное условие — вы должны пропустить сообщение о том, что симка будет перевыпущена. Эту информацию пытаются скрыть разными путями. Например, человек в тот же день едет за границу и подключает местную симку вместо своей, то есть SMS ему приходит только по возвращении в страну. В другом случае на человека насылают SMS-бомбер — когда вы получаете кучу SMS в течение короткого времени и вас просто заваливает. Мошенник запускает скрипт, который ходит по разным сайтам, пытается войти в личный кабинет по вашему номеру телефона, и вам постоянно летят коды подтверждения. В этой мешанине очень легко замаскировать очень ценное сообщение от оператора.
Когда телефон превращают в кирпич через облако
Теперь о том, как мошенники могут превратить ваш телефон в кирпич. На айфонах работает элемент социальной инженерии. Мошенник может представиться работодателем, обладателем секретного чита или просто несчастным человеком, который потерял iPhone и просит вас о помощи. В какой-то момент на ваш телефон попросят установить чужой iCloud. В этот момент вы передадите управление телефоном тому кто владеет этим аккаунтом, а дальше у вас будут вымогать деньги, чтобы вернуть доступ.
Изначально функция блокировки была придумана для защиты устройства. Если ваш iPhone потерян или украден, то нужно активировать режим пропажи через приложение Локатор или на сайте iCloud.com. Таким образом iPhone превращается в кирпич, и воровать его бессмысленно. Этим и пользуются мошенники. Заставляя вас авторизоваться в своём iCloude, они автоматически заставляют Apple считать ваш iPhone своим, а затем врубают режим пропажи. iPhone блокируется, а скамеры требуют деньги за разблокировку. Самый лучший простой совет: просто никогда не заходите в чужой iCloud, если человеку нужно найти свой iPhone, пусть идёт на сайт.
У Google очень похожая система на Android. Если у вас есть авторизация в Google аккаунте, то у вас также есть функция «найти устройство». В случае если указать, что телефон потерялся, удалённо можно заблокировать экран, установить новый пин-код и даже полностью сбросить устройство до заводских настроек.
Ещё в Гугле есть такая фича, как родительский контроль или Google Family Link, которая позволяет отслеживать активность ребёнка, видеть местоположение, устанавливать лимиты времени и одобрять установку приложений. Мошенники умудряются проворачивать это с телефонами обычных пользователей, убеждая их присоединиться по ссылке, после чего устройство также блокируется. Люди жмакают на что попало и даже не читают.
Межоператорский перехват трафика
Бывают и технические атаки. Межоператорский перехват трафика — это несанкционированное перенаправление данных, передаваемых между сетями различных провайдеров. Один из наиболее уязвимых протоколов — это SS7, по которому обмениваются информацией телефонные станции. Когда вы включаете телефон, он постоянно обменивается сообщениями с сетью. Когда вам кто-то звонит, его устройство обращается к базе, оператор отправляет запрос ближайшей к вам вышке, и в этот момент идет звонок.
Когда протокол создавался, считалось, что нет никакого смысла посылать подменные сигналы, поэтому SS7 по умолчанию не проверяет, не обманывает ли его вышка. Если кто-то получает доступ к порту SS7, например, через мелкого оператора в Африке или купив доступ в даркнете, он может отправлять поддельные сообщения. Сперва нужно узнать уникальный идентификатор SIM-карты и вышку возле которой сейчас находится жертва, далее отправить в сеть сообщение: «Абонент теперь у меня». Сеть поверит и начнет пересылать входящие SMS злоумышленнику. Это позволяет перехватить входящий звонок или SMS.
Проблема решена только для 4G и 5G. Однако обеспечение связи — это федеральная задача. Для того чтобы людям была доступна связь даже в отдалённых регионах, где зачастую есть только 2G и 3G, реализована обратная совместимость, которая заставляет операторов поддерживать SS7. Если ваш современный смартфон переключается в режим 3G или 2G, например, при плохом сигнале, то становится уязвим для таких атак. Именно из-за этой уязвимости многие компании рекомендуют переходить с SMS-кодов на генераторы кодов типа Google аутентификатор.
Опасность вредоносных приложений и бесплатных сервисов
Последнее, как у вас могут отобрать управление устройством или превратить его в кирпич — это приложения, которые вы скачиваете хрен пойми откуда. Самое частое, на что попадаются — это бесплатный VPN. Люди до сих пор считают, что в сети кто-то вполне может сделать для них бесплатный способ обойти блокировки просто ради нас с вами любимых. Вы скачиваете файл, даёте ему все разрешения. Конечно, Google вас предупредит, что приложение выглядит подозрительно, но вы всё разрешаете: и показ поверх других окон, и управление вызовами, и управление SMS, и управление другими приложениями.
В худшем случае вы потеряете доступ к устройству или получите ратник, то есть устройство-шпион. Такое приложение можно встретить не только как VPN, но и как анонимайзер, ускоритель сети, фейковый антивирус или просто как безобидную игрушку. В России можно встретить трояна Мамонт, который распространяется через Telegram под видом видеофайла, который затем перехватывает SMS и ворует деньги со счетов.