.gif)
Portret
Опытный
Для достижения цели злоумышленники используют даркнет-форумы, угрозы и социальную инженерию, эксплуатируя ошибки американских провайдеров.
Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.
Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах.
Как номер телефона используют против его владельцев
В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.
По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.
После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».
По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.
Масштабы проблемы
По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс после громкой утечки пользовательских данных из социальной сети в 2017 году.
«Когда-то взлом аккаунтов через дубликат SIM-карты можно было осуществить настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество».
Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.
«Я беру их деньги и живу своей жизнью. Они сами виноваты, что не следили за безопасностью», — говорит Ace.
Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Борисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».
В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.
Способы борьбы
AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.
В марте 2018 года AT&T, Verizon, Sprint и T-Mobile о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.
Как и коммуникационные гиганты, ФБР не ведет статистику или не хочет раскрывать данные о количестве жертв дублирования SIM-карт. СМИ не уверены, что подобный учёт вообще проводится властями.
Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.
«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд. Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.
В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.
Насколько уязвимость SIM-карт актуальна для России
Все крупнейшие российские коммуникационные операторы, включая «МегаФон», МТС, «Билайн», и Tele2, предоставляют услугу замены SIM-карты, что теоретически даёт возможность злоумышленнику сделать дубликат. Однако, в отличие от США, для подачи заявления на восстановление нужны паспортные данные владельца. Подтвердить достоверность данных по телефону нельзя — нужно прийти в сервисный центр или оформить онлайн-заявку, указав паспортные данные.
Существует альтернативный вариант — самостоятельное дублирование SIM-карты, однако для этого понадобятся дополнительные и не легкодоступные инструменты:
В одном из интервью пресс-служба «МегаФона» заявила, что ранее компания не сталкивалась с «клонированием» SIM-карт. По словам представителя компании, подлинность каждой карты подтверждается ключом шифрования «Ki», хранящимся на карте и в базе данных оператора. То есть для успешного копирования злоумышленнику потребуется скопировать не только SIM-карту со своим уникальным номером, но и ключ «Ki».
«Можно сказать, что современные методы шифрования исключают возможность клонирования SIM-карт», — пресс-служба «МегаФон».
Представители «Билайна» отвергли мнение технического сообщества о том, что SIM-карты компании наиболее просто взломать и продублировать. Пресс-служба заявила, что никто из клиентов «Билайна» никогда не жаловался на то, что некто продублировал их SIM-карту.
«ВымпелКом» давно закупает USIM-карты с надёжным алгоритмом аутентификации, взлом которого на текущий момент не был зафиксирован. У нас также действуют специальные меры информационной безопасности, исключающие потенциальные утечки данных от поставщиков SIM-карт», —пресс-служба «Билайна».
Представители Tele 2 не комментируют данный вопрос. В пресс-службе МТС поясняют, что в «современных SIM-картах нет уязвимостей», а заменить карту можно только в салоне связи или при личном присутствии владельца договора.
Источник:
Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.
Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах.
Как номер телефона используют против его владельцев
В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.
По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.
После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».
По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.
Масштабы проблемы
По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс после громкой утечки пользовательских данных из социальной сети в 2017 году.
«Когда-то взлом аккаунтов через дубликат SIM-карты можно было осуществить настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество».
Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.
«Я беру их деньги и живу своей жизнью. Они сами виноваты, что не следили за безопасностью», — говорит Ace.
Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Борисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».
В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.
Способы борьбы
AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.
В марте 2018 года AT&T, Verizon, Sprint и T-Mobile о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.
Как и коммуникационные гиганты, ФБР не ведет статистику или не хочет раскрывать данные о количестве жертв дублирования SIM-карт. СМИ не уверены, что подобный учёт вообще проводится властями.
Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.
«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд. Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.
В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.
Насколько уязвимость SIM-карт актуальна для России
Все крупнейшие российские коммуникационные операторы, включая «МегаФон», МТС, «Билайн», и Tele2, предоставляют услугу замены SIM-карты, что теоретически даёт возможность злоумышленнику сделать дубликат. Однако, в отличие от США, для подачи заявления на восстановление нужны паспортные данные владельца. Подтвердить достоверность данных по телефону нельзя — нужно прийти в сервисный центр или оформить онлайн-заявку, указав паспортные данные.
Существует альтернативный вариант — самостоятельное дублирование SIM-карты, однако для этого понадобятся дополнительные и не легкодоступные инструменты:
- Дубликатор SIM-карты (похож на кардридер);
- «Чистая» SIM-карта от того же провайдера. Скорее всего, злоумышленникам придётся искать старую карту начала 2000-х, так как современные защищены от дублирования;
- Дополнительные программы для создания дубликата. Многие из них не работают на современных операционных системах.
В одном из интервью пресс-служба «МегаФона» заявила, что ранее компания не сталкивалась с «клонированием» SIM-карт. По словам представителя компании, подлинность каждой карты подтверждается ключом шифрования «Ki», хранящимся на карте и в базе данных оператора. То есть для успешного копирования злоумышленнику потребуется скопировать не только SIM-карту со своим уникальным номером, но и ключ «Ki».
«Можно сказать, что современные методы шифрования исключают возможность клонирования SIM-карт», — пресс-служба «МегаФон».
Представители «Билайна» отвергли мнение технического сообщества о том, что SIM-карты компании наиболее просто взломать и продублировать. Пресс-служба заявила, что никто из клиентов «Билайна» никогда не жаловался на то, что некто продублировал их SIM-карту.
«ВымпелКом» давно закупает USIM-карты с надёжным алгоритмом аутентификации, взлом которого на текущий момент не был зафиксирован. У нас также действуют специальные меры информационной безопасности, исключающие потенциальные утечки данных от поставщиков SIM-карт», —пресс-служба «Билайна».
Представители Tele 2 не комментируют данный вопрос. В пресс-службе МТС поясняют, что в «современных SIM-картах нет уязвимостей», а заменить карту можно только в салоне связи или при личном присутствии владельца договора.
Источник:
