Адрес для входа в РФ: exler.wiki
"Симка с деньгами" из "Денег"
Попалась тут в Коммерсант.Деньги более чем странная статья под названием "Симка с деньгами". Издание вроде солидное (ну, пока еще), а стиль изложения - "Московский комсомолец" пополам с "Аргументами и фактами".
Сначала рассказывают трогательную историю про некоего московского юриста, который приехал в Москву в 2010 году из Осетии и купил с лотка на каком-то рынке обезличенную симкарту, которую не нужно регистрировать.
Далее этот прекрасный человек на данную симку зарегистрировал доступы к каким-то банковским счетам, доступ ко всяким социальными сетям и так далее. Ну, большого ума юрист, чего уж там. В результате лишился доступа к социальным сетям, у него украли деньги со счета (не очень понятно, какими путями) - давайте поплачем над бедолагой-юристом.
Так в чем вывод-то? Что не надо быть идиотом и не надо какую-то "левую" симку использовать для доступа к конфиденциальной информации? Нет, там такой вывод почему-то не делается.
Дальше читаю - и не верю своим глазам. Цитирую.
Приобретая сим-карту у дилера, который игнорирует ее регистрацию, пользователь автоматически попадает в зону риска. Например, симка может содержать вредоносную программу — троян, который попытается украсть деньги либо со счета мобильного номера, либо с привязанного к номеру банковского счета. То есть программа будет вместо пользователя отправлять соответствующие СМС и прочие запросы, попутно стирая из памяти устройства их следы.
Охренеть. И этот дурдом пишут в Коммерсанте? А почему не написали, что симка также залезет в холодильник, сожрет там все продукты, а потом еще и вашу квартиру продаст, подделав подпись?
Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно.
Какие-то бабушкины страшилки и опять-таки - случай клиентов-идиотов.
"Известны случаи, когда злоумышленники приходили в офис сотового оператора и совершенно законно заключали договора и регистрировали на себя несколько десятков сим-карт. Потом проверяли, не осталась ли привязка номера к банковскому счету прежнего владельца,— рассказал "Деньгам" представитель управления "К" МВД РФ Александр Вураско.— Для этого просто отправляли СМС на сервисные номера популярных банков и смотрели, пришел ли ответ. Именно по такому принципу "пробивания" по списку банков действует и троян на смартфоне".
А прежние владельцы тоже - законченные кретины? Лишившись номера оставили привязку этого номера к банковскому счету? А сами они к этому счету как доступ получали?
"Когда села в электричку, обнаружила, что у меня пропал телефон,— рассказывает москвичка А.— Но я особо не волновалась — ни позвонить, ни отправить СМС вор не сможет, так как вход в смартфон защищен паролем". К тому моменту, когда А. добралась до дома и все-таки позвонила в свой банк, преступники уже успели увести деньги с ее счета: просто переставив незащищенную пином сим-карту в другой телефон.
Ну, симку переставить - дело нехитрое. А вот как они деньги-то со счета увели, имея одну только симкарту? Я уж молчу о том, что они даже SMS не могли посмотреть и узнать, в каком банке счет. И я уж молчу о том, что для доступа к счету недостаточно одной симкарты, а прежде всего нужен логин-пароль. Опять какие-то бабушкины сказки.
Но самая лучшая защита, хотя тоже не стопроцентная,— завести для финансовых операций отдельный номер. Соответственно, если он не будет использоваться для звонков, не засветится в интернете, потенциальные злодеи вряд ли узнают о его существовании.
Вот это как раз единственная достаточно толковая мысль - симка под коды доступа должна быть отдельная и ее лучше держать на специальном телефоне.
Но в остальном статья - какие-то страшилки, а стиль подачи - ни разу не коммерсантовский. Дурдом.
А так... Ну вот смотрите. Если моя симка (я - злодей) злоумышленно попала лоху, и он - лох - оформил на нее какой-либо банк, скажем, тот же СберОнл@йн.
Мои действия. Я прихожу с паспортом и заявляю, что телефон попятили, симку постирал и т.д., и мне бесплатно выдают новую, а старую - т.е. ту, что у лоха - блокируют.
Все. Тупо пересылаю деньги на др. счет.
Уже не один раз здесь написали, что у нормальных банков при замене СИМки онлайн-банкинг с помощью телефона блокируется, и чтобы подтвердить, что ты -- владелец счета, нужно рассказать о себе кучу данных или лично прийти в отделение банка. Если у Сбера это не так, то они сами себе враги. И еще, точно знаю, что для доступа в СберОнлайн нужен еще пароль или доступ по отпечатку пальца. Где ты его возьмешь?
Так что не обязательно банк будет виноват, еще и ОПСОС и его сотрудники могут приложить свои руки из жопы!
А так да, халатность народа порой удивляет. Причем, блин, сами же к своим деньгам доступ оставляют, а потом жалуются. Хотя, может, банкам и стоит придумать какой-нибудь холд для подобных автоматических или полуавтоматических платежей. Хотя, им то что. Как и мобильные операторы заинтересованы во всяких смс-подписках, которые просто развод народа на деньги.
А зачем? М-м-м... Минут 10 думал. Обоснование этому не придумал. Возможно оно есть. Если не трудно, объясните, плз, зачем постоянно менять симки? Без "подтекста" - просто вопрос.
когда она сработает и сработает ли вообще - х/з
но сработать может, так-что зря ругаешься - статья пугалка, но может быть и так, как написано
http://www.banki.ru/services/responses/bank/response/6649587/
(отправлены СМС для пополнения мобильного баланса данной сим-карты со счета сбербанка, потом мобильный перевод средств с симкарты билайна)
Конечно, тут нельзя по отзыву точно воспроизвести картину произошедшего, степень виновности сторон и вообще правдивость отзыва 😉. Но, по крайней мере теоретически, для данной атаки не нужно ничего, кроме возможности отправлять и получать СМС.
никак. что бы сделать перепривязку в куче банков нужно лично с паспортом прийти в оффис. тоесть у злоумышленников есть время от нескольких часов до нескольких дней
1. Проверяют на предмет самого простого, а имено Сбер, для этого достаточно отправить смс на номер 900 с текстом "бал", вернет баланс привязанной карты, если получили баланс идем дальше.
2. Если это сбер, то там можно оплатить телефон отправив на номер 900 смс с текстом "900 номер_телефона сумма". Для этого не нужно знать ни логина, ничего.
3. Схем по выводу денег с телефона навалом, там есть свои ограничения, но тем не менее эти ребята их знают и таким образом можно вытащить очень большую сумму.
Это вот с ходу что в голову приходит.
Потом по номеру телефона можно пробить легко паспортные данные и вообще всю анкету, в некоторые банки можно позвонить в колл центр и представиться кем угодно, да еще и с этой симки. Там же можно восстановить логин и пароль через смс на этот номер.
Далее, часто у этих ребят есть человек в том же Сбере, который может найти логин, далее через смс восстанавливаем пароль и получаем доступ к инет банку Сбера.
Ну и так далее. Да, не каждый раз это все срабатывает, но довольно часто.
По поводу симок, эта схема очень даже распостраненная и пользователи очень часто бросают номера, но привязка к клиенту в банке остается. Такое бывает, это как раз кретины. Далее по той же схеме. На авито даже есть объявы о скупке симок.
Я это к чему, к тому что схемы защиты в банках довольно сложные и там очень много дырок куда сунуться что бы влезть в процесс.
По поводу первой части, атака смартфона через симкарту возможна вполне. Есть там уязвимости, если говорить о вот таких вот симках купленных с рук и обезличенных, то там может быть закладка для атаки, только она не совсем троян, там немного хитрее, это просто определенной версии симка с поддержкой java card(это то на чем сим меню пишется). В итоге появляется возможность перехватывать смс. А если этот дебил привязал эту симку к счету, то дальше сами понимаете.
Статья написана человеком который не в теме, поэтому выглядит как бред сумасшедшего. Это да, но девочка честно пыталась осмыслить что нашла в интернетах)))))
Разве сбер не возмутится на смену imei телефона? Нормальные банки отслеживают это.
Константин Игоревич: симка с поддержкой java card(это то на чем сим меню пишется). В итоге появляется возможность перехватывать смс.
Может дать ссылку на описание такой уязвимости? Java card апплеты запускаются в песочнице, кто ж им позволит что попало делать?
Поздравляю пользователей украинского привата.
и что здесь не так? оформил небольшую подписку рублей так 56-114 и все.
"Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно."
и что здесь не так? оформил небольшую подписку рублей так 56-114 и все.
Да это ради бога. Просто надо быть полнейшим идиотом, чтобы купив левую симку не зайти в кабинет, не посмотреть, на кого она оформлена и по крайней мере не сменить пароль. Московский юрист из начала статьи - тоже случай, в общем-то, идиота.
ну при желании поставить на симку дополнительное по можно. квалификация для этого нужна немалая но принципиальноневозможного нет. хотя понятное дело проще вшить трояна в телефон.
И какое ПО? Которое будет отправлять симки вместо владельца и стирать эти симки из памяти? Повторяю вопрос - а водку из холодильника она будет воровать?
СМС банк. Пример для Сбербанка - ниже. Далеко не везде разрешены такие переводы на произвольные реквизиты, но пополнить номер своего телефона без всякой авторизации (а дальше сделать мобильный перевод) можно почти везде.
----
Перевод по номеру телефона получателя
Отправьте сообщение: «ПЕРЕВОД 9ХХ1234567 500». где 9ХХ1234567 – десятизначный номер мобильного телефона получателя, зарегистрированного в «Мобильном банке»;
500 - сумма перевода в рублях (без копеек).
Сумма поступит на счет банковской карты
Более того, N лет назад, для "удобства использования", сбер ввел возможность перекидывать деньги с помощью СМС-банкинга на любой счет, не обязательно указанный в личном кабинете! При этом эта возможность была по умолчанию подключена всем клиентам. И что бы вернуть все как было, нужно было звонить, и блокировать это через оператора! Сейчас вроде такого разгильдяйства уже нет, но тогда, в тот момент, было сильное желание порвать со сбером.... Правда, в силу обстоятельств, пользуюсь сбером до сих пор. Сейчас, вроде, таких закидонов уже давно не встречалось, но осадочек остался....
Так что, может они вспомнили историю из того времени? 😄
При смене IMEI Сбер вполне может заблокировать транзакцию. Ну и есть ограничение на количество переведённых денег в сутки при помощи мобильного банка.
Плюс - все подобные транзакции можно откатить, если быстро обратиться в СБ банка и объяснить ситуацию. Конечно, деньги со счёта злоумышленников не снимут (не могут), но на счёт пострадавшего вернут.
К сожалению, при этом банк сам потеряет эти деньги - у нас такая вот финансовая система, что банки теряют всегда на мошеннических действиях.
Можно купить билет на самолёт по ворованной кредитке за 10 минут до регистрации, зарегистрироваться, и всё - авиакомпания уже не будет снимать с рейса человека (авиакомпании пофиг, если честно - она билет продала, прибыль получила).
За 10 минут сотрудники СБ не успевают проверить транзакцию (тупо очередь проверки не дойдёт).
Например, при получении зарплатной карты указали номер телефона, и даже не знали, что вообще в природе есть такая штука, как интернет-банк. Или карту сбербанк-моментум оформили для каких-то мелочей типа оплаты совместных покупок. И забыли, что она к старому номеру привязана.
