Моя страница

5 апреля 2021 в 08:47

Перехват СМС-паролей, отправленных с номера 900

Украли деньги с карты Сбербанка, платеж пошел на Pay.MTS.ru. Банк в возврате денег отказал, т.к. со слов банка был подвержден код 3ds. Я СМС за кодом не получал.
Взял выписку от оператора (сейчас это Теле2, но номер изначально был МТС-ный). Так вот, в выписке СМС-ки с номера 900 есть, и много, но я их не получал! Схема мошенничества выходит такая:
1. Украдены реквизиты карты. Не знаю как, карту не терял, не передавал. В Интернете покупки делал.
2. По украденным реквизитам сделан запрос на перевод денег, код операции перехвачен, введен, мне на телефон ничего не пришло.
Все произошло в выходные. А неделю назад точно также списали деньги с карты ВТБ, тоже на пэй МТС, и тоже в выходные. Да, Сбер сообщил о подозрении на мошенническую операцию, когда деньги уже списали.

Вопрос: как такое возможно - перехватить СМСки, при этом связь вроде бы не пропадала... Сообщений о перевыпуске симки не получал.
С кого требовать деньги? Банку я могу предъявить только телефон без СМСок, но в расшифровке-то они есть. Банк скажет - не его проблемы, он отправил СМС, а я может их стер. Можно как-то доказать, что СМСок я не получал?
Требовать с оператора Теле2? С МТС? Помогите.

137

673

Комментарии

99+

Сначала старые Сначала новые

Сначала старые

Показать предыдущие (88)

Поталицын

9 апреля 2021 в 17:34

В случае с смс, вы сможете перевести стрелки и взыскать похищенное с оператора. Таких процессов было много. СМС оставляют следы.

В случае с пушами задолбаетесь доказывать, что вы не верблюд.

Ответить

gelioson

9 апреля 2021 в 18:13

----------
Цитата

Поталицын пишет:
В случае с смс, вы сможете перевести стрелки и взыскать похищенное с оператора. Таких процессов было много. СМС оставляют следы.

----------
Тут все зависит насколько глубоко в этот коммутатор залезли. А то может оказаться, что в детальке оператора все смски окажутся доставленными на ваш личный телефон. И вот тогда уже вы точно задолбаетесь доказывать, что вы не верблюд.

Ответить

Поталицын

9 апреля 2021 в 18:19

----------
Цитата

gelioson пишет:

Тут все зависит насколько глубоко в этот коммутатор залезли. А то может оказаться, что в детальке оператора все смски окажутся доставленными на ваш личный телефон. И вот тогда уже вы точно задолбаетесь доказывать, что вы не верблюд X
X

X
----------

А экспертиза телефона докажет, что ничего не приходило

Ответить

gelioson

9 апреля 2021 в 18:35

----------
Цитата

Поталицын пишет:
А экспертиза телефона докажет, что ничего не приходило
----------
Во-первых, не докажет. У опсоса софт сертифицированный, он ошибаться не может. Смс вам отправлена? Отправлена. Доставлена? Доставлена. Код с нее введен верно? Верно. А что там у вас в кишащем вирусами дырявом телефоне происходит никого не интересует.
Во-вторых, смска физически к вам может и придет. Только в случае компрометации коммутатора нет никакой гарантии, что она не придет кому-нибудь еще. Непонятно, что журналисты имеют в виду под "доступом к коммутатору". Может они тупо читают все смски, никак не мешая им нормально ходить.

Ответить

colorless

9 апреля 2021 в 21:40

----------
Цитата

Поталицын пишет:

А экспертиза телефона докажет, что ничего не приходило X

----------

Собрание наивных юристов без опыта?

Банку вообще фиолетово, куда там смс придет. Она приходит на номера мошенников после привязки бабушками онлайн банка через банкомат, и ничего никакой банк никому не возвращает.

Потому что в договоре черным по белому указано, что передача доступа к мобильному банку третьим лицам - полностью ваша вина. И вообще не важно как, через троян или коммутатор.

И судитесь дальше с оператором :D :D
С пушем же все просто, он либо пришел, либо нет. И да, в нормальных банках есть история пушей в мобильном приложении, при этом в отличие от смс, это защищенный канал связи.

Ответить

Семен Горбунков

9 апреля 2021 в 22:03

fomkin1912,
Три года тому назад у одной моей знакомой была похожая ситуация. Правда списывались суммы гораздо меньше, по нескольку тысяч, но вполне себе регулярно. она пенсионерка, заметила не сразу. Я ей помогал разбираться и что оказалось? Андроид? Нет. Телефон? Нет. Взлом аккаунта? Да нет, нифига! Внук вредитель зловредный оказался. Приедет в гости, отправит бабушку на кухню, а сам быстренько раз и готово.
У Вас таких нет в окружении?

Ответить

vfenty

9 апреля 2021 в 22:13

Самим уязвимостям связанным с SS7 уже много лет и что-то шквала мошенничеств не наблюдается. Потому что любой оператор связи где обслуживанием ядра занимается не макака давно выставил правила на файерволе и такой фокус когда живой абонент находящийся в Саратове вдруг через секунду оказывается в Африке просто невозможен. Да и атака не долгоиграющая — телефон сообщает сети где он и все хакерства помножаются на 0.

Встормошили народ своей рекламной пугалкой, блин, что аж три родственника позвонили на измене. Пиарщики этих контор свой хлеб кушают не зря. Моё увожение.

Ответить

Поталицын

10 апреля 2021 в 02:41

Уважаемые, если у вас стоит приложение того же ВТБ или сбера...
и вы переключены на пуши.

Дистанционное восстановление логина-пароля по номеру карты у вас будет разве не через SMS?
У них часто общее правило - не можем доставить пуш - доставим СМС.

Ответить

Поталицын

10 апреля 2021 в 02:50

В общем, вопрос открытый, где больше рисков...

у пушей на мобильном приложении смартфона, который подключен к интернету, и которым вы постоянно пользуетесь для серфинга в сети...

или у телефона, отключенного от интернета, принимающего только СМС.

Ответить

Поталицын

10 апреля 2021 в 03:33

Читаю про сбер

Примечание. Если Вы отключили видимость какого-либо продукта в полной версии Сбербанк Онлайн, то этот продукт будет отображаться при входе в систему через мобильное устройство, но Вы не сможете получить по нему информацию или выполнить операции с этим продуктом.

думаю тут, можно ли приложение в данном случае будет использовать просто как устройство для приема пушей для интернет-банка "сбербанк-онлайн", а не для каких-либо операций.

Ответить

i.jachsmit

10 апреля 2021 в 09:41

----------
Цитата

vfenty пишет:
и такой фокус когда живой абонент находящийся в Саратове вдруг через секунду оказывается в Африке просто невозможен.
----------
сомневаюсь, что какой-то банк как-то синхронизирует локацию ip с данными от оператора связи о местонахождении абонента телефона , в момент входа в ИБ
это слишком сложно для них

Ответить

colorless

10 апреля 2021 в 10:52

----------
Цитата

i.jachsmit пишет:
локацию ip с данными от оператора связи
----------

А они не от оператора данные получают :) Есть куча enterprise геолокационных сервисов.
Операторы знаю местоположение по базовым станциям, а банковские сервисы чекают по ip. Плюс некоторые банковские приложения тоже требуют доступ к геолокации и так же проверяют локу.

Ответить

vfenty

10 апреля 2021 в 11:12

----------
Цитата

i.jachsmit пишет:
это слишком сложно для них
----------

Я не про банки а про оператора связи. Финты ушами когда абонентский терминал был «живой» и зарегистрирован в Перми и вдруг внезапно оказался в роуминге в Бейруте давно научились определять и блокировать. Технически атака возможна но есть очень много но на пути реализации. Недолговечность (телефон не должен передавать данные), сложность с доступом к ядру сети, фильтры от подобного рода атак, отсутствие других необходимых данных для проведения (логин, пароль, реквизиты карты). Бояться стоит если у вас в банках лежит ну прям очень много денег. Для массового пользователя по-прежнему актуальны звонки из службы безопасности.

Там в этой заказухе мне ещё смешной момент понравился когда про покупку доступа и атаку объявили почти за месяц до её проведения. :D

Ответить

i.jachsmit

10 апреля 2021 в 11:19

----------
Цитата

vfenty пишет:
Финты ушами когда абонентский терминал был «живой» и зарегистрирован в Перми и вдруг внезапно оказался в роуминге в Бейруте давно научились определять и блокировать.
----------
так если доступ к коммутатору, с него и будут непосредственно считывать смс. телефон клиента так будет находиться там, где он был

Ответить

slowpoke

10 апреля 2021 в 11:40

----------
Цитата

vfenty пишет:
Недолговечность (телефон не должен передавать данные), сложность с доступом к ядру сети, фильтры от подобного рода атак, отсутствие других необходимых данных для проведения (логин, пароль, реквизиты карты).
----------

А телефон ничего и не передаёт. Время между LUP неподвижного телефона составляет 12 часов. Поэтому через 2-3 часа все фильтры перестают работать. И поэтому мошенники активируются в ночное время, когда телефон с высокой вероятностью неподвижен.

----------
Цитата

i.jachsmit пишет:
так если доступ к коммутатору, с него и будут непосредственно считывать смс. телефон клиента так будет находиться там, где он был
----------

Интересно, хоть один местный "знаток" понимает схему перехвата СМС через фейковый роуминг? :)

Ответить

user58

10 апреля 2021 в 11:42

----------
Цитата

colorless пишет:
Это было достаточно давно, сейчас в Play Market гораздо лучше модерирование.
----------

Постоянно обнаруживают нежелательные приложения в Google Play Store. Последнее обнаружение
было на прошлой неделе:
https://glas.ru/technology/149731-obnaruzheno-vredonosnoe-po-otpravlyayushhee-soobshheniya-besplatnye-netflix-iz-whatsapp-un10064/?utm_source=yxnews

Ответить

pekc

10 апреля 2021 в 12:02

----------
Цитата

colorless пишет:
а банковские сервисы чекают по ip. Плюс некоторые банковские приложения тоже требуют доступ к геолокации и так же проверяют локу.
----------
Чел может находится где угодно и оттуда делать платеж/вход на сайт...

Недалекие же сервисы действительно имеют привычку все выуживать и делать тормоза/гемор клиенту - ограничивая его действия по айпи или локации.

И совсем другое если сам клиент установил ограничение своему акк/пластику/емэйлу - действие в одной стране.

Ответить

gelioson

12 апреля 2021 в 12:35

----------
Цитата

colorless пишет:
а банковские сервисы чекают по ip.
----------
По ip много не начекаешь. У меня проводной тырнет от билайна и компьютер (стационарный, тяжелый) оказывается то в Москве, то в Питере, пару раз даже в Саратов заезжал. Что характерно, банковским сервисам пофиг чуть более, чем полностью

Ответить

Struzhkin

14 апреля 2021 в 07:39

----------
Цитата

gelioson пишет:
оказывается то в Москве, то в Питере, пару раз даже в Саратов заезжал. Что характерно, банковским сервисам пофиг чуть более, чем полностью
----------

Думаю, закрыв в ИБ МКБ вклад по сроку в одной из таких поездок вы бы тут же словили блок, со снятии только лично в офисе. Историй в ветках про МКБ хватает.

----------
Цитата

i.jachsmit пишет:
пошёл в ИБ ВТБ, айпи эквадорский
----------

Ну у всех банков по разному.
Одно дело просто войти, другое - какие действия.
Одно дело Саратов, другое - Эквадор)))

Ответить

Поталицын

18 апреля 2021 в 19:42

Так все-таки, предположим мы имеем не банковский телефон, отключенный от интернета, для приема СМС.
А отдельный банковский тот же айфон, исключительно для приема пушей, а не для использования как мобильное приложение. Более не пользуемся смартфоном этим ни для чего в целях безопасности. Пуш приняли, на компьютере ввели вместе с логином-паролем, двухфакторная безопасность.

Смартфон должен быть подключен постоянно к интернет, чтобы их принимать.
Мы решаем проблему с ненадлежащей безопасностью SMS (начиная от перевыпуска симки, заканчивая мифическим пока перехватом SMS).

Но какой потенциальный геморрой мы можем получить? Пуши у вас будут приходить и платежи вы будете делать с 1 устройства. Проблема снижается, если вы не будете этим телефоном активно сидеть в интернете. Теоретически возможен риск доступа к айфону через роутер у вас дома, и сразу в МП, но это сложно.

А также как решается вопрос, с восстановлением доступа к личному кабинету? Код будет выслан пушем? Мне интересно, конкретно для ВТБ. Но в будущем, может и в сбере. Есть варианты, когда он будет выслан через СМС, и тогда защита пушами бесполезна?

Вопросы, вопросы...

Ответить

Показать еще (29)