Адрес для входа в РФ: exler.world

"Симка с деньгами" из "Денег"

24.03.2017 13:04  8181   Комментарии (50)

Попалась тут в Коммерсант.Деньги более чем странная статья под названием "Симка с деньгами". Издание вроде солидное (ну, пока еще), а стиль изложения - "Московский комсомолец" пополам с "Аргументами и фактами".

Сначала рассказывают трогательную историю про некоего московского юриста, который приехал в Москву в 2010 году из Осетии и купил с лотка на каком-то рынке обезличенную симкарту, которую не нужно регистрировать.

Далее этот прекрасный человек на данную симку зарегистрировал доступы к каким-то банковским счетам, доступ ко всяким социальными сетям и так далее. Ну, большого ума юрист, чего уж там. В результате лишился доступа к социальным сетям, у него украли деньги со счета (не очень понятно, какими путями) - давайте поплачем над бедолагой-юристом.

Так в чем вывод-то? Что не надо быть идиотом и не надо какую-то "левую" симку использовать для доступа к конфиденциальной информации? Нет, там такой вывод почему-то не делается.

Дальше читаю - и не верю своим глазам. Цитирую.

Приобретая сим-карту у дилера, который игнорирует ее регистрацию, пользователь автоматически попадает в зону риска. Например, симка может содержать вредоносную программу — троян, который попытается украсть деньги либо со счета мобильного номера, либо с привязанного к номеру банковского счета. То есть программа будет вместо пользователя отправлять соответствующие СМС и прочие запросы, попутно стирая из памяти устройства их следы.

Охренеть. И этот дурдом пишут в Коммерсанте? А почему не написали, что симка также залезет в холодильник, сожрет там все продукты, а потом еще и вашу квартиру продаст, подделав подпись?

Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно.

Какие-то бабушкины страшилки и опять-таки - случай клиентов-идиотов.

"Известны случаи, когда злоумышленники приходили в офис сотового оператора и совершенно законно заключали договора и регистрировали на себя несколько десятков сим-карт. Потом проверяли, не осталась ли привязка номера к банковскому счету прежнего владельца,— рассказал "Деньгам" представитель управления "К" МВД РФ Александр Вураско.— Для этого просто отправляли СМС на сервисные номера популярных банков и смотрели, пришел ли ответ. Именно по такому принципу "пробивания" по списку банков действует и троян на смартфоне".

А прежние владельцы тоже - законченные кретины? Лишившись номера оставили привязку этого номера к банковскому счету? А сами они к этому счету как доступ получали?

"Когда села в электричку, обнаружила, что у меня пропал телефон,— рассказывает москвичка А.— Но я особо не волновалась — ни позвонить, ни отправить СМС вор не сможет, так как вход в смартфон защищен паролем". К тому моменту, когда А. добралась до дома и все-таки позвонила в свой банк, преступники уже успели увести деньги с ее счета: просто переставив незащищенную пином сим-карту в другой телефон.

Ну, симку переставить - дело нехитрое. А вот как они деньги-то со счета увели, имея одну только симкарту? Я уж молчу о том, что они даже SMS не могли посмотреть и узнать, в каком банке счет. И я уж молчу о том, что для доступа к счету недостаточно одной симкарты, а прежде всего нужен логин-пароль. Опять какие-то бабушкины сказки.

Но самая лучшая защита, хотя тоже не стопроцентная,— завести для финансовых операций отдельный номер. Соответственно, если он не будет использоваться для звонков, не засветится в интернете, потенциальные злодеи вряд ли узнают о его существовании.

Вот это как раз единственная достаточно толковая мысль - симка под коды доступа должна быть отдельная и ее лучше держать на специальном телефоне.

Но в остальном статья - какие-то страшилки, а стиль подачи - ни разу не коммерсантовский. Дурдом.

24.03.2017 13:04
Комментарии 50

Читателям масс-медиа только городские легенды и нужны. По определению. Для реальности - есть узкоспециализированные форматы.

А так... Ну вот смотрите. Если моя симка (я - злодей) злоумышленно попала лоху, и он - лох - оформил на нее какой-либо банк, скажем, тот же СберОнл@йн.

Мои действия. Я прихожу с паспортом и заявляю, что телефон попятили, симку постирал и т.д., и мне бесплатно выдают новую, а старую - т.е. ту, что у лоха - блокируют.

Все. Тупо пересылаю деньги на др. счет.
26.03.17 18:07
0 0

Peter Zabriski: Все. Тупо пересылаю деньги на др. счет


Уже не один раз здесь написали, что у нормальных банков при замене СИМки онлайн-банкинг с помощью телефона блокируется, и чтобы подтвердить, что ты -- владелец счета, нужно рассказать о себе кучу данных или лично прийти в отделение банка. Если у Сбера это не так, то они сами себе враги. И еще, точно знаю, что для доступа в СберОнлайн нужен еще пароль или доступ по отпечатку пальца. Где ты его возьмешь?
26.03.17 21:28
0 0

Может не совсем в тему, но вспоминаются какие-то сообщения нескольколетней давности, что при попустительстве сотрудников салонов связи, или оператора связи, челу перевыпускали sim карту, и выдавали ее по левым документам какому-то третьему челу, который получал доступ через его номер телефона ко всяким аккаунтам, которые на него были зарегистрированы. И якобы такое несколько раз было, даже после того, как он заявления в СБ сотового оператора писал...

Так что не обязательно банк будет виноват, еще и ОПСОС и его сотрудники могут приложить свои руки из жопы!
24.03.17 18:34
0 0

Ну, у нас народ любит симки менять, а о том, что к ней привязана карта, как-то не думает. Потом начинают банку выговаривать, который и не обязан следить за твоей симкой. Сейчас, правда, многие банки уже видят, что симка поменялась (даже если просто потерял, сломал, телефон заменил и новую купил), и чуть ли не после личного визита в банк перепривязку делают.

А так да, халатность народа порой удивляет. Причем, блин, сами же к своим деньгам доступ оставляют, а потом жалуются. Хотя, может, банкам и стоит придумать какой-нибудь холд для подобных автоматических или полуавтоматических платежей. Хотя, им то что. Как и мобильные операторы заинтересованы во всяких смс-подписках, которые просто развод народа на деньги.
24.03.17 17:43
0 0

MoonwalkerRu: Ну, у нас народ любит симки менять

А зачем? М-м-м... Минут 10 думал. Обоснование этому не придумал. Возможно оно есть. Если не трудно, объясните, плз, зачем постоянно менять симки? Без "подтекста" - просто вопрос.
24.03.17 18:55
0 0

сим-карта телефона зарегенная не на тебя - это мина с чекой



когда она сработает и сработает ли вообще - х/з

но сработать может, так-что зря ругаешься - статья пугалка, но может быть и так, как написано


24.03.17 17:36
0 0

Alex Exler : У меня друг уже лет 5 получает смс о банковских операциях предыдущего владельца номера (сим куплена официально, оформленна на него, оператор билайн)
24.03.17 14:32
0 0

Кстати, вот ссылка на банки.ру с описание кражи средств как раз по придуманному мной сценарию:

http://www.banki.ru/services/responses/bank/response/6649587/

(отправлены СМС для пополнения мобильного баланса данной сим-карты со счета сбербанка, потом мобильный перевод средств с симкарты билайна)

Конечно, тут нельзя по отзыву точно воспроизвести картину произошедшего, степень виновности сторон и вообще правдивость отзыва 😉. Но, по крайней мере теоретически, для данной атаки не нужно ничего, кроме возможности отправлять и получать СМС.
24.03.17 14:23
0 0

"А прежние владельцы тоже - законченные кретины? Лишившись номера оставили привязку этого номера к банковскому счету? А сами они к этому счету как доступ получали?"

никак. что бы сделать перепривязку в куче банков нужно лично с паспортом прийти в оффис. тоесть у злоумышленников есть время от нескольких часов до нескольких дней
24.03.17 13:47
0 0

А в штаны того-этого тоже она? А часовню 13 века?
24.03.17 13:38
0 0

Алекс, смотрите, для того что бы увести деньги только с помощью телефона, смартфон украден, вставляем симку в другой телефон, пин кода нет, дальше:
1. Проверяют на предмет самого простого, а имено Сбер, для этого достаточно отправить смс на номер 900 с текстом "бал", вернет баланс привязанной карты, если получили баланс идем дальше.
2. Если это сбер, то там можно оплатить телефон отправив на номер 900 смс с текстом "900 номер_телефона сумма". Для этого не нужно знать ни логина, ничего.
3. Схем по выводу денег с телефона навалом, там есть свои ограничения, но тем не менее эти ребята их знают и таким образом можно вытащить очень большую сумму.

Это вот с ходу что в голову приходит.

Потом по номеру телефона можно пробить легко паспортные данные и вообще всю анкету, в некоторые банки можно позвонить в колл центр и представиться кем угодно, да еще и с этой симки. Там же можно восстановить логин и пароль через смс на этот номер.

Далее, часто у этих ребят есть человек в том же Сбере, который может найти логин, далее через смс восстанавливаем пароль и получаем доступ к инет банку Сбера.

Ну и так далее. Да, не каждый раз это все срабатывает, но довольно часто.

По поводу симок, эта схема очень даже распостраненная и пользователи очень часто бросают номера, но привязка к клиенту в банке остается. Такое бывает, это как раз кретины. Далее по той же схеме. На авито даже есть объявы о скупке симок.

Я это к чему, к тому что схемы защиты в банках довольно сложные и там очень много дырок куда сунуться что бы влезть в процесс.

По поводу первой части, атака смартфона через симкарту возможна вполне. Есть там уязвимости, если говорить о вот таких вот симках купленных с рук и обезличенных, то там может быть закладка для атаки, только она не совсем троян, там немного хитрее, это просто определенной версии симка с поддержкой java card(это то на чем сим меню пишется). В итоге появляется возможность перехватывать смс. А если этот дебил привязал эту симку к счету, то дальше сами понимаете.

Статья написана человеком который не в теме, поэтому выглядит как бред сумасшедшего. Это да, но девочка честно пыталась осмыслить что нашла в интернетах)))))

Константин Игоревич: Если это сбер, то там можно оплатить телефон отправив на номер 900 смс с текстом "900 номер_телефона сумма". Для этого не нужно знать ни логина, ничего.

Разве сбер не возмутится на смену imei телефона? Нормальные банки отслеживают это.



Константин Игоревич: симка с поддержкой java card(это то на чем сим меню пишется). В итоге появляется возможность перехватывать смс.

Может дать ссылку на описание такой уязвимости? Java card апплеты запускаются в песочнице, кто ж им позволит что попало делать?

В украинском привате очень даже достаточно иметь симку на 10 минут, чтобы утащить все деньги с карточек.
24.03.17 13:35
0 0

seturentuss: В украинском привате очень даже достаточно иметь симку на 10 минут, чтобы утащить все деньги с карточек.

Поздравляю пользователей украинского привата.
24.03.17 13:39
0 0

seturentuss : брехня. персональный пароль нужен даже для копеечного пополнения мобильного через приват24
24.03.17 14:39
0 0

"у, симку переставить - дело нехитрое. А вот как они деньги-то со счета увели, имея одну только симкарту? Я уж молчу о том, что они даже SMS не могли посмотреть и узнать, в каком банке счет." послать sms или ussd запрос по известным номерам. сбербанк втб альфа тинькофф и пара московских. хорошие трояны 'знают' несколько десятков банков.
24.03.17 13:34
0 0

"Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно."

и что здесь не так? оформил небольшую подписку рублей так 56-114 и все.
24.03.17 13:32
0 0

dimav:
"Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно."

и что здесь не так? оформил небольшую подписку рублей так 56-114 и все.


Да это ради бога. Просто надо быть полнейшим идиотом, чтобы купив левую симку не зайти в кабинет, не посмотреть, на кого она оформлена и по крайней мере не сменить пароль. Московский юрист из начала статьи - тоже случай, в общем-то, идиота.
24.03.17 13:35
0 0

ну при желании поставить на симку дополнительное по можно. квалификация для этого нужна немалая но принципиальноневозможного нет. хотя понятное дело проще вшить трояна в телефон.
24.03.17 13:30
0 0

dimav:
ну при желании поставить на симку дополнительное по можно. квалификация для этого нужна немалая но принципиальноневозможного нет. хотя понятное дело проще вшить трояна в телефон.


И какое ПО? Которое будет отправлять симки вместо владельца и стирать эти симки из памяти? Повторяю вопрос - а водку из холодильника она будет воровать?
24.03.17 13:38
0 0

Хорошая статья. Пока такие пишут, умные люди без работы не останутся.
24.03.17 13:28
0 0

Alex Exler: Ну, симку переставить - дело нехитрое. А вот как они деньги-то со счета увели, имея одну только симкарту?

СМС банк. Пример для Сбербанка - ниже. Далеко не везде разрешены такие переводы на произвольные реквизиты, но пополнить номер своего телефона без всякой авторизации (а дальше сделать мобильный перевод) можно почти везде.

----

Перевод по номеру телефона получателя

Отправьте сообщение: «ПЕРЕВОД 9ХХ1234567 500». где 9ХХ1234567 – десятизначный номер мобильного телефона получателя, зарегистрированного в «Мобильном банке»;

500 - сумма перевода в рублях (без копеек).



Сумма поступит на счет банковской карты


24.03.17 13:27
0 0

sbat: Отправьте сообщение: «ПЕРЕВОД 9ХХ1234567 500». где 9ХХ1234567 – десятизначный номер мобильного телефона получателя, зарегистрированного в «Мобильном банке»; 500 - сумма перевода в рублях (без копеек). Сумма поступит на счет банковской карты

Более того, N лет назад, для "удобства использования", сбер ввел возможность перекидывать деньги с помощью СМС-банкинга на любой счет, не обязательно указанный в личном кабинете! При этом эта возможность была по умолчанию подключена всем клиентам. И что бы вернуть все как было, нужно было звонить, и блокировать это через оператора! Сейчас вроде такого разгильдяйства уже нет, но тогда, в тот момент, было сильное желание порвать со сбером.... Правда, в силу обстоятельств, пользуюсь сбером до сих пор. Сейчас, вроде, таких закидонов уже давно не встречалось, но осадочек остался....

Так что, может они вспомнили историю из того времени? 😄
24.03.17 13:45
0 0

sbat: СМС банк. Пример для Сбербанка - ниже.

При смене IMEI Сбер вполне может заблокировать транзакцию. Ну и есть ограничение на количество переведённых денег в сутки при помощи мобильного банка.

Плюс - все подобные транзакции можно откатить, если быстро обратиться в СБ банка и объяснить ситуацию. Конечно, деньги со счёта злоумышленников не снимут (не могут), но на счёт пострадавшего вернут.

К сожалению, при этом банк сам потеряет эти деньги - у нас такая вот финансовая система, что банки теряют всегда на мошеннических действиях.

Можно купить билет на самолёт по ворованной кредитке за 10 минут до регистрации, зарегистрироваться, и всё - авиакомпания уже не будет снимать с рейса человека (авиакомпании пофиг, если честно - она билет продала, прибыль получила).

За 10 минут сотрудники СБ не успевают проверить транзакцию (тупо очередь проверки не дойдёт).
















24.03.17 14:03
0 0

Alex Exler: А прежние владельцы тоже - законченные кретины? Лишившись номера оставили привязку этого номера к банковскому счету? А сами они к этому счету как доступ получали?

Например, при получении зарплатной карты указали номер телефона, и даже не знали, что вообще в природе есть такая штука, как интернет-банк. Или карту сбербанк-моментум оформили для каких-то мелочей типа оплаты совместных покупок. И забыли, что она к старому номеру привязана.
24.03.17 13:24
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3994
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 191
СМИ 2759
софт 930
США 131
шоу 6