Мошенники нашли способ получать доступ к личным данным российских журналистов: для этого по поддельной справке о смене паспорта злоумышленникам выдают SIM-карту с номером нужного им лица, после чего осуществляются перехват привязанных к этому номеру социальных сетей и мессенджеров. Жертвами такой схемы за последнее время стали директор Shkulev Media Ринат Низамов и корреспондент CNews Игорь Королев.
Как у екатеринбургского журналиста украли сотовый номер и аккаунт в Instagram
Директор сети городских порталов Shkulev Media Ринат Низамов сообщил, как он стал жертвой мошенников, получивших доступ к его номеру телефону и социальным сетям. 21 октября 2020 г. Низамову пришло сообщение от его сотового оператора «Мобильные телесистемы» (МТС) о том, что была произведена замена SIM-карты.
Оператор сразу предупредил абонента, что если он не заказывал данную операцию, ему следует срочно обратиться в МТС. Но связь у Низамова сразу пропала. Позвонив в МТС с другого номера, Низамов смог заблокировать фальшивую SIM-карту.
Примерно за 20 минут, потраченных на блокировку, у Низамова украли аккаунт в Instagram, привязанный к его номеру телефона. После этого на его аватарке был размещен мужской половой орган, а из аккаунта стали отправляться «похабные сообщения». Также были осуществлены попытки перехвата доступа к другим социальным сетям.
Как впоследствии оказалось, в Екатеринбурге (Низамов ранее жил в этом городе и был редактором местного портала E1.ru) некий мужчина обратился в салон МТС и, представившись Низамовым, предъявил справку о потере своего паспорта. В справке были верно указаны все данные Низамова, но было использовано фото другого человека.
Мошенники нашли новый способ получать доступ к личным данным российских журналистов
Для восстановления SIM-карты Низамову сначала предложили приехать по месту ее выдачи в Екатеринбурге (Низамов на тот момент находился в Нижнем Новгороде), но затем МТС дистанционно восстановили его SIM-карту. После этого журналист смог вернуть доступ к своему аккаунту в Instagram.
Кому это было нужно?
Ринат Низамов отмечает, что злоумышленники первым делом бросились перехватывать доступ к его социальным сетям и мессенджерам, а не к интернет-банку. В связи с этим журналист полагает, что произошедшее было связано с его профессиональной деятельностью: злоумышленники пытались дискредитировать его и получить доступ к частной переписке. Журналист подал соответствующее заявление в полицию.
«Владелец номера обратился в службу поддержки компании, как только получил SMS о замене SIM-карты, и она была оперативно заблокирована, - заявили в пресс-службе МТС. - Наши специалисты оперативно связались с Ринатом и восстановили его номер. По факту замены sim-карты проводится проверка. При необходимости, компания готова предоставить правоохранительным органам всю необходимую информацию».
Как у корреспондента CNews украли сотовый номер и аккаунт в «Вконтакте»
Чуть раньше схожая история произошла с корреспондентом CNews Игорем Королевым. В воскресенье вечером ему пришла SMS от его оператора «Вымпелком» (торговая марка «Билайн») о том, что ему была перевыпущена SIM-карта. В сообщении также говорилось, что если абонент этого не делал, ему следует срочно сообщить об этом оператору.
SMS от «Билайна» о перевыпуске SIM-карты
В то же время SIM-карта, находившаяся у корреспондента CNews, перестала работать. Очевидно, злоумышленники специально выбрали вечер воскресенья, надеясь, что жертва либо не сразу заметит смену SIM-карты, либо не будет иметь доступ к альтернативным каналам связи.
Корреспонденту CNews удалось заблокировать фальшивую SIM-карту. Для восстановления SIM-карты оператор сначала предложил обратиться к нему в офис и заплатить 200 руб., но потом дистанционно восстановил работоспособность прежней SIM-карты.
Когда телефон корреспондента CNews снова оказался подключенным к интернету, приложения WhatsApp и «Вконтакте» сообщили о сбросе паролей. Но если SMS от WhatsApp не дошла до злоумышленников, то доступ к аккаунта во «Вконтакте» им удалось перехватить: злоумышленники не только изменили к нему пароль, но и поменяли контактные номер телефона и адрес электронной почты.
Случай с Игорем Королевым повторял случай с Ринатом Низамовым. Некий человек пришел в офис «Вымпелкома» и, предъявив фальшивую справку о потере паспорта владельца номера, получил соответствующую SIM-карту. Справка была оформлена надлежащим образом и содержала фотографию.
Почему в полиции не рекомендуют пользоваться «Вконтакте»
Администрация «Вконтакте» заморозила аккаунт Игоря Королева, и восстановить доступ к нему оказалось непросто. В соответствии с правилами социальной сети, корреспондент CNews направил скан своего паспорта и селфи, сделанное на фоне страницы восстановления доступа к аккаунту «Вконтакте» (в его аккаунте используются реальное имя и фотографии), но в администрации социальной сети потребовали также подтверждение от органов внутренних дел.
Сброс пароля «Вконтакте» с помощью входящего звонка с американского номера
Корреспондент CNews обратился в отделение полиции по месту жительства, но получил отказ в возбуждении уголовного дела. В неофициальной беседе участковый полицейский посетовал на большое количество жалоб, связанных с кражей аккаунтов во «Вконтакте». «Не пользуйтесь «Вконтакте» и не храните там компрометирующие данные, ни в одной другой социальной сети таких проблем с безопасностью нет», - отметил участковый.
«Перевыпуск SIM-карты мошенниками и похищение страниц — это экстраординарная ситуация, которая требует особенно внимательного подхода, - пояснила пресс-служба «Вконтакте». - Наша команда должна быть на 100% уверена, что доступ к странице получит именно владелец. Поэтому для возврата страницы факт мошенничества должен быть подтверждён официально — необходимы документы со стороны мобильного оператора и правоохранительных органов. Расследование в данном случае должны проводить именно органы, так как речь идёт о преступлении».
«Мы сожалеем о неудобствах, доставленных нашему клиенту, - сообщила пресс-служба «Вымпелкома». - Вместе с тем, в его случае внутренние системы защиты компании сработали – в случае замены SIM-карты на номер клиента автоматически формируется и направляется SMS-сообщение с информацией, что по номеру производиться замена SIM – именно это позволило заметить клиенту действия мошенников. Мы мгновенно связались с клиентом и блокировали дальнейшие действия мошенников».
Кража сотовых номеров с помощью поддельных доверенностей
Истории с хищением сотовых номеров происходили и ранее, но обычно мошенники использовали поддельные доверенности от владельцев номеров. Так, осенью 2015 г. «Вымпелком» в разных городах четыре раза выдавал посторонним лицам SIM-карту с номером директора по цифровым технологиям агентства Mindshare Russia Анны Знаменской, после чего были похищены привязанные к номеру почтовые адреса Знаменской и аккаунт в «Яндекс.Кошелек».
«Вымпелком» провел расследование инцидента и установил, что за происходящим стоит преступная группа во главе с бывшим сотрудником оператора. В 2019 г. «Вымпелком» выдал посторонним лицам SIM-карту популярного блогера Константина Лазарева (автор YouTube-канала Lazarev Tactical), после чего у него был украден аккаунт в сети «Вконтакте». Восстановить доступ к «Вконтакте» Лазареву не удалось: социальная сеть потребовала от него документы из «Вымпелкома» и органов внутренних дел. В полиции отказались от возбуждения уголовного дела из-за отсутствия материального ущерба.
В связи с этим сотовые операторы стали («Вымпелком», МТС, «
«После замены SIM-карты на сутки блокируется доставка SMS-сообщений, чтобы не дать возможность мошенникам получить одноразовый пароль подтверждения банковской операции или код доступ к соцсетям и мессенджерам, - сообщил CNews директор по предотвращению мошенничества и потерь доходов «Мегафона» Сергей Хренов. – Как правило, этого времени достаточно, чтобы абонент обратился к оператору связи и аннулировал мошенническую замену, если она случилась. Кроме этого, все сотрудники проходят обучение, на что необходимо обращать внимание при идентификации абонентов. Все действия сотрудников остаются в системе, в случае неправомерной замены SIM-карты мы можем узнать, кто ее осуществил, провести собственное расследование».
Оператор Tele2 не стал комментировать, какие действия предпринимает оператор для защиты пользователей от незаконного восстановления SIM-карт.
Отметим, что запрет входящих SMS в первые сутки после восстановления SIM-карты не дает полный защиты. Социальная сеть «Вконтакте» может передавать код для активации аккаунта или восстановления пароля не только посредством SMS, но и путем входящего голосового вызова с американского телефонного номера (пользователю предлагается ввести последние цифры данного номера) – именно так и поступили мошенники, укравшие аккаунт корреспондента CNews.
Мнения экспертов по информационной безопасности
«В отличие от известных схем с фишингом и телефонным мошенничеством, когда злодеи пытаются под разными предлогами выманить у жертвы CVV или SMS-код, схема с перевыпуском SIM-карт не такая массовая и ориентирована, в первую очередь, на солидных состоятельных клиентов, - рассказали в компании Group-IB.- Все больше банков договариваются с сотовыми операторами об обмене данными для противодействия мошенничеству: в случае перевыпуска SIM-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга, однако это правило пока действует не у всех».
Замруководителя Лаборатории компьютерной криминалистики Group-IB Виталий Трифонов добавляет, что сам по себе SMS-канал не является защищенным. «У него есть много как технических (уязвимости в протоколе SS7), так и организационных (халатность сотрудников оператора) недостатков, - говорит Трифонов. - Использовать SMS для аутентификации небезопасно, особенно в случаях, когда, обладая только SIM-картой, можно сбросить пароль к сервису или приложению - ведь в этом случае аутентификация сводится к однофакторной».
Сколько стоит украсть чужой телефонный номер
«Услуги по «пробиву» данных у сотовых операторов – это достаточно распространенный криминальный бизнес и по ценам хорошо видно, кто и как из операторов борется с инсайдерами, продающими персональные данные клиентов, - рассказывает основатель сервиса разведки утечек DLBI Ашот Оганесян. – Занимаются таким пробивом группы из посредника и нескольких сотрудников самого оператора или салона связи, имеющего доступ к его информационной системе».
Стоимость детализации звонков и SMS абонента предлагается по цене от 1,5 тыс. до 15 тыс. руб. за месяц в зависимости от оператора, говорит Оганесян. Персональные данные абонента по номеру его мобильного телефона можно купить за сумму от 400 руб. до 1,8 тыс. руб.
У многих продавцов есть комплексная «услуга» поиска всех номеров абонента по паспортным данным по трем федеральным операторам («Вымпелком». МТС, «Мегафон») ценой от 3 тыс. руб. Разовое определение местоположения оператора стоит 30 тыс. руб. – 45 тыс. руб. Также злоумышленники предлагают доступ к содержимому (тексту) SMS по цене от 150 тыс. руб. за один месяц. Самым «дешевым» оператором с этой точки зрения был и остается «Вымпелком», самыми дорогими – «Мегафон» и Tele2, утверждает Оганесян.
«Что касается получения копии SIM-карты, то это куда более сложная «услуга», которой занимаются группировки, включающие «специалистов», изготавливающих поддельные документы тех, кто добывает персональные данные для этих документов, и тех, кто приходит за новой SIM-картой, - говорит основатель сервиса DLBI. – Входят в группу и сотрудники оператора, которые осуществляют ее перевыпуск, не обращая внимания на «лишние детали». Этот криминальный сервис носит название «восстановление SIM» и стоит от 15 тыс. руб. до 30 тыс. руб».
Как у екатеринбургского журналиста украли сотовый номер и аккаунт в Instagram
Директор сети городских порталов Shkulev Media Ринат Низамов сообщил, как он стал жертвой мошенников, получивших доступ к его номеру телефону и социальным сетям. 21 октября 2020 г. Низамову пришло сообщение от его сотового оператора «Мобильные телесистемы» (МТС) о том, что была произведена замена SIM-карты.
Оператор сразу предупредил абонента, что если он не заказывал данную операцию, ему следует срочно обратиться в МТС. Но связь у Низамова сразу пропала. Позвонив в МТС с другого номера, Низамов смог заблокировать фальшивую SIM-карту.
Примерно за 20 минут, потраченных на блокировку, у Низамова украли аккаунт в Instagram, привязанный к его номеру телефона. После этого на его аватарке был размещен мужской половой орган, а из аккаунта стали отправляться «похабные сообщения». Также были осуществлены попытки перехвата доступа к другим социальным сетям.
Как впоследствии оказалось, в Екатеринбурге (Низамов ранее жил в этом городе и был редактором местного портала E1.ru) некий мужчина обратился в салон МТС и, представившись Низамовым, предъявил справку о потере своего паспорта. В справке были верно указаны все данные Низамова, но было использовано фото другого человека.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Мошенники нашли новый способ получать доступ к личным данным российских журналистов
Для восстановления SIM-карты Низамову сначала предложили приехать по месту ее выдачи в Екатеринбурге (Низамов на тот момент находился в Нижнем Новгороде), но затем МТС дистанционно восстановили его SIM-карту. После этого журналист смог вернуть доступ к своему аккаунту в Instagram.
Кому это было нужно?
Ринат Низамов отмечает, что злоумышленники первым делом бросились перехватывать доступ к его социальным сетям и мессенджерам, а не к интернет-банку. В связи с этим журналист полагает, что произошедшее было связано с его профессиональной деятельностью: злоумышленники пытались дискредитировать его и получить доступ к частной переписке. Журналист подал соответствующее заявление в полицию.
«Владелец номера обратился в службу поддержки компании, как только получил SMS о замене SIM-карты, и она была оперативно заблокирована, - заявили в пресс-службе МТС. - Наши специалисты оперативно связались с Ринатом и восстановили его номер. По факту замены sim-карты проводится проверка. При необходимости, компания готова предоставить правоохранительным органам всю необходимую информацию».
Как у корреспондента CNews украли сотовый номер и аккаунт в «Вконтакте»
Чуть раньше схожая история произошла с корреспондентом CNews Игорем Королевым. В воскресенье вечером ему пришла SMS от его оператора «Вымпелком» (торговая марка «Билайн») о том, что ему была перевыпущена SIM-карта. В сообщении также говорилось, что если абонент этого не делал, ему следует срочно сообщить об этом оператору.
SMS от «Билайна» о перевыпуске SIM-карты
В то же время SIM-карта, находившаяся у корреспондента CNews, перестала работать. Очевидно, злоумышленники специально выбрали вечер воскресенья, надеясь, что жертва либо не сразу заметит смену SIM-карты, либо не будет иметь доступ к альтернативным каналам связи.
Корреспонденту CNews удалось заблокировать фальшивую SIM-карту. Для восстановления SIM-карты оператор сначала предложил обратиться к нему в офис и заплатить 200 руб., но потом дистанционно восстановил работоспособность прежней SIM-карты.
Когда телефон корреспондента CNews снова оказался подключенным к интернету, приложения WhatsApp и «Вконтакте» сообщили о сбросе паролей. Но если SMS от WhatsApp не дошла до злоумышленников, то доступ к аккаунта во «Вконтакте» им удалось перехватить: злоумышленники не только изменили к нему пароль, но и поменяли контактные номер телефона и адрес электронной почты.
Случай с Игорем Королевым повторял случай с Ринатом Низамовым. Некий человек пришел в офис «Вымпелкома» и, предъявив фальшивую справку о потере паспорта владельца номера, получил соответствующую SIM-карту. Справка была оформлена надлежащим образом и содержала фотографию.
Почему в полиции не рекомендуют пользоваться «Вконтакте»
Администрация «Вконтакте» заморозила аккаунт Игоря Королева, и восстановить доступ к нему оказалось непросто. В соответствии с правилами социальной сети, корреспондент CNews направил скан своего паспорта и селфи, сделанное на фоне страницы восстановления доступа к аккаунту «Вконтакте» (в его аккаунте используются реальное имя и фотографии), но в администрации социальной сети потребовали также подтверждение от органов внутренних дел.
Сброс пароля «Вконтакте» с помощью входящего звонка с американского номера
Корреспондент CNews обратился в отделение полиции по месту жительства, но получил отказ в возбуждении уголовного дела. В неофициальной беседе участковый полицейский посетовал на большое количество жалоб, связанных с кражей аккаунтов во «Вконтакте». «Не пользуйтесь «Вконтакте» и не храните там компрометирующие данные, ни в одной другой социальной сети таких проблем с безопасностью нет», - отметил участковый.
«Перевыпуск SIM-карты мошенниками и похищение страниц — это экстраординарная ситуация, которая требует особенно внимательного подхода, - пояснила пресс-служба «Вконтакте». - Наша команда должна быть на 100% уверена, что доступ к странице получит именно владелец. Поэтому для возврата страницы факт мошенничества должен быть подтверждён официально — необходимы документы со стороны мобильного оператора и правоохранительных органов. Расследование в данном случае должны проводить именно органы, так как речь идёт о преступлении».
«Мы сожалеем о неудобствах, доставленных нашему клиенту, - сообщила пресс-служба «Вымпелкома». - Вместе с тем, в его случае внутренние системы защиты компании сработали – в случае замены SIM-карты на номер клиента автоматически формируется и направляется SMS-сообщение с информацией, что по номеру производиться замена SIM – именно это позволило заметить клиенту действия мошенников. Мы мгновенно связались с клиентом и блокировали дальнейшие действия мошенников».
Кража сотовых номеров с помощью поддельных доверенностей
Истории с хищением сотовых номеров происходили и ранее, но обычно мошенники использовали поддельные доверенности от владельцев номеров. Так, осенью 2015 г. «Вымпелком» в разных городах четыре раза выдавал посторонним лицам SIM-карту с номером директора по цифровым технологиям агентства Mindshare Russia Анны Знаменской, после чего были похищены привязанные к номеру почтовые адреса Знаменской и аккаунт в «Яндекс.Кошелек».
«Вымпелком» провел расследование инцидента и установил, что за происходящим стоит преступная группа во главе с бывшим сотрудником оператора. В 2019 г. «Вымпелком» выдал посторонним лицам SIM-карту популярного блогера Константина Лазарева (автор YouTube-канала Lazarev Tactical), после чего у него был украден аккаунт в сети «Вконтакте». Восстановить доступ к «Вконтакте» Лазареву не удалось: социальная сеть потребовала от него документы из «Вымпелкома» и органов внутренних дел. В полиции отказались от возбуждения уголовного дела из-за отсутствия материального ущерба.
В связи с этим сотовые операторы стали («Вымпелком», МТС, «
Для просмотра ссылки необходимо нажать
Вход или Регистрация
»), в первые сутки после восстановления SIM-карты, блокировать на таких входящие SMS от банков и финансовых сервисов. Также сотовые операторы ввели услугу «запрет восстановления SIM-карты по доверенности», которую нужно специально активировать. В описанных выше новых случаях похищения номера использовался другой документ - фальшивая справка о потере паспорта.«После замены SIM-карты на сутки блокируется доставка SMS-сообщений, чтобы не дать возможность мошенникам получить одноразовый пароль подтверждения банковской операции или код доступ к соцсетям и мессенджерам, - сообщил CNews директор по предотвращению мошенничества и потерь доходов «Мегафона» Сергей Хренов. – Как правило, этого времени достаточно, чтобы абонент обратился к оператору связи и аннулировал мошенническую замену, если она случилась. Кроме этого, все сотрудники проходят обучение, на что необходимо обращать внимание при идентификации абонентов. Все действия сотрудников остаются в системе, в случае неправомерной замены SIM-карты мы можем узнать, кто ее осуществил, провести собственное расследование».
Оператор Tele2 не стал комментировать, какие действия предпринимает оператор для защиты пользователей от незаконного восстановления SIM-карт.
Отметим, что запрет входящих SMS в первые сутки после восстановления SIM-карты не дает полный защиты. Социальная сеть «Вконтакте» может передавать код для активации аккаунта или восстановления пароля не только посредством SMS, но и путем входящего голосового вызова с американского телефонного номера (пользователю предлагается ввести последние цифры данного номера) – именно так и поступили мошенники, укравшие аккаунт корреспондента CNews.
Мнения экспертов по информационной безопасности
«В отличие от известных схем с фишингом и телефонным мошенничеством, когда злодеи пытаются под разными предлогами выманить у жертвы CVV или SMS-код, схема с перевыпуском SIM-карт не такая массовая и ориентирована, в первую очередь, на солидных состоятельных клиентов, - рассказали в компании Group-IB.- Все больше банков договариваются с сотовыми операторами об обмене данными для противодействия мошенничеству: в случае перевыпуска SIM-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга, однако это правило пока действует не у всех».
Замруководителя Лаборатории компьютерной криминалистики Group-IB Виталий Трифонов добавляет, что сам по себе SMS-канал не является защищенным. «У него есть много как технических (уязвимости в протоколе SS7), так и организационных (халатность сотрудников оператора) недостатков, - говорит Трифонов. - Использовать SMS для аутентификации небезопасно, особенно в случаях, когда, обладая только SIM-картой, можно сбросить пароль к сервису или приложению - ведь в этом случае аутентификация сводится к однофакторной».
Сколько стоит украсть чужой телефонный номер
«Услуги по «пробиву» данных у сотовых операторов – это достаточно распространенный криминальный бизнес и по ценам хорошо видно, кто и как из операторов борется с инсайдерами, продающими персональные данные клиентов, - рассказывает основатель сервиса разведки утечек DLBI Ашот Оганесян. – Занимаются таким пробивом группы из посредника и нескольких сотрудников самого оператора или салона связи, имеющего доступ к его информационной системе».
Стоимость детализации звонков и SMS абонента предлагается по цене от 1,5 тыс. до 15 тыс. руб. за месяц в зависимости от оператора, говорит Оганесян. Персональные данные абонента по номеру его мобильного телефона можно купить за сумму от 400 руб. до 1,8 тыс. руб.
У многих продавцов есть комплексная «услуга» поиска всех номеров абонента по паспортным данным по трем федеральным операторам («Вымпелком». МТС, «Мегафон») ценой от 3 тыс. руб. Разовое определение местоположения оператора стоит 30 тыс. руб. – 45 тыс. руб. Также злоумышленники предлагают доступ к содержимому (тексту) SMS по цене от 150 тыс. руб. за один месяц. Самым «дешевым» оператором с этой точки зрения был и остается «Вымпелком», самыми дорогими – «Мегафон» и Tele2, утверждает Оганесян.
«Что касается получения копии SIM-карты, то это куда более сложная «услуга», которой занимаются группировки, включающие «специалистов», изготавливающих поддельные документы тех, кто добывает персональные данные для этих документов, и тех, кто приходит за новой SIM-картой, - говорит основатель сервиса DLBI. – Входят в группу и сотрудники оператора, которые осуществляют ее перевыпуск, не обращая внимания на «лишние детали». Этот криминальный сервис носит название «восстановление SIM» и стоит от 15 тыс. руб. до 30 тыс. руб».