Я раскрыл массовое кибермошенничество — часть 3

Автор — молодец, Мегафон не молодец.
(интересно, скольких абонентов он лишится после этого цикла статей)

У меня по прежнему как и после первых двух частей этого захватывающего детектива бомбит от:
-- мгновенного "обесценивания" советов "купите отдельный кнопочный телефон для банков"
-- того что так просто клонируются симки, а мегафно откупается и проблему не решает(решаема ли она в принципе?) хотя видно что о проблеме знает, но никого не информирует о том что она есть
-- банков, которым для сброса/получения доступов к ДБО достаточно смс как первого единственного фактора(передаю привет как минимум ВТБ).

PS милая деталь
>> он проживал по адресу г. Казань, ул. Попова, д. 11.
Если я правильно догадываюсь, то улица названа в честь выдающегося ученого, изобретателя радио Александра Степановича Попова

Alexander, отвечу по порядку:

- действительно, кнопочный телефон не способен обеспечить безопасность от такого рода мошенничества, но позволяет минимизировать риски: отсутствие интернета и возможности устанавливать приложения исключает хищение через вирусные программы (в большинстве случаев именно так происходит).

- профильные сотрудники Мегафона точно знают о проблеме, однако об этом никак не афишируют ни перед коллегами, ни перед абонентами (очень большие репутационные риски). В любом случае есть решение, иначе с аналогичной проблемой столкнулись бы и другие операторы связи (я склоняюсь к версии, что без действий инсайдера похищать незаметно деньги у абонентов на протяжении нескольких лет невозможно).

- про конкретные банки не готов ответить, но такая проблема точно есть. Однако куда болезненнее, когда с помощью смс-команды можно осуществлять переводы (Сбер по номеру 900 - мошенники так и списывали с банковских карт на счет Мегафона, оттуда уже переводили по своим реквизитам).

- вот так совпадение:)))

Ранис, я же правильно понимаю, что с помощью такого "клона" можно легко получить доступ к ДБО тех банков, которые для авторизации предлагают использовать номер телефона? а также тех банков, которые для восстановления доступа к ДБО присылают СМС на номер клиента?
Скорее всего ответ положительный на оба вопроса, т.к. в детализациях "левый" IMEI в т.ч. и для входящих сообщений.
Получается что подавляющее большинство банков подвергают высокому риску средства своих клиентов. В т.ч. и Тинькофф, к сожалению.

Максим, все верно, но в Тинькофф требуется доп.информация

Ранис, Какая?

Eli, У подруги спросили ответ на кодовый вопрос:) Если там стоит не девичья фамилия матери, а что-нибудь более изощрённое, то проблему это решит. Меня пару раз просили включить камеру (фото клиента у банков есть).

Ранис, такое мошенничество (временное использование вашего номера телефона) возможно из-за использования сетей 2G, и реализуемо на базовых станциях любых операторов, где используется шифрование A5/1 (таких в 2019 году, по статистике сайта gsmmap.org, у МТС в России было около 50%).

Дешевые кнопочные телефоны почти все работают только в сетях 2G. Смартфон, переведённый в режим работы только в 3G и 4G, защитит от этой махинации. Рекомендация по использованию 2G-телефона увеличивает риски, а не уменьшает их.
Кроме того, кнопочные телефоны тоже могут содержать вредоносные функции: https://habr.com/ru/post/575626/

"Клонирование" SIM-карты — не совсем верное слово. В вашем случае, злоумышленник пользовался уже установленной сессией между вашим телефоном и базовой станцией, но он не мог пользоваться вашим номером, не находясь физически близко к вам.

1, Если это не совсем клонирование, то сможете дать комментарии вот на этот момент:
1) На момент первого хищения, очевидно, что злоумышленник перехватил трафик, когда жертва с сим-картой и с телефоном находились рядом.
2) Второе хищение - телефон с сим-картой находился в одном месте длительное время и на вряд ли злоумышленник мог знать местонахождение жертвы (слишком не популярное место и далеко от места совершения преступления).

прочитал как детектив, автор молодец!))

ОпСоС как всегда не подвел. покрывают жуликов своим бездействием.
как деньги брать - так первые.
весь смысл юридического департамента и СБ - отбрехаться от клиента.

Petr, точно подметили.
Акционерам Мегафона точно стоит задуматься.

Больше всего в этой ситуации удивляет соотношение технической сложности реализации схемы с тем, как мало мошенники по факту получили - всего 200 тысяч рублей.
Клон SIM - это же бесконечный полет фантазии. Быстрые переводы со Сбербанка по СМС. Банковские приложения, доступ к которым можно восстановить с помощью СМС. Добавить к команде этих ребят инсайдера внутри какого-нибудь крупного банка - и это же что можно устроить вообще.

Нужно больше огласки! Ждем статью на хабре с более подробным техническим разбором.

Darya, сумма 200 тыс.руб. взята из заявлений потерпевших, на основании которых возбуждены уголовные дела. В действительности, даже по данным самого Мегафона пострадавших более 200 абонентов и по всей видимости только в месяц задержания.
Но хищения происходили на протяжении 2-х лет...

О реальных значениях ни Мегафон, ни МВД не скажет: ведь это им ненужно и невыгодно.
Для Мегафона это репутационные риски, а для полицейских - достаточно текущих потерпевших с похищенными суммами для предъявления обвинений и каждое новое обстоятельство только увеличит объем формальной работы.

Хабр, жди меня, скоро загляну:)

Ранис, Ничего себе. Серьёзно, 200 потерпевших только в один месяц на 200 тысяч рублей? Страшно представить, сколько их на самом деле, и что главные мошенники так и не найдены, а Мегафон даже одного слова не замолвил, что продвигает новую систему безопасности, только откупился от суда (и то, с торгом и угрозами). Кстати, а не было ли бы дополнительных плюсов в том, чтобы настоять на суде? Например, к Мегафону было бы больше внимания, якобы они бездействуют и оператора вообще нужно закрывать за такие нарушения? Или же суд дал бы только больше денег, чем 90 тысяч, но зато это могло бы растянуться ещё на год?

Примерно понятно, почему Мегафон не хочет ещё один суд, но непонятно, зачем было торговаться на меньшую сумму.. Этот вопрос не личный, а глобальный, и тут вроде бы не станешь выторговывать каких-то 5000 р

Pavel, мне кажется, что 200 тыс.руб. - эта сумма потерпевших, которые обратились с заявлением в полицию (от силу их 30 человек, точных данных у меня нет).

А вот сколько похитили у оставшихся 170 абонентов (200 - 30) - стоит только догадываться...

В суде можно было выбить дополнительные плюсы в виде признания действий Мегафона нарушающими права потребителя. В плане денег - сумма могла получится больше, но и сил пришлось бы потратить существенно. Поэтому с потерпевшим нашли золотую середину и договорились на 90к.

Я до сих пор жду, когда Мегафон соберется силами и выпустит официальный пресс-релиз с подтверждением мошеннического хищения у абонентов и возврата похищенных денег с дополнительными бонусами. Ну и главное, публичное извинение - иногда одно искреннее слово может поменять отношение человека с "-" на "+".

Пытались обхитрить татарина )))) эээ егетляр это зря вы

Рустам, без булдырабыз:)

Возможно я раздуваю теорию заговоров, но очень уж странно выглядит смерть задержанного в сизо.

Makito, когда мы узнали эту новость, поверьте, мысли были такие же: истории из художественных фильмов, когда истребляют одно звено в цепочке для отвлечения внимания от масштаба проблемы, могут быть основаны на реальных событиях.

Молодцы, ребят

Ранис, спасибо за обещанное продолжение! Крутая статья.

Немного разочаровало, что нет подробностей как именно полицейские вычислили подозреваемых.
Возможно ли, что это просто случайные люди, которые просто бэкграунду подошли?
Есть у вас какие-то конкретные доказательства их вины?
Не защищаю их, просто интересно как их поймали.

Как правило, в продуманных мошенничествах заранее оставляют "виновника", на которого переводят все стрелки и с которого потом получить украденное нереально, а организаторы схемы остаются неуязвимыми. Опираюсь на собственный опыт, сам стал жертвой жуликов в 2010 году.

nice, мне кажется, что у сотрудников полиции я записан в телефонном справочнике как "не брать":)))

К сожалению, оперативные службы не раскрывают подробностей методов поиска подозреваемых.

Могу лишь дополнить как именно происходит поиск поддельной базовой станции: в ходе оперативно-розыскных мероприятий МВД привлекает специалистов ФГУП «ГРЧЦ» (Главный радиочастотный центр) для выявления незаконно действующих радиоэлектронных средств. Поддельную базовую станцию можно обнаружить только во время ее действия, поэтому путем нескольких замеров удается обнаружить незаконное устройство и назначается внешнее наблюдение по месту ее использования. А дальше уже дело времени для сбора необходимых доказательств с целью задержания злоумышленников.

Задержанные люди точно не могут быть случайными, т.к. даже из моей статьи есть два явных признака их причастности к такому преступлению:
1) скончавшийся в СИЗО ранее был приговорен судом за аналогичное преступление (в поле зрения оперативных служб он попадался еще несколько раз).
2) проживал по адресу в зоне совершения хищения (я уверен, что первый эпизод исполнен, находясь у себя дома).

Еще - он профессионал в области связи, об этом силовикам тоже хорошо известно. А по поводу второго подозреваемого - скорее он просто помощник своего однофамильца.

У меня нет ни капли сомнений, что именно задержанные совершали хищения, т.к. имеются другие доказательства, которые не могут быть размещены в публичной плоскости.

ВИКТОРИЯ, и надеяться на чудо:)))

Печально ведь то, что полиция возвратом похищенных денег не занимается, а Мегафон считает себя ни в чем не виноватым.

Короче говоря, все стрелки на мошенников: сначала их найдите, а потом с ними и разбирайтесь...

Ранис, интересно, что и искать мошенников должны потерпевшие. Страна самостоятельных людей)) Было любопытно читать, как после Вашего заявления в полицию, со всеми данными, куда уходили деньги, каким предполагаемым образом, и т.д., было составлено уголовное дело. Я могу, конечно, что-то упускать, но это в какой-то изращенной форме забавляет.

Вы молодец! Читала с азартом.

Маргарита, за все время контактов с государственными органами у меня сформировался иммунитет на формальные действия и отписки:)

Приходится чувствовать себя дятлом: стучать по одному и тому же месту до тех пор, пока не примут адекватных мер.

Ранис, не устаю восхищаться вашим упорством и активной гражданской позицией!
Как и в прошлых комментариях, снимаю шляпу!

Вообще, конечно, первая реакция после прочтения этого детектива до конца - отвращение и желание перейти к другому оператору (стаж в Мегафоне лет 8, среднемесячные расходы раза в 3 выше ARPU). Но, с другой стороны, с чего вдруг быть уверенным, что у других ОпСоС'ов отношение к клиенту было бы другим?

Илья, благодарю:)

К сожалению, отношение операторов связи к абонентам оставляет желать лучшего: в большинстве случаев и с другими опсосами могло быть также.

Даже исходя из части 1 можно сделать вывод, что достучаться до службы безопасности Билайна и Теле2 тоже не удается.

В любом случае у Мегафона низкое качество обслуживания абонентов, при этом у них продукты и услуги интересны.

Aleksei, не хранить деньги в сберегательной кассе:) шутка

Универсальных способов защиты от клонирования сим-карты не существует. Поэтому только совокупность действий позволит уменьшить риски от финансовых потерь:

- установить дополнительные требования по восстановлению доступа к личным кабинетам на различных сервисах (банки, социальные сети и т.д.);
- хранить сбережения на нескольких счетах и в разных банках.

Ситуация просто капец. У автора поразительное упорство, единицы смогли бы потратить столько времени и сил на организацию расследования. Прискорбно, что те люди, у который есть нужные ресурсы (полиция и оператор), делают примерно ничего.

Сериал класс!
А второй сезон будет?!

тьфунатебя, часть группы на свободе, поэтому продолжение следует...:)

Сергей, это нормальная практика, когда у человека нет официально зарегистрированного имущества: арендованная квартира (или живет у близких), вместо личной машины общественный транспорт, а накопленные деньги в наличной форме или на счетах аффилированных лиц.

На самом деле затраты на сборку поддельной базовой станции крайне смешные, вот подробная статья на хабре:
https://habr.com/ru/company/pentestit/blog/331406/

Ранис, на таких, как вы, и держится справедливость в этом мире) Когда вы откроете свою юридическую контору, я буду вашим постоянным клиентом.

Vi, спасибо:)
И без конторы готов помочь, если человек в беде:)

"злоумышленники перехватывали сигнал мобильных телефонов кнопочных моделей, которые не поддерживают современные алгоритмы обеспечения безопасности."
У всех пострадавших были кнопочные телефоны? Ни у кого смартфона не было?
Очень хочется технических подробностей, какие телефоны уязвимы, а какие нет.
Речь про SS7 же?

alexey, постараюсь более детально раскрыть техническую сторону вопроса:

- уязвимость связана с менее защищенной сетью 2G: по умолчанию все кнопочные телефоны работают именно на этой частоте, а смартфоны переключаются в этот режим, когда сигнал слабый ( помещения на цокольном этаже, метро и т.д.).

- среди пострадавших обладатели как кнопочных телефонов, так и смартфонов.

- для кнопочных телефонов нет возможности повлиять на выбор сети, а вот в настройках смартфона можно выбрать сеть 3G или 4G, тем самым исключив 2G (убрать режим автоматического переключения сети в зависимости от уровня сигнала).

- злоумышленники устанавливали поддельную базовую станцию в сети 2G, в результате чего сим-карты жертв подключались к ней вместо оригинальной базовой станции. После этого создается виртуальный клон сим-карты, с помощью которого мошенник подключается к оригинальной базовой станции, сбрасывая из сети настоящую сим-карту, а далее отправляет смс-команды и переводит деньги.

- некоторые участники форумов на профильных сайтах считают, что это не клон, а всего лишь перехват трафика.
Тут ведь дело в том, что подразумевается под словом "клон".
Для меня "клон", когда другое лицо может совершить действия за абонента без наличия оригинала сим-карты. И совсем не важно обладает он всеми функциями сим-карты или только частью: главное, что это позволяет отправлять и принимать смс-сообщения, с помощью которых происходит хищение.

Ужс.. Не зря я давно расстался с данным оператором.

Ранис, великолепный многосерийный блокбастер!!! Читала, и не могла остановиться, очень переживала за вас, брата, и других пострадавших ребят!

Ответ "Специалисты ОПЕРАТИВНО передали информацию в правоохранительные органы" очень повеселил. Ничего себе, оперативность, почти три года...

Татьяна, согласен:) вот бы они оперативно вернули деньги пострадавшим, а нет...

Я так ждала концовки этой истории. Ранис, браво!
Но после прочтения возникла вот какая мысль: этот мошенник(и) - своего рода технический гений. Таким, например, был фальшивомонетчик Баранов. Да, они преступники, но очень техничные и искусные. Их бы талант да во благое дело.

а можете уменьшить текст 3 статей, добавить немного про уязвимости БС и выложить на хабр?

хуэю, в планах добавить короткий текст там со ссылками на мои статьи в Т-Ж.

Однако, если у Вас есть возможность это сделать оперативнее, то буду благодарен:)
По крайней мере ранее размещенные статьи на пикабу получили очень большой охват и популярность среди читателей.

Вот интересно, много ли по России таких поддельных базовых станций работает?

Примерно так же. Обращение к оператору, в полицию, в суд. При бездействии полиции - в прокуратуру.

alexey, на Xiaomi также, но на других смартфонах можно выбрать конкретную сеть (н-р, только 3G).

Pavel, да, из Казани.

Шляпы не ношу, поэтому просто моё восхищение упорством автора!) Возможно, как мера безопасности, поможет функция «скрыть счёт/карту» в онлайн-банке? В Сбере точно это есть, от остальных банков отказалась по ряду причин. В частности, ВТБ-онлайн частенько присылал PUSH-уведомления с кодом для подтверждения входа и периодически поступали звонки, видимо, из мест не столько отдалённых якобы от имени службы безопасности банка. Примечательно, что накануне последнего звонка обращалась в этот банк – срочно нужна была крупная сумма денег, но по итогу не пришлось подписывать договор. Мошенники об этом каким-то образом узнали. После этого закрыла в банке все счета, даже пустые. В век процветания кибер-мошенничества живём, ребята!

Кстати, уважаемый Ранис, на одном из скринов вы сдеанонили преступника)

Здравствуйте, у меня случилась подобная ситуация, только сумма в 15 раз больше. Как то можно с вами связаться для консультации? Спасибо