3746
2
Все уже привыкли, что большинство интернет сервисов (ВКонтакте, Mail.ru, Яндекс и т.д.), в целях обеспечения защиты данных пользователей, просит прикрепить номер мобильного телефона на который будут приходить единоразовые пароля для подтверждения каких-то операций. Например авторизации или смены пароля, почтового ящики и т.д.
Все уверены в надежности такого вида защиты от мошенничества. И это действительно работает. Но...
Все уверены в надежности такого вида защиты от мошенничества. И это действительно работает. Но...
О защите данных при помощи единоразовых паролей
Всю радужную картину разрушают сотовые операторы, чьи номера и привязаны к аккаунтам интернет сервисов. По крайней мере это точно относится к Мегафону.
Сейчас я расскажу, как с помощью подключения единоразовых паролей, мошенники могут получить доступ к вашим аккаунтам в соцсетях, почтовым ящикам и т.д.
Дело в том, что у оператора Мегафон есть такой удобный (а как выяснилось - вредительский) сервис - Личный Кабинет (https://lk.megafon.ru). Предназначен он для полезных вещей - слежения за балансом, подключения и отключения разных услуг и т.д.
Хотя, большинство клиентов Мегафон им не пользуются. Часто, перед поездкой в офис, люди просто заходят в ближайший офис сотового оператора или звонят в службу поддержки и просят подключить роуминг или другую услугу. Тоже самое происходит при отключении.
При этом, сотрудники оператора предлагают воспользоваться личным кабинетом. объясняют как получить пароль и какие в этом преимущества. В основном люди соглашаются. набирают простую команду *105*00#, получают пароль (надо отметить, что он постоянный, а не разовый), подключают нужную услугу и уезжают в отпуск. Напрочь забывая про этот личный кабинет, в лучшем случае до следующего отпуска, который наступит через год.
Особо никто не парится по поводу смены пароля. Ведь он пришел в виде СМС на свой собственный телефон, кто он нем узнает... А зря.
Сам пароль представляет из себя 6-ти значный цифровой код. Да да... Всего 6 знаков и только цифры. Уже понимаете к чему я?
Что же делают мошенники?
для получения доступа к вашим профилям в разных интернет сервисах им достаточно узнать просто номер телефона. Например, в ВКонтакте или любом другом сервисе, когда-то давно дали объявление, указали свой контактный телефон, ФИО контактного лица и всё. Этого будет достаточно. Достаточно всего один раз засветить свой номер.
Злоумышленник просто запускает простейшую программу по подбору пароля. Для 6-ти знаков, это занимает не более 30 минут. Причём, авторизация в личном кабинете Мегафон не требует введения даже капчи.
Дальше интересней. У Мегафона (не знаю как у других операторов) есть такая опция, кстати, бесплатная - называется UMS (https://lk.megafon.ru). Подключив этот сервим, вы (или не вы, мегафону без разницы) может отправлять и получать СМС сообщения через WEB-интерфес. Но самое интересное, что пароль для этого сервиса такой же как и для личного кабинета (далее ЛК) Мегафон.
Т.е. вору достаточно просто узнать пароль от ЛК и он сразу же может подключить эту услугу и получить достук к вашим СМС сообщениям. Дальше дело техники. В большинстве сервисов возможна авторизация по номеру телефона.
Если злоумышленник не знает точно, где у вас находятся аккаунты, то ему надо просто методом перебора проверить все самые популярные соц.сети или почтовые ящики.
Тут уже как вы среагируете. Но обычно это происходит ночью, когда люди спят и не реагируют на приходящие смс.
Далее, меняются пароли, привязки телефону, отвязываются почтовые ящики и всё, вы уже не можете восстановить доступ через телефон или привязанный Email. Там уже другие данные. При этом на Службу Поддержки (далее СП) особо надеяться не надо. Реакция на сообщение о взломе у них как у черепахи. Официально у Mail.ru до 5 рабочих дней. У Яндекса до 3-х. При этом ещё нужно отправлять кучу доказательств принадлежности ящика - сканы, фото на фоне экрана и т.д. И в большинстве случаев ящик, на время разбирательств, даже не блокируют.
По привязке телефона и дублирующих ящиков определяется какие ещё аккаунты у вас есть, которые скорее всего, привязаны к тому же телефонному номеру.
Всё это время злоумышленники копашится в вашей почте и смотрит к чему ещё этот ящик привязан. У него есть как минимум 2 дня. Все ваши привязанные к взломанной почте учётные записи будут проверены. И если вы вовремя не отключите опцию UMS, то взломаны точно таким же образом. Но много ли людей знают об этой опции. А те кто знают, уже давно обезопасили свой ЛК.
Вот такой хитрый способ завладеть вашими аккаунтами в совершенно разных соцсетях.
Надо отметить, что проблема известна ещё с 2013 года. Однако, Мегафон принимает лишь незначительные меры по устранению отдельных уязвимостей. Не анализируя всю систему...
Для того, чтобы обезопасить себя от такой ситуации, во-первых, следует изменить стандартный, присланный на телефон, пароль от ЛК Мегафон на 26-ти значный. Это крайне усложнит, в сотни тысяч раз, процесс подбора пароля. Ну а во-вторых, не хранить важные данные в почтовых ящиках и всяких облачных сервисах, которым, так же, будет доступ у мошенника.
Сейчас я расскажу, как с помощью подключения единоразовых паролей, мошенники могут получить доступ к вашим аккаунтам в соцсетях, почтовым ящикам и т.д.
Дело в том, что у оператора Мегафон есть такой удобный (а как выяснилось - вредительский) сервис - Личный Кабинет (https://lk.megafon.ru). Предназначен он для полезных вещей - слежения за балансом, подключения и отключения разных услуг и т.д.
Хотя, большинство клиентов Мегафон им не пользуются. Часто, перед поездкой в офис, люди просто заходят в ближайший офис сотового оператора или звонят в службу поддержки и просят подключить роуминг или другую услугу. Тоже самое происходит при отключении.
При этом, сотрудники оператора предлагают воспользоваться личным кабинетом. объясняют как получить пароль и какие в этом преимущества. В основном люди соглашаются. набирают простую команду *105*00#, получают пароль (надо отметить, что он постоянный, а не разовый), подключают нужную услугу и уезжают в отпуск. Напрочь забывая про этот личный кабинет, в лучшем случае до следующего отпуска, который наступит через год.
Особо никто не парится по поводу смены пароля. Ведь он пришел в виде СМС на свой собственный телефон, кто он нем узнает... А зря.
Сам пароль представляет из себя 6-ти значный цифровой код. Да да... Всего 6 знаков и только цифры. Уже понимаете к чему я?
Что же делают мошенники?
для получения доступа к вашим профилям в разных интернет сервисах им достаточно узнать просто номер телефона. Например, в ВКонтакте или любом другом сервисе, когда-то давно дали объявление, указали свой контактный телефон, ФИО контактного лица и всё. Этого будет достаточно. Достаточно всего один раз засветить свой номер.
Злоумышленник просто запускает простейшую программу по подбору пароля. Для 6-ти знаков, это занимает не более 30 минут. Причём, авторизация в личном кабинете Мегафон не требует введения даже капчи.
Дальше интересней. У Мегафона (не знаю как у других операторов) есть такая опция, кстати, бесплатная - называется UMS (https://lk.megafon.ru). Подключив этот сервим, вы (или не вы, мегафону без разницы) может отправлять и получать СМС сообщения через WEB-интерфес. Но самое интересное, что пароль для этого сервиса такой же как и для личного кабинета (далее ЛК) Мегафон.
Т.е. вору достаточно просто узнать пароль от ЛК и он сразу же может подключить эту услугу и получить достук к вашим СМС сообщениям. Дальше дело техники. В большинстве сервисов возможна авторизация по номеру телефона.
Если злоумышленник не знает точно, где у вас находятся аккаунты, то ему надо просто методом перебора проверить все самые популярные соц.сети или почтовые ящики.
Тут уже как вы среагируете. Но обычно это происходит ночью, когда люди спят и не реагируют на приходящие смс.
Далее, меняются пароли, привязки телефону, отвязываются почтовые ящики и всё, вы уже не можете восстановить доступ через телефон или привязанный Email. Там уже другие данные. При этом на Службу Поддержки (далее СП) особо надеяться не надо. Реакция на сообщение о взломе у них как у черепахи. Официально у Mail.ru до 5 рабочих дней. У Яндекса до 3-х. При этом ещё нужно отправлять кучу доказательств принадлежности ящика - сканы, фото на фоне экрана и т.д. И в большинстве случаев ящик, на время разбирательств, даже не блокируют.
По привязке телефона и дублирующих ящиков определяется какие ещё аккаунты у вас есть, которые скорее всего, привязаны к тому же телефонному номеру.
Всё это время злоумышленники копашится в вашей почте и смотрит к чему ещё этот ящик привязан. У него есть как минимум 2 дня. Все ваши привязанные к взломанной почте учётные записи будут проверены. И если вы вовремя не отключите опцию UMS, то взломаны точно таким же образом. Но много ли людей знают об этой опции. А те кто знают, уже давно обезопасили свой ЛК.
Вот такой хитрый способ завладеть вашими аккаунтами в совершенно разных соцсетях.
Надо отметить, что проблема известна ещё с 2013 года. Однако, Мегафон принимает лишь незначительные меры по устранению отдельных уязвимостей. Не анализируя всю систему...
Для того, чтобы обезопасить себя от такой ситуации, во-первых, следует изменить стандартный, присланный на телефон, пароль от ЛК Мегафон на 26-ти значный. Это крайне усложнит, в сотни тысяч раз, процесс подбора пароля. Ну а во-вторых, не хранить важные данные в почтовых ящиках и всяких облачных сервисах, которым, так же, будет доступ у мошенника.
Ссылки по теме:
- Развод покупателя в Вконтакте
- 10 хитрых схем, используемых мошенниками в последнее время
- Денежный обман с купюрой в 50 евро
- Новый вид шарлатанства под названием Пирамидотерапия
- Разоблачаем схему массового обмана покупателей в объявлениях о продаже машин
реклама
так что для безопасности, лучше поменять на 26-значный.
В НГ 2013 года я ездил в Европу. И так как это был мой первый выезд за рубеж, я забыл подключить роуминг. Добравшись до места, я подключился к интернету, активировал ЛК Мегафон, включил роуминг и забыл про него. Как я уже писал, автоматом назначается пароль из 6 цифр. Я по этому поводу не парился. Всё таки пароль пришел на телефон, а не куда-то там. Да и смску давно удалил. Вот и забыл про это.
Как раз в этом году всплыла уязвимость с подбором пароля к ЛК Мегафона. После которой они сделали капчу и сброс пароля после 6 не верных вводов. Но тогда этого ничего не было.
Видимо тогда и был подобран пароль. Использован для подключения платных сервисов через агентов.
Столько времени прошло, все лишние услуги я давно поотключал, про ЛК даже не думал. Но видимо, старые базы с паролями все ещё гуляют по сети. Кто-то получил такую базу и вот результат.
Мне вообще интересно, есть ли у кого то важные данные которые он доверяет контакту одноклассника маил.ру и яндексу
Только тогда делали платные подписки на номера.
Видимо, база осталась и кто-то решил ей воспользоваться.
Как раз в 2013 году я воспользовался ЛК для подключения роуминга. И потом благополучно про него забыл...
<
Нас нае...расходимся...
Перебери пароль, попутно подгоняя капчу? Как реагирует мегафон - хз, но такие атаки обычно обнаруживаются и блокируются в автоматическом режиме.
НО...
В 2013 году уже была точно такая же история у людей http://www.mobile-review.com/articles/2013/ums-podpiski.shtmlhttp://www.mobile-review.com/articles/2013/ums-podpiski.shtml
Принцип тот же. После этого Мегафон решил проблему, и вроде как всё прекратилось. Но видимо, теперь новая уязвимость.
Если бы я активно пользовался этим кабинетом, то да. Но я им вообще не пользовался. Так что и спалить не мог его нигде. При этом, если рассматривать вариант, что где-то засел троян, то зачем взломщику потребовалось запрашивать восстановление пароля. он и так бы его знал.
К тому же много куда он не добрался, чем я регулярно пользовался. А все взломанные аккаунты так или иначе связаны по цепочке друг с другом.
Ну и ситуация точно такая же как в 2013 году, может быть отличия в деталях. Но на то они и взломщики, чтобы искать новые уязвимости, когда закрыты предыдущие.
+Проверь, нет ли в ЛК мегафона журнала операций может там и есть что-то интересное.
И по разговору с службой поддержки Мегафона, первым действием в этой цепочке был именно вход в ЛК Мегафон -> Подключение услуги UMS -> Запрос восстановления пароля в ВК -> и далее по цепочке.
Тогда дыру закрыли. Сейчас симптомы точно такие же. Это говорит о том, что дыра схожа с предыдущей...