Бабушкофон ворующий смс и телеграм-аккаунты
Небольшая история о том, как кто-то зарегистрировался в телеграме через сим-карту моей бабушки.
Началось все 24 октября 2020 года. Я засиделся за компьютером и лег спать в три часа ночи. Но тут телефон радостно прислал мне уведомление, что новый контакт зарегистрировался в телеграм. Сон как рукой сняло ибо в телеграме зарегистрировалась бабушка моей девушки.
Бабуле 80 лет и у нее обычный кнопочный телефон. Она путается в двух пунктах меню, и ей каждый раз приходится заново рассказывать, как работать с телефоном. Она точно не сама зарегистрировалась в телеграме, но кто-то смог перехватить смс от мессенджера и зарегистрировать аккаунт.
Короткий диалог с наводящим вопросом дал понять, что с той стороны точно кто-то посторонний и он не знает точной даты рождения владельца сим-карты. На следующий день я кинул ссылку на один своих сайтов. Если бы человек с той стороны просто кликнул, то в логах веб-сервера засветился его IP-адрес и информация о браузере.
Попытки напугать техподдержкой тоже не сработали
Мой фишинг не сработал. Аккаунт был вечно офлайн, а в логах пусто. У меня не было физической возможности приехать к бабушке, чтобы проверить наличие смс от телеграма.
Сначала показалось, что кто-то на уровне оператора перехватывает смс у пенсионеров, заранее зная, что они не пользуются интернетом. Идея же богатая — владельцы бабушкофонов не знают что такое интернет. Просто перехватывай смс и регистрируй телеграм аккаунты и прочие соцсети. А далее используй их как ботов для разной пропаганды.
Хотелось понять, кто именно перехватил смс. Сотрудник оператора или каким-то хитрым образом смс была перенаправлена? Стандарты GSM и SMS достаточно старые и когда их создавали, то не особо думали о безопасности.
Поговорив с коллегами, которые раньше работали у одного мобильного оператора, мне рассказали, что в реальности нельзя сделать дубликат симки. Да оператор может склонировать вашу сим-карту один раз и начать принимать смс. Но после этого ваша сим карта выключится навсегда и ее нужно менять. А у бабушки телефон работал.
Перехватить смс можно было и с помощью атаки на протокол связи SS7. Если не вдаваться в технические подробности, то любой оператор из стран третьего мира подключается к служебной SS7, подделывает ряд команд и оператор начинает думать, что человек резко уехал в другую страну и находится в роуминге.
Но такой способ требует подготовки и не совсем понятно, зачем такую сложную и дорогую атаку делать на телефон простой бабушки. Если это явление массовое, то все операторы заметили бы вредоносную активность.
В поисках информации я нашел, что именно в октябре 2020 производились массовые угоны телеграм аккаунтов в Израиле и частично связал между собой эти два события.
Время шло, в украденном телеграм аккаунте мне никто не отвечал, но там появилась аватарка.
Поиск по фото выдал ссылку на ВК данного человека. Аккуратно поговорив с ним я понял, что человек вообще не в курсе что такое телеграм и дальше ВК и Одноклассников он не ходит. Злоумышленник специально взял безобидное фото, чтобы аккаунт казался «живым».
В декабре 2020 я смог приехать в гости к бабушке и решил наконец-то зайти в «чужой» телеграм аккаунт, чтобы почитать переписку и понять ради чего своровали аккаунт.
Увы и тут меня ждала неудача. На аккаунте стояла двухфакторная авторизация без которой нельзя попасть в аккаунте. Что неудивительно. Человек с той стороны не повелся на мой фишинг и конечно же предусмотрел ситуацию что владелец симки тоже захочет заглянуть в аккаунт.
На секунду даже стало страшно. Получается одна перехваченная смс и вот на твой номер зарегистрирован аккаунт с дополнительным паролем. Без этого пароля ты уже ничего не можешь делать, а злобный хакер может начать писать всякое плохое в интернете. А в случае проблем правоохранительные органы придут к владельцу номера телефона.
На этот случай у телеграмма есть функция полного сброса аккаунта. Нажав на кнопку «Забыл пароль двухфакторной авторизации» меня обрадовались сообщением: нужно подождать 7 дней и повторно запросить процедуру сброса. После этого старый аккаунт будет удален со всей перепиской и можно получить доступ.
Спустя 7 дней, я попросил своего брата, чтобы он заглянул к бабушке и прислал мне смс на сброс аккаунта. На всякий случай я добавил аккаунт себе на телефон и также включил двухфакторную авторизацию.
Меня по прежнему интересовало кто и зачем решил своровать аккаунт и какая переписка через него шла. Ради эксперимента я вернул старую аватарку в аккаунт. Если кто-то добавлял аккаунт себе в контакт лист, то ему пришло повторное уведомление, о том что человек снова зарегистрировался в телеграм.
Прошло несколько месяцев полной тишины. Я уже начал забывать про эту ситуацию. Единственное что раздражало - двойные уведомления об обновлениях телеграма, так как в телефоне подключены две учетные записи.
Но видимо этот аккаунт не хотели просто так отдавать. В начале марта, я получил новое сообщение, что кто-то ночью пытался войти, успешно перехватив смс еще раз.
Двухфакторная авторизация спасла от угона аккаунта, но с той решил пойти по моему же пути и запросили повторное удаление аккаунта. Видимо их не пугало, что аккаунт сброшен, стоит новый пароль и так любезно скопирована их аватарка.
Я конечно же отменил сброс аккаунта и смог увидеть IP-адрес. Whois дал немного. Это Ростелеком и Ростов-на-Дону. Не вижу смысла им писать, ибо нужны официальные запросы от органов и куча прочей бюрократии.
Из-за второй попытки угнать аккаунт, хотелось понять как устранить проблему утечки смс. Позже мне подкинули идею — а что если смс ворует не оператор, а сам телефон?
Но ведь там не смартфон. Это бабушкофон с функцией звонков и смс. Больше ничего. Я повторно приехал к бабушке, авторизовался в личном кабинете оператора и начал анализировать список звонков и смс.
Конечно же на номере висело парочку платных подписок, которые случайно появились. Но самое интересное было в детализации услуг.
Детализация услуг на момент регистрации телеграм аккаунта.
Телефон без функции браузера обращался к интернету и периодически отправлял 2 килобайта данных. И тут уже появляется более логичная теория, что в прошивке телефона есть удаленный доступ. Телефон запрашивает команды, потом приходит смс, далее текст смс уходит на основной сервис.
USSD-командой я отключил интернет и надеюсь устройство больше не будет ходить в интернет.
Можно конечно купить новый бабушкофон, но где гарантия, что там не будет похожей ситуации? Кроме того замена телефона приведет к недовольству самой бабушки. Она принципиально не хочет изучать ничего нового и понимать как работает новый телефон.
Модель телефона IRBIS SF63.
На официальном сайте заявлено, что устройство не может выходить в Интернет. Но в PDF инструкции, которая лежит на FTP сервере Irbis есть пункт «Мобильный интернет: GPRS».
При этом на Пикабу есть маленький пост, где еще два года назад владелец такого же телефона сталкивался с аналогичной проблемой из появляющихся платных подписок.
Автор: Leeff
Я пытался найти какие-либо меню с интернетом, но в телефоне такого просто нет. Из подозрительного замечено, что внутри изменен номер СМС-центра. Видимо таким образом происходил перехват смс.
Остается открытым вопрос - кто и как смог изменить настройки смс центра. Сим-карта старого образца от компании НТК, позже ее продали Билайну. Возможно это адрес старого смс центра, который функционирует до сих пор.
Телефон покупался лично, ему уже несколько лет и исключена ситуация, что при продаже кто-то подкрутил настройки телефона на перехват смс. Остается вариант с особо хитрой прошивкой телефона, которая может удаленно контролироваться через интернет. На данном этапе у меня нет идей как перехватить мобильный трафик интернета, чтобы увидеть что отсылал и принимал бабушкофон в этих двух килобайтах трафика. На сайте производителя нет ссылок на скачивание прошивки, чтобы попытаться заглянуть внутрь.
Выводы
Часто можно услышать жалобы, что очередной оператор подписал вас на платную подписку. После таких ситуаций задумываешься. А точно ли оператор добавляет подписки? Возможно в каких-то случаях это делает дешевый телефон?
Государство всеми силами пытается защитить нас от злых западных хакеров. Вот-вот на все зарубежные смартфоны будут ставить русские антвирусы для защиты. При этом смс было своровано на устройстве от российской компании Irbis, которая входит в группу компаний Ланит.
Если у Вас есть пожилые родственники, зарегистрируйте их сим карты в телеграме и прочих сервисах. Установите двух-факторную авторизацию. Периодически проверяйте детализацию услуг от мобильного провайдера. Сегодня крадут смс ваших бабушек и дедушек, а завтра к ним придут органы и будут утверждать, что они отправляют экстремистские сообщения в соцсетях.