Roman Persianinov
9 611

Охотники за SIM-картами: как устроен бизнес по взлому и продаже Инстаграм-аккаунтов с помощью телефонной уязвимости

Для достижения цели злоумышленники используют даркнет-форумы, угрозы и социальную инженерию, эксплуатируя ошибки американских провайдеров.

Поделиться

В избранное

В избранном

Фото TJ

Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд (Rachel Ostlund) как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.

Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах. В деталях подпольного бизнеса разобралось издание Motherboard.

Как номер телефона используют против его владельцев

В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.

По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.

Аккаунт певицы Селены Гомес после взлома. Помимо рекламных постов взломщики опубликовали интимные фотографии Джастина Бибера

После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».

По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином @Bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.

Масштабы проблемы

По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс появился после громкой утечки пользовательских данных из социальной сети в 2017 году.

«Когда-то это [взлом аккаунтов через дубликат SIM-карты — прим. TJ] было настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество», — утверждает в разговоре с Motherboard пользователь OGUSERS.

Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.

«Я беру их деньги и живу своей жизнью. Они сами виноваты, что не следили за безопасностью», — говорит Ace.

Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Борисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».

В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.

Способы борьбы

AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.

В марте 2018 года AT&T, Verizon, Sprint и T-Mobile объявили о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.

Как и коммуникационные гиганты, ФБР не ведет статистику или не хочет раскрывать данные о количестве жертв дублирования SIM-карт. СМИ не уверены, что подобный учёт вообще проводится властями.

Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.

«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд. Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.

В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.

Насколько уязвимость SIM-карт актуальна для России

Все крупнейшие российские коммуникационные операторы, включая «МегаФон», МТС, «Билайн», и Tele2, предоставляют услугу замены SIM-карты, что теоретически даёт возможность злоумышленнику сделать дубликат. Однако, в отличие от США, для подачи заявления на восстановление нужны паспортные данные владельца. Подтвердить достоверность данных по телефону нельзя — нужно прийти в сервисный центр или оформить онлайн-заявку, указав паспортные данные.

Существует альтернативный вариант — самостоятельное дублирование SIM-карты, однако для этого понадобятся дополнительные и не легкодоступные инструменты:

  • Дубликатор SIM-карты (похож на кардридер);
  • «Чистая» SIM-карта от того же провайдера. Скорее всего, злоумышленникам придётся искать старую карту начала 2000-х, так как современные защищены от дублирования;
  • Дополнительные программы для создания дубликата. Многие из них не работают на современных операционных системах.

На тематических форумах можно найти отдельных энтузиастов, создающих дубликаты SIM-карт на заказ. В Москве цены на такие услуги варьируются в районе 1000-1500 рублей, но, как утверждают участники форума, зачастую это работает только с SIM-картами «Билайн». При этом для создания дубликата всё равно потребуется иметь при себе оригинальную карту, что значительно осложняет работу злоумышленникам.

В разговоре с TJ пресс-служба «МегаФона» заявила, что ранее компания не сталкивалась с «клонированием» SIM-карт. По словам представителя компании, подлинность каждой карты подтверждается ключом шифрования «Ki», хранящимся на карте и в базе данных оператора. То есть для успешного копирования злоумышленнику потребуется скопировать не только SIM-карту со своим уникальным номером, но и ключ «Ki».

Можно сказать, что современные методы шифрования исключают возможность клонирования SIM-карт.

пресс-служба «МегаФон»

Представители «Билайна» отвергли мнение технического сообщества о том, что SIM-карты компании наиболее просто взломать и продублировать. Пресс-служба заявила TJ, что никто из клиентов «Билайна» никогда не жаловался на то, что некто продублировал их SIM-карту.

«ВымпелКом» (компания-владелец «Билайна» — прим. TJ) давно закупает USIM-карты с надёжным алгоритмом аутентификации, взлом которого на текущий момент не был зафиксирован. У нас также действуют специальные меры информационной безопасности, исключающие потенциальные утечки данных от поставщиков SIM-карт.

пресс-служба «Билайна»

Представители Tele 2 не ответили на запрос TJ. В пресс-службе МТС изданию пояснили, что в «современных SIM-картах нет уязвимостей», а заменить карту можно только в салоне связи или при личном присутствии владельца договора.

Если вы столкнулись со взломом своего телефона или профиля в Инстаграме и хотите об этом рассказать, напишите в Telegram @macon42 или на электронную почту редакции editors@tjournal.ru.

#исследования #истории #технологии #кибербезопасность

Статьи по теме
Ограбление банка в эпоху криптовалют
Почему не стоит выкладывать фотографии билетов и ключей в социальные сети
«Не оставляй ничего в этом номере»: американский хакер около года грабил постояльцев лучших отелей мира
{ "author_name": "Roman Persianinov", "author_type": "self", "tags": ["\u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f","\u0438\u0441\u0442\u043e\u0440\u0438\u0438","\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 22, "likes": 45, "favorites": 29, "is_advertisement": false, "section_name": "default", "id": "73826", "is_wide": "" }
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Популярные комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]