Истории
Роман Персианинов

Охотники за SIM-картами: как устроен бизнес по взлому и продаже Инстаграм-аккаунтов с помощью телефонной уязвимости

Для достижения цели злоумышленники используют даркнет-форумы, угрозы и социальную инженерию, эксплуатируя ошибки американских провайдеров.

Фото TJ

Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд (Rachel Ostlund) как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.

Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах. В деталях подпольного бизнеса разобралось издание Motherboard.

Как номер телефона используют против его владельцев

В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.

По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.

Аккаунт певицы Селены Гомес после взлома. Помимо рекламных постов взломщики опубликовали интимные фотографии Джастина Бибера

После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».

По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином @Bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.

Масштабы проблемы

По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс появился после громкой утечки пользовательских данных из социальной сети в 2017 году.

«Когда-то это [взлом аккаунтов через дубликат SIM-карты — прим. TJ] было настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество», — утверждает в разговоре с Motherboard пользователь OGUSERS.

Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.

«Я беру их деньги и живу своей жизнью. Они сами виноваты, что не следили за безопасностью», — говорит Ace.

Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Борисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».

В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.

Способы борьбы

AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.

В марте 2018 года AT&T, Verizon, Sprint и T-Mobile объявили о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.

Как и коммуникационные гиганты, ФБР не ведет статистику или не хочет раскрывать данные о количестве жертв дублирования SIM-карт. СМИ не уверены, что подобный учёт вообще проводится властями.

Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.

«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд. Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.

В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.

Насколько уязвимость SIM-карт актуальна для России

Все крупнейшие российские коммуникационные операторы, включая «МегаФон», МТС, «Билайн», и Tele2, предоставляют услугу замены SIM-карты, что теоретически даёт возможность злоумышленнику сделать дубликат. Однако, в отличие от США, для подачи заявления на восстановление нужны паспортные данные владельца. Подтвердить достоверность данных по телефону нельзя — нужно прийти в сервисный центр или оформить онлайн-заявку, указав паспортные данные.

Существует альтернативный вариант — самостоятельное дублирование SIM-карты, однако для этого понадобятся дополнительные и не легкодоступные инструменты:

  • Дубликатор SIM-карты (похож на кардридер);
  • «Чистая» SIM-карта от того же провайдера. Скорее всего, злоумышленникам придётся искать старую карту начала 2000-х, так как современные защищены от дублирования;
  • Дополнительные программы для создания дубликата. Многие из них не работают на современных операционных системах.

На тематических форумах можно найти отдельных энтузиастов, создающих дубликаты SIM-карт на заказ. В Москве цены на такие услуги варьируются в районе 1000-1500 рублей, но, как утверждают участники форума, зачастую это работает только с SIM-картами «Билайн». При этом для создания дубликата всё равно потребуется иметь при себе оригинальную карту, что значительно осложняет работу злоумышленникам.

В разговоре с TJ пресс-служба «МегаФона» заявила, что ранее компания не сталкивалась с «клонированием» SIM-карт. По словам представителя компании, подлинность каждой карты подтверждается ключом шифрования «Ki», хранящимся на карте и в базе данных оператора. То есть для успешного копирования злоумышленнику потребуется скопировать не только SIM-карту со своим уникальным номером, но и ключ «Ki».

Можно сказать, что современные методы шифрования исключают возможность клонирования SIM-карт.

пресс-служба «МегаФон»

Представители «Билайна» отвергли мнение технического сообщества о том, что SIM-карты компании наиболее просто взломать и продублировать. Пресс-служба заявила TJ, что никто из клиентов «Билайна» никогда не жаловался на то, что некто продублировал их SIM-карту.

«ВымпелКом» (компания-владелец «Билайна» — прим. TJ) давно закупает USIM-карты с надёжным алгоритмом аутентификации, взлом которого на текущий момент не был зафиксирован. У нас также действуют специальные меры информационной безопасности, исключающие потенциальные утечки данных от поставщиков SIM-карт.

пресс-служба «Билайна»

Представители Tele 2 не ответили на запрос TJ. В пресс-службе МТС изданию пояснили, что в «современных SIM-картах нет уязвимостей», а заменить карту можно только в салоне связи или при личном присутствии владельца договора.

Если вы столкнулись со взломом своего телефона или профиля в Инстаграме и хотите об этом рассказать, напишите в Telegram @macon42 или на электронную почту редакции [email protected].

#исследования #истории #технологии #кибербезопасность