Рубрика развивается при поддержке HP logo intel logo

Сайт сетевого СМИ «Банки Сегодня» был угнан через перевыпуск сим-карты

Как оказалось, сегодня можно украсть целое издание, лишь подделав SIM-карту владельца домена.

Долгие годы мы работали для своих читателей, информируя их о самых важных событиях и фактах из мира экономики и финансов. Мы никогда не участвовали в политике и не писали заказных материалов. Однако, как показал сегодняшний день, этого недостаточно, и даже такое СМИ может лишиться домена из-за угона SIM-карты.

А теперь ближе к сути. Сегодня в 15:50 владельцу домена (он же совладелец СМИ «Банки сегодня») на мобильный телефон пришло SMS-сообщение от мобильного оператора (МТС). В нём сообщалось, что кто-то инициировал замену SIM карты:

По совету из сообщения, был немедленно совершён звонок в техподдержку МТС. Но, к сожалению, сообщить суть проблемы не удалось – разговор с оператором был прерван, SIM-карта перестала действовать (видимо, в этот момент мошенник активировал её на своём телефоне). Далее был совершён звонок с другого номера. После того как оператор выяснил все необходимые данные, номер заблокировали, но было уже поздно.

Имея на руках номер телефона, мошенники восстановили доступ к электронной почте владельца домена. Мошенник сразу же изменил пароль от почты и произвёл смену привязанного номера мобильного телефона.

После этого, мошенникам осталось восстановить для себя доступ к аккаунту регистратора REG.RU, где обслуживался наш домен. Имея на руках номер мобильного телефона и почту владельца им это не составило труда. Практически моментально домен bankstoday.net был передан из нашего аккаунта REG.RU в аккаунт злоумышленников.

Каким образом мошенник смог знать связку адрес почты -> номер телефона – остаётся неясным. Также много вопросов вызывает факт выдачи SIM-карты постороннему лицу. Уже отправлены заявки в «Яндекс», где была зарегистрирована почта владельца домена, регистратору домена REG.RU. Завтра будет подано заявление в полицию.

На данный момент это пока вся информация. Остаётся совсем мало времени, пока злоумышленники сменят DNS-сервера домена, тем самым лишив нас возможности публиковать какую-либо информацию на сайте https://bankstoday.net/.

Обращение в компанию рег.ру мы направили, там обещали разобраться после 9 утра - так работает их юридический отдел. Нам желательно дать огласку этой истории: чтобы наша проблема решилась поскорее; и чтобы другие владельцы сайтов знали о таком риске и были еще более внимательны.

По состоянию на 08:00 уже произошла смена DNS на нового владельца:

Name Server alan.ns.cloudflare.com

Name Server sofia.ns.cloudflare.com

Чтобы исключить некоторые подозрения, я перечислю, где мы об этом еще написали :

Плюс добавил это на самом сайте (пока доступ к нему не прекратился): ссылка

Обновление. На данный момент (16:30):

  • написано заявление в полицию;
  • восстановлен доступ к электронной почте;
  • регистратор заблокировал аккаунт до момента, когда будет восстановлен доступ к телефону.
{ "author_name": "Артём Васильев", "author_type": "self", "tags": [], "comments": 53, "likes": 87, "favorites": 22, "is_advertisement": false, "subsite_label": "tech", "id": 118021, "is_wide": true, "is_ugc": true, "date": "Wed, 25 Sep 2019 22:26:08 +0300", "is_special": false }
0
53 комментария
Популярные
По порядку
Написать комментарий...
Свободный череп

Комментарий удален по просьбе пользователя

38

Здравствуйте, Артём!

Мы уже заблокировали домен для переноса.

Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.

Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.

Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.

26

Только в России такое возможно! Я думала, если я привяжу телефон к своему аккаунту, то смогу себя обезопасить от взлома, вот тебе и двухфакторная защита. Просто левый чувак пришёл в мтс и изменил жизнь сотен людей, которые работают в этом СМИ. Уму непостижимо!

7

Привязка телефона никогда не была безопасной, потому что само государство может легко тебя поиметь и обычные мошенники. Всякие Gmail и Telegram требуют номер телефона чтобы не было ботов, а настоящая защита через всякие мобильные аутентификаторы. Вот хорошая статья:

https://meduza.io/feature/2019/08/16/kak-polzovatsya-telefonom-i-internetom-v-sovremennoy-rossii-i-ne-podstavitsya-pravila-kotorye-nuzhno-soblyudat-absolyutno-vsem

18

Только что зашёл в магазин приложений, думал поставить себе 1password. Народ пишет о массовых глюках после обновления приложения и невозможности восстановить покупки(видимо подписки) и прога требует все новых и новых денег. Хороший менеджер...

0

Bitwarden - твоё спасение.

1

LastPass

0
Торжественный коктейль

Уж точно не дырявый по три раза в год last lass)) ред.

0

Пруфов же как обычно не будет.

0

KeePass — твоё спасение. Онлайн-синхронизацию можно прикрутить через какой-нибудь облачный сервис, но не нужно, потому что пароли в облаке (любые) — это несекьюрно.

А для паролей, которые не особо жалко, проще использовать менеджер паролей гугла.

0

Спасибо! Хорошая статья) 

0

почему сотен?

судя по пяти-шести новостям в день, там минимум несколько десятков миллирдов человек работают!

4
Соседний шар

Не только в России. К примеру, в США, для замены номера/симки нужно назвать лишь пинкод, который нужно придумать и назвать оператору по телефону. Лично видел как в волмарте называют пинкод продавцу, чтобы тот активировал симку вместо них.

И никаких подтверждений смсками на телефон. Занимает не больше 10 минут.

3

Разве не PUK?

0
Соседний шар

Не, этот код же никак не зависит от симки, это типа доп пароля. Придумываешь в момент активации. Просто операторы почему-то называют его пинкодом. Уверен, ты сталкивался с этим если покупал симку отдельно, а не активированную с телефоном

0

Я покупал пару раз в AT&T и не помню ни разу чтоб какой-то код просили. И сами симки разлоченные были всегда. Может пин на карточке был, просто симка его не спрашивала и я не обращал внимания

0
Соседний шар

Не, его нигде не указывают. Я кстати ни разу тут не сталкивался с пин и пук кодами. Если тебе понадобится сменить оператора или номер не меняя оператора, то тебя попросят код (называют его пин кодом), типа чтобы удостовериться что это именно ты. Его просят придумать и назвать оператору при активации симки. Без него у меня не обходится ни один звонок оператору. Если его нету, то могут спросить имя и адрес проживания.

Менял номеров 10 и операторов 3-4 не меняя номера. Все по телефону и с использованием лишь кода или имени с адресом.

0

Да я посмотрел процедуру, так всё и обстоит. Иначе ничего не придумаешь особо. Проблема там, как я понял, в том что некоторые операторы верят на слово и не спрашивают код. Тут уж реально стоит подумать не завести ли отдельный номер для активации сервисов. Можно какой-нибудь Google Voice для этого использовать

1
Соседний шар

Я пользуюсь Sideline. Можно выбрать номер, код города. 10$/мес. Зато никакого спама на основной номер

0

Гугл бесплатный, спама тоже нет особо. Единственное только раз в 3-4 месяца китайские боты звонят и что-то бубнят, но даже не перезванивают после сброса

1
Соседний шар

Чет даже не задумывался о нем. Завел номер, потестирую. Правда материаил дизайн прям мозолит немного глаза.

0

Это гугл, у них уже давно своё понимание дизайна) А так удобно. Не знаю насколько реально угнать у них номер

0

 Тут уж реально стоит подумать не завести ли отдельный номер для активации сервисов

Проще использовать виртуальный номер в каком-нибудь сервисе IP-телефонии. У Задармы это удовольствие стоит 120 рублей в месяц - профит в том, что номер принадлежит тебе официально по документам, и его угон будет уже проблемой сервиса, а не твоей.

0

Так в данном случае угон - тоже проблема МТС, но разве владельцу от этого легче?

1

Ну если это только в России такое возможно, то значит во всем мире хацкеры дураки, видать...

0
Минувший жар

Как вообще возможно, что бы твой, оформленный на тебя номер , без твоего ведома кто-то переписал на себя ? Менеджера проводившего эту операцию можно принимать за мошенничество

10

Менеджеру ниче не будет, максимум административка

1

 Практически моментально домен bankstoday.net был передан из нашего аккаунта Reg.Ru в аккаунт злоумышленников.

Дайте угадаю, и техническая поддержка отказалась вам чем-либо помогать?

Не пользуйтесь Reg.ru, это та ещё помойка.

9

Там ответили, что домен больше не числится на аккаунте и передан другому аккаунту. Сказали создать тикет, который рассмотрит юридический отдел. Отдел работает с 9 утра.

2

Наоборот. Мы заблокировали домен (с ним сейчас ничего нельзя сделать), чтобы владельцы могли обратиться в правоохранительные органы.  ред.

0

Это действительно хорошая новость. 

Но проблема заключается в том, что SMS-коды не являются надежным способом аутентификации. Более надёжны OTP и TOTP (например, Google Authenticator), поддержку которых вы не предоставляете. 

0

Спасибо вам то, что поделились соображениями на этот счёт. Продолжаем работать над улучшением безопасности.

0

Расслабьте булки, после передачи домена и смены администратора есть таймаут 60 дней на возможность смены регистратора. Если вы их профукали бы, тогда да, считай с концами. А так отделаетесь испугом, саппорт решит вопрос. Можете из интереса попытаться пообщаться с угонщиком, будет что к заявлению приложить.

6

Именно через МТС ломали оппозиционеров. https://www.currenttime.tv/a/27730475.html

3

Артем, напишите, нам, пожалуйста, номер, о котором идёт речь на mentions@mts.ru, чтобы мы могли все проверить.

2

Что будет с тем менеджером который позволил угнать номер?

0
Временной шар

Смерть через сну-сну

2

Сейчас владелец домена в полиции пишет заявление, я передал ему ваше сообщение.

0

Основной вопрос - это как защититься от «восстановления» пароля (в данном случае, от почты) через смс

Надо бы потестить гугл на эту тему

0
Соседний шар

Подключи Authenticator или Authy и живи спокойно, пока телефон не спиздят.

6

оплатить собственный домен и всю важную фигню регать на незасвеченное мыло.

тут-то явно история мутная и атака была непосредственно на домен.

а то, что мтс уже неоднократно так портачит, наводит на мысли на чОрный пиар от конкурентов. Зимой с Портнягиным похожая история была.

–2

"чОрный пиар от конкурентов"?

Или всё-таки дело в МТС? 

(Если нет жалоб, МТС хорошие, если есть — конкуренты плохие. 

("лоГика") )

4

Помню, менял симку в мегафоне, так меня предупредили, что в целях безопасности мне целые сутки не будут приходить СМС. И поделать с этим ничего нельзя. Т.е. поменять какие-то там пароли с подтверждением по СМС не получится.
Не оч удобно, но, как получается, оправдано
В МТС, видимо, не практикуют такое

2

Это уже не первая подобная история, где фигурирует именно МТС. В их салонах творится полная дичь.

1

Не первая подобная история, в которой фигурирует МТС.
В предыдущие разы симка выпускалась при помощи поддельной доверенности от владельца, скорее всего, так было и в этот раз.
К слову, МТС - единственный оператор, который не позволяет запретить манипуляции с номером по доверенности. У всех остальных это можно сделать либо USSD-кодом, либо через заявление в салоне оператора.

1

Почему не позволяем? Можно запретить через оператора.

0

Здорово, что это изменилось. В свое время ушел от вас именно по этой причине, хотя по качеству связи всё устраивало.

0

А какой мотив? Выкуп?

0

Сплошная реклама а не сайт и рефералочки, кому-то трафика мало🤔

0

«смог знать»

0

На данный момент удалось восстановить доступ к почте Яндекса. Домен пока не у нас, но DNS ему вернули правильный, наш.

Минус: злоумышленник настроил 301-й редирект на свой сайт, полную копию нашего. Пока не обновятся данные на серверах, кто-то увидит вместо нашего сайта очень похожий, но с другим адресом.

Подробности есть тут: https://habr.com/ru/post/468909/ ред.

0

Комментарий удален

Читать все 53 комментария
Обсуждаемое
Технологии
ЕС представил законопроект, обязывающий устанавливать на все смартфоны разъём USB-C. Главное
По мнению авторов инициативы, это поможет уменьшить количество пластиковых отходов и будет удобнее для пользователей.
Новости
ЦИК признал выборы состоявшимися. «Единая Россия» снова получила конституционное большинство
Элла Памфилова заявила, что комиссия не получила ни одной жалобы, требующей коллегиального рассмотрения.
Новости
В Москве пересчитают результаты электронного голосования на выборах в Госдуму. Но это не будет иметь юридической силы
Все данные по дистанционному электронному голосованию в общественном штабе предлагают выложить в открытый доступ.
Популярное за три дня
Новости
Актрису из Уссурийска, пародировавшую представителя МВД в шоу Виталия Наливкина, арестовали на 10 суток
Перед этим её оштрафовали на тысячу рублей за ношение полицейской формы.
Интернет
Преподаватели в вузах США жалуются: студенты не умеют пользоваться системой папок и скидывают все файлы в одно место
Необычный пример разницы поколений: зумеры настолько привыкли гуглить и искать файлы через поиск, что сохранение проектов в иерархической системе сортировки файлов для них — непонятный пережиток прошлого.
Интернет
Толстый кот Бендер из Австралии требовательно попросил второй завтрак и стал героем мемов русскоязычного тиктока
70-летняя хозяйка кота даже научилась отвечать «spasiba» поклонникам, заполонившим профиль комментариями на русском.
null