Ми використовуємо файли cookie на веб-сайті, щоб забезпечити найкращу взаємодію з користувачем при безпечному перегляді. Специфікація
Під час епідемії коронавірусу ми неодноразово звертали увагу на шахрайство в Інтернеті, яке може завдати серйозної фінансової шкоди. Кіберзлочинці все ще намагаються скористатися необережністю користувачів мережі, реагуючи на листи наших пошкоджених читачів, ми вже писали про те, що можна зробити, коли трапиться біда. Однак, щодо обміну SIM-картками, коли підготовлений та спланований шахрай відіграє свою жертву через постачальника послуг мобільного зв'язку, відносно мало говорять.
У цьому випадку злочинець запитує номер телефону обраної особи на нову SIM-карту, видаючи себе за жертву.
Потім злочинець бере під свій контроль номер нашого телефону таким чином, що в реальному житті нам навіть не доводиться з ним зустрічатися, крадіжка нашого пристрою не потрібна для серйозних зловживань. У повсякденному житті буває багато випадків, коли ми самі просили б замінити маленьку пластикову картку, заховану в нашому мобільному телефоні: ми загубили телефон або, наприклад, купили нову, але розмір картки не підходить у новому пристрої. Або ми просто знайшли пошкоджену або кращу пропозицію від іншого постачальника. У випадку шахрайства із заміною SIM-картки злочинці також побивають постачальників послуг.
Заміна SIM-карт є досить складною формою атаки, яка, на нашу думку, існує лише у фільмах, але аж ніяк не така: з 2015 року кількість таких типів атак зросла вчетверо. Все частіше цілями стають ті, хто працює у криптовалютному секторі, але і звичайні люди тягнуться до грошей, які заощадили роками. Найвідомішому хакеру, який заробляв таким чином гроші, 21 рік Джоель Ортіс був той, хто зібрав 7,5 мільйона доларів з понад 40 цільових показників і, отже, отримав 10 років в'язниці.
Якщо ми думаємо, що гаманці угорців не так сильно збуджують уяву негідників, ми помиляємось. Наприкінці березня ми повідомили про випадок з Аттілою, який готувався купити будинок і життя якого стало кошмаром, оскільки йому було завдано шкоди на 30 мільйонів форинтів. Незважаючи на те, що досі існує багато питань щодо справи Аттіли, а деталі розслідування невідомі, експерт з питань безпеки, який сказав нашому виданню, сказав, що, здається, найімовірніше, що він теж став жертвою шахрайства з SIM-карткою. Ви можете прочитати нашу статтю про справу тут.
Як ти це приймаєш?
Важливим елементом процесу є персоніфікація цілі. Починається з того, що шахрай збирає багато особистої інформації про свою жертву - навіть через фішингові електронні листи - а потім зв’язується з цільовим постачальником, яким вони володіють.
Шахрай практично персоналізує свою жертву та повідомляє постачальника послуг, що його телефон загублений або пошкоджений, тому йому негайно потрібна нова SIM-карта
Він розповів нашій газеті раніше Іштван Чізмація-Дараб, Експерт з ІТ-безпеки Sicontact Kft., Який представляє безпекову компанію ESET в Угорщині.
Зв’язок можна здійснити по телефону, в Інтернеті або, сміливіше, особисто в магазині. Цю процедуру зазвичай можна здійснити з-за кордону по телефону, і в цьому випадку служба обслуговування клієнтів попросить персональну інформацію для ідентифікації. В принципі, процес в Угорщині вимагатиме особистого управління, але легко уявити, що в деяких випадках вони готові це зробити по телефону. І тим більше в часи епідемії коронавірусу, оскільки люди воліють керувати своїми справами в Інтернеті.
Якщо це вдається отримати нову SIM-карту, телефон жертви більше не зможе підключитися до мережі зі старою SIM-карткою, а шахрай також отримає SMS-повідомлення для жертви. Серед іншого, одноразові банківські паролі, надіслані потерпілому, будуть запускатись, що дозволить їм отримати доступ до свого банківського рахунку, а потім розпочати прослуховування грошей.
За словами експерта, банки працюють за такими суворими та регулярно перевіряними правилами, що всі операції можна перевірити ретроспективно з журналів, щоб простежити підозрілий грошовий потік або його перші кроки. У випадку з Аттілою OTP повернув суму.
Як захищатися?
Перший крок у ретельно спланованому шахрайстві полягає в тому, щоб шахрай намагався зібрати якомога більше особистої інформації про ціль за допомогою так званих методів соціальної інженерії. Згідно зі статтею в Telegraph, для більшої кількості фрикційних зловмисників достатньо лише трьох ключових особистих даних про нас, щоб отримати доступ до наших рахунків, кредитних карток або мобільних телефонів.
Поєднанням імені, дати народження, адреси вони можуть починатися в багатьох місцях, особливо якщо вони доповнюються інформацією, знайденою на сайтах соціальних мереж, яка залишається там недбало. Тож, можливо, ви захочете зробити більшість цих даних приватними чи ні.
У той же час важливо мати широкий асортимент матеріалів, доступних шахраям, щоб винюхувати більше інформації: фішинг електронних листів, текстових повідомлень, телефонних дзвінків і навіть придбання викрадених пакетів даних через форуми в темній мережі. А поділившись інформацією, яка ділиться з громадськістю та видимою для облікових записів соціальних мереж, ви можете легко вгадати відповіді на питання безпеки, які стосуються дня народження, домашньої тварини або улюбленої спортивної команди.
Оскільки цей тип атаки значною мірою покладається на особисту інформацію, яку ми отримуємо, ми повинні бути особливо обережними з інформацією, яку зловмисник може використовувати для видання нас за постачальника послуг. Ніколи не публікуйте нашу точну адресу, дату народження, домашню адресу чи фотографії наших документів, оскільки це інформація, яка вже може бути використана для фальсифікації широко розповсюдженого дозволу.
Він радить з цього приводу Йозеф Макай експерт з кібербезпеки, етичний хакер. Він говорить:
Слід також очікувати фішингових атак, які можуть надходити через телефонні запити чи електронні листи. Ми ніколи не повинні розголошувати свою особисту інформацію тим, хто не може довести свою особу поза розумним сумнівом. Електронне повідомлення, яке виглядає офіційним, може бути навіть фальшивим, і людина, що знаходиться на іншому кінці телефонної лінії, може бути не впевнена, що насправді зв’язується з нами від імені нашого постачальника послуг щодо узгодження даних - навіть якщо ви змогли спеціально надати деякі наші особисті дані.
Коли хтось запитує особисту інформацію, будь то від імені постачальника послуг, банку, податкового органу, ми завжди повинні бути підозрілими. Час від часу подібні кампанії поширюються в угорській мережі.