?

Log in

No account? Create an account
dump -0f - /dev/mind
Я знаю Haskell, OCaml, GSM, эндофункторы и много других страшных слов
Identity theft по-украински 
19th-Dec-2006 11:54 pm
Украинские жулики попробовали на зуб identity theft, а попросту говоря - получение данных, позволяющих успешно выдать себя за другого. Судя по имеющимся у меня сведениям, им понравилось.

Если у вас или ваших знакомых есть SIM-карта (анонимного) предоплаченного сервиса (в просторечии - "припейд") от одного из Украинских операторов с "красивым" номером - читайте и мотайте на ус.

Идея махинации: выдать себя за владельца "красивого" номера и "увести" этот номер (переведя его на свою/новую СИМ-карту), либо же выдать себя за владельца какого угодно номера и что-то сделать с имеющимся балансом предоплаченых услуг.

Способ махинации: использовать дыры в протоколе аутентификации владельца СИМ-карты, самостоятельно создав ложную "историю поведения" СИМ-карты.

А если по-простому?

Можно и по-простому.

Как известно, украинские операторы имеют возможность продавать prepaid подключения на условиях полной анонимности покупателя, и пользуются этим на всю катушку. Правда, в процессе пост-продажного обслуживания клиента у оператора может возникнуть необходимость удостовериться, что перед вами - настоящий владелец той или иной prepaid-ной карточки, причем сама карточка для "инспекции" по каким-то причинам недоступна. Например, в магазин приходит абонент и просит выдать (продать) ему новую SIM-карту взамен утеряной или что-то в этом роде.

Продавец должен удостовериться, что перед ним - легитимный владелец карты, которая (якобы) утеряна. Надежный способ - попросить предъявить чек о покупке стартового пакета и коробку от стартового пакета с наклейкой, на которой указан серийный номер СИМ-карты. Проблема в том, что мало кто хранить такие нужные и полезные в хозяйстве вещи.

При отсутствии коробочки, продавец просит клиента назвать какие-то "секретные" сведения, которые потенциально известны только ему. Например: приблизительную дату покупки/активации стартового пакета, номера 3-5-10 последних звонков или SMS-ов, даты и суммы последних пополнений счета и т.п. Понятное дело, что делается скидка на плохую память клиента - как правило, ему достаточно назвать правильно примерно 70-80% нужной информации, а 20-30% ошибок спишут на склероз :)

Что делают мошенники? Они звонят жертве и посылают ей SMS-ы, как правило - уговаривая под тем или иным предлогом перезвонить им или на указаный им номер; пополняют счет жертвы небольшим суммами денег (замечательно проходят темы вроде: "позвони нам, а мы дадим тебе 10 грн!" ... "вот видишь, мы не врем! позвони еще раз"). После того, как злоумышленники создали достаточно длинную "историю", известную и им, и жертве, они идут в магазин оператора и выдают себя за владельца СИМ-карты. По требованию продавца, они называют номера, с которых и на которые были звонки, даты и суммы пополнений, время и кол-во отправленых SMS и т.п.

По-хорошему, продавцы должны проверять только знание "истории" событий, инициируемых клиентом (т.е. список не всех звонков, а только исходящих; не всех пополнений, а только с номера абонента). Но во-первых так происходит не всегда, а во-вторых злоумышленники могут легко обойти такое ограничение, если жертва "играет им на руку" и звонит по указаным номерам или сама пополняет счет с помощью присланных номеров/кодов ваучеров.

Зачем такие сложности? Неужели овчинка стоит выделки?

Вбейте в ваш любимый поисковик что-то вроде "красивые номера site:ua", и убедитесь в наличии предложения, которого не было бы, не будь спроса.

Вот такие дела.

Тривиальный способ не стать жертвой - очевиден. Достаточно не бросаться на дармовщину. Нетривиальный способ заключается в том, чтобы воспользоваться предложением перестать быть анонимным и сообщить оператору свои паспортные данные (если оператор это позволяет). Как правило, в обмен на подобную "регистрацию" вы получите какой-то бонус и регулярный бумажный/электронный спам в ваш адрес, но наличие у оператора ваших данных либо предотвратит подобное мошенничество, либо позволит пост-фактум подать жалобу и восстановить справедливость.
Comments 
19th-Dec-2006 10:04 pm (UTC)
А разве кто-то кроме UMC еще предлогает регистрацию препейдов ?
19th-Dec-2006 10:08 pm (UTC)
Когда-то было у KS. Сплыло?
19th-Dec-2006 10:06 pm (UTC)
а продавцы разве не пытаются перезвонить по "утерянному" номеру?
19th-Dec-2006 10:08 pm (UTC)
Это должны быть очень сознательные продавцы.
19th-Dec-2006 10:58 pm (UTC)
Ну сейчас и на контракт перелезть не проблема.
20th-Dec-2006 07:59 am (UTC)
Красиво.
Я тут в Москве стал замечать нелогичные действия странных людей. Вроде как не соответствуют ни одной знакомой схеме, но и в альтруизм я не верю...
20th-Dec-2006 08:44 am (UTC)
Вот ведь как! А я-то не понимал во всей полноте, зачем в российском законодательстве так беспардонно обязывают регистировать все номера по номеру паспорта. Есть от этого и прок, оказывается.
20th-Dec-2006 11:24 am (UTC)
Ну, требование не подключать без пасспорта явно исходит от налоговиков или ФСБ (насколько мне рассказывали коллеги - это же не блажь оператора, а законодательное требование). Но честному абоненту от этого есть прок, да.
20th-Dec-2006 08:51 am (UTC)
о, а я і не знав, що Google розуміє команду за маскою "site:ua", був переконаний, що працює лише маска по імені одного заданого сайту, типу "site:http://www.adobe.com"
20th-Dec-2006 02:26 pm (UTC)
гугл розуміє inurl:.ua, наприклад
20th-Dec-2006 09:51 am (UTC)
Какая красивая спецоперация КГБ по отмене анонимности припейдов!
Браво, КГБ!
20th-Dec-2006 11:13 pm (UTC)
Здрасьте, обычный social engineering плюс дырки в протоколе.

Или таки ещё надо примеров несовершенства мира? :)
(Deleted comment)
20th-Dec-2006 02:28 pm (UTC)
увести красивый номер - мотив понятный,
оставить свой номер за собой - тоже мотив понятный (если у вас в зап.книжке куча народу, и всем нужно дать новый номер - покупать новый ужас как некомфортно)
(Deleted comment)
(Deleted comment)
20th-Dec-2006 04:32 pm (UTC)
В КС такая фича не проходит.
Тут замену делает только сотрудник компании, а не продавец- дилер, и соответсвенно, перезванивает, удостоверяется, берет паспортніе даннные и т.п.
По крайней мере так должно быть :)
20th-Dec-2006 10:42 pm (UTC)
Ну так и в UMC по идее должно быть так же ;)
This page was loaded Oct 19th 2018, 7:47 am GMT.