Dmitry Astapov (_adept_) wrote,
Dmitry Astapov
_adept_

Category:

Identity theft по-украински

Украинские жулики попробовали на зуб identity theft, а попросту говоря - получение данных, позволяющих успешно выдать себя за другого. Судя по имеющимся у меня сведениям, им понравилось.

Если у вас или ваших знакомых есть SIM-карта (анонимного) предоплаченного сервиса (в просторечии - "припейд") от одного из Украинских операторов с "красивым" номером - читайте и мотайте на ус.

Идея махинации: выдать себя за владельца "красивого" номера и "увести" этот номер (переведя его на свою/новую СИМ-карту), либо же выдать себя за владельца какого угодно номера и что-то сделать с имеющимся балансом предоплаченых услуг.

Способ махинации: использовать дыры в протоколе аутентификации владельца СИМ-карты, самостоятельно создав ложную "историю поведения" СИМ-карты.

А если по-простому?

Можно и по-простому.

Как известно, украинские операторы имеют возможность продавать prepaid подключения на условиях полной анонимности покупателя, и пользуются этим на всю катушку. Правда, в процессе пост-продажного обслуживания клиента у оператора может возникнуть необходимость удостовериться, что перед вами - настоящий владелец той или иной prepaid-ной карточки, причем сама карточка для "инспекции" по каким-то причинам недоступна. Например, в магазин приходит абонент и просит выдать (продать) ему новую SIM-карту взамен утеряной или что-то в этом роде.

Продавец должен удостовериться, что перед ним - легитимный владелец карты, которая (якобы) утеряна. Надежный способ - попросить предъявить чек о покупке стартового пакета и коробку от стартового пакета с наклейкой, на которой указан серийный номер СИМ-карты. Проблема в том, что мало кто хранить такие нужные и полезные в хозяйстве вещи.

При отсутствии коробочки, продавец просит клиента назвать какие-то "секретные" сведения, которые потенциально известны только ему. Например: приблизительную дату покупки/активации стартового пакета, номера 3-5-10 последних звонков или SMS-ов, даты и суммы последних пополнений счета и т.п. Понятное дело, что делается скидка на плохую память клиента - как правило, ему достаточно назвать правильно примерно 70-80% нужной информации, а 20-30% ошибок спишут на склероз :)

Что делают мошенники? Они звонят жертве и посылают ей SMS-ы, как правило - уговаривая под тем или иным предлогом перезвонить им или на указаный им номер; пополняют счет жертвы небольшим суммами денег (замечательно проходят темы вроде: "позвони нам, а мы дадим тебе 10 грн!" ... "вот видишь, мы не врем! позвони еще раз"). После того, как злоумышленники создали достаточно длинную "историю", известную и им, и жертве, они идут в магазин оператора и выдают себя за владельца СИМ-карты. По требованию продавца, они называют номера, с которых и на которые были звонки, даты и суммы пополнений, время и кол-во отправленых SMS и т.п.

По-хорошему, продавцы должны проверять только знание "истории" событий, инициируемых клиентом (т.е. список не всех звонков, а только исходящих; не всех пополнений, а только с номера абонента). Но во-первых так происходит не всегда, а во-вторых злоумышленники могут легко обойти такое ограничение, если жертва "играет им на руку" и звонит по указаным номерам или сама пополняет счет с помощью присланных номеров/кодов ваучеров.

Зачем такие сложности? Неужели овчинка стоит выделки?

Вбейте в ваш любимый поисковик что-то вроде "красивые номера site:ua", и убедитесь в наличии предложения, которого не было бы, не будь спроса.

Вот такие дела.

Тривиальный способ не стать жертвой - очевиден. Достаточно не бросаться на дармовщину. Нетривиальный способ заключается в том, чтобы воспользоваться предложением перестать быть анонимным и сообщить оператору свои паспортные данные (если оператор это позволяет). Как правило, в обмен на подобную "регистрацию" вы получите какой-то бонус и регулярный бумажный/электронный спам в ваш адрес, но наличие у оператора ваших данных либо предотвратит подобное мошенничество, либо позволит пост-фактум подать жалобу и восстановить справедливость.
Tags: gsm
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 38 comments