?

Log in

No account? Create an account
dump -0f - /dev/mind
Я знаю Haskell, OCaml, GSM, эндофункторы и много других страшных слов
Identity theft по-украински 
19th-Dec-2006 11:54 pm
Украинские жулики попробовали на зуб identity theft, а попросту говоря - получение данных, позволяющих успешно выдать себя за другого. Судя по имеющимся у меня сведениям, им понравилось.

Если у вас или ваших знакомых есть SIM-карта (анонимного) предоплаченного сервиса (в просторечии - "припейд") от одного из Украинских операторов с "красивым" номером - читайте и мотайте на ус.

Идея махинации: выдать себя за владельца "красивого" номера и "увести" этот номер (переведя его на свою/новую СИМ-карту), либо же выдать себя за владельца какого угодно номера и что-то сделать с имеющимся балансом предоплаченых услуг.

Способ махинации: использовать дыры в протоколе аутентификации владельца СИМ-карты, самостоятельно создав ложную "историю поведения" СИМ-карты.

А если по-простому?

Можно и по-простому.

Как известно, украинские операторы имеют возможность продавать prepaid подключения на условиях полной анонимности покупателя, и пользуются этим на всю катушку. Правда, в процессе пост-продажного обслуживания клиента у оператора может возникнуть необходимость удостовериться, что перед вами - настоящий владелец той или иной prepaid-ной карточки, причем сама карточка для "инспекции" по каким-то причинам недоступна. Например, в магазин приходит абонент и просит выдать (продать) ему новую SIM-карту взамен утеряной или что-то в этом роде.

Продавец должен удостовериться, что перед ним - легитимный владелец карты, которая (якобы) утеряна. Надежный способ - попросить предъявить чек о покупке стартового пакета и коробку от стартового пакета с наклейкой, на которой указан серийный номер СИМ-карты. Проблема в том, что мало кто хранить такие нужные и полезные в хозяйстве вещи.

При отсутствии коробочки, продавец просит клиента назвать какие-то "секретные" сведения, которые потенциально известны только ему. Например: приблизительную дату покупки/активации стартового пакета, номера 3-5-10 последних звонков или SMS-ов, даты и суммы последних пополнений счета и т.п. Понятное дело, что делается скидка на плохую память клиента - как правило, ему достаточно назвать правильно примерно 70-80% нужной информации, а 20-30% ошибок спишут на склероз :)

Что делают мошенники? Они звонят жертве и посылают ей SMS-ы, как правило - уговаривая под тем или иным предлогом перезвонить им или на указаный им номер; пополняют счет жертвы небольшим суммами денег (замечательно проходят темы вроде: "позвони нам, а мы дадим тебе 10 грн!" ... "вот видишь, мы не врем! позвони еще раз"). После того, как злоумышленники создали достаточно длинную "историю", известную и им, и жертве, они идут в магазин оператора и выдают себя за владельца СИМ-карты. По требованию продавца, они называют номера, с которых и на которые были звонки, даты и суммы пополнений, время и кол-во отправленых SMS и т.п.

По-хорошему, продавцы должны проверять только знание "истории" событий, инициируемых клиентом (т.е. список не всех звонков, а только исходящих; не всех пополнений, а только с номера абонента). Но во-первых так происходит не всегда, а во-вторых злоумышленники могут легко обойти такое ограничение, если жертва "играет им на руку" и звонит по указаным номерам или сама пополняет счет с помощью присланных номеров/кодов ваучеров.

Зачем такие сложности? Неужели овчинка стоит выделки?

Вбейте в ваш любимый поисковик что-то вроде "красивые номера site:ua", и убедитесь в наличии предложения, которого не было бы, не будь спроса.

Вот такие дела.

Тривиальный способ не стать жертвой - очевиден. Достаточно не бросаться на дармовщину. Нетривиальный способ заключается в том, чтобы воспользоваться предложением перестать быть анонимным и сообщить оператору свои паспортные данные (если оператор это позволяет). Как правило, в обмен на подобную "регистрацию" вы получите какой-то бонус и регулярный бумажный/электронный спам в ваш адрес, но наличие у оператора ваших данных либо предотвратит подобное мошенничество, либо позволит пост-фактум подать жалобу и восстановить справедливость.
Comments 
19th-Dec-2006 10:08 pm (UTC)
Это должны быть очень сознательные продавцы.
19th-Dec-2006 10:17 pm (UTC)
это простейший способ удостовериться, 60-70%
и быстрейший
к чему тогда эти сложности с номерами последними?

если же продавцы в сговоре с identity thiev'ом
тем более непонятно
20th-Dec-2006 08:24 am (UTC)
Непонятно вот что. Допустим, у человека типа украли номер. Что он будет делать? Пойдёт ругаться в центр обслуживания. И там он может предъявить свою сим-карту, номер которой, насколько я понимаю, ранее ассоциировался в базе данных оператора с "украденным" номером. И что ему скажут? "Вы, батенька, эту сим-карту, наверное, нашли на улице или украли -- подите прочь, пока мы милицию не вызвали?!"
20th-Dec-2006 09:09 am (UTC)
Ну, я думаю, что в таком случае можно попробовать предъявить еще и кусок пластмассы из которого выламывается сим-карта.
20th-Dec-2006 11:42 am (UTC)
Ну да, если "корешок" остался, то конечно.
Но в общем случае: если есть два претендента на один номер, и у одного в руках знание истории трансакций, а у другого сим-карта (даже без корешка) и знание истории трансакций, то, как говорится, со Словом Божьим и с пистолетом можно добиться несколько большего, чем с одним только Словом Божьим...
20th-Dec-2006 12:43 pm (UTC)
Можно, да. Но вероятность успеха - далеко не 100%. Особенно, если жульничество произошло в одном городе. а жалуется жертва в другом, например.
20th-Dec-2006 11:23 am (UTC)
Да, может быть и такое. Не факт, что так и будет, но вполне может быть.
20th-Dec-2006 11:22 am (UTC)
Я забыл в посте прямым текстом написать, что такие косвенные способы используются для идентификации в случае, когда симка недоступна, каюсь. Исправил пост.

Так вот, допустим, приходит человек и говорит, что его СИМ - украден. Допустим, что он жулик, и реально СИМ не украден, а у законного владельца. Продавец звонит по указаному номеру, там говорят - "да вы что! это мой номер!", а жулик на месте говорит: "нет! это мой номер!".

Кому должен верить продавец (если паспортных данных владельца - нет)? :) Вот они и не заморачиваются вниканием в тонкости. Пришел человек, назвал все по процедуре - значит, хозяин.
This page was loaded Oct 14th 2019, 8:07 pm GMT.