Как крали электронные деньги абонента Билайна и чем все это закончилось

В любой системе безопасности всегда существует самое слабое звено. И это звено — человек. Если этих людей оказывается много, то безопасность становится практически мнимой. При этом, как защитить свои данные полностью — абсолютно непонятно. Пароли крадут. Почтовые ящики взламывают. Документы подделывают. 



История, которая случилась недавно, заставляет нас недоверчиво относится и к «священной корове» современной безопасности — одноразовым паролям, приходящим через SMS на мобильный телефон. Лучше всего о ней расскажут сами участники.

Буквально вчера в Facebook у Анны Знаменской появился пост следующего содержания
Месяц назад неизвестные лица получили мою симкарту в «Билайне» без документов. Пытались вскрыть Яндекс.Кошелек, хакнули все почты, пришлось поменять все банковские карты (Вы представляете, что это такое??) Компания якобы провела расследование и заявила, что «нарушения устранены, виновные привлечены и это никогда не повторится». Мне даже зачислили 2000 рублей на счёт в качестве компенсации (!:)) Однако…

Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю. Проведя вечер субботы в офисе Билайна, и вспомнив всю ненормативную лексику, я заменила симкарту. Наутро, вчера, в 12 часов дня моя сим-карта СНОВА была выдана посторонним лицам в городе Екатеринбурге!!! Я снова приехала в офис Билайна за новой симкой. И… Через 43 минуты (!!) после этого моя карта была вновь выдана в офисе Билайна кому-то, теперь уже в городе Омске!!!

...

Чтобы ты не делал, какие бы защиты не ставил — сотрудники «Билайна» выдают сим-карты своим подельникам. Которые затем получают доступы к электронным кошелькам, почте и банковским эккаунтам. Похоже, что в «Билайне» действует большая преступная группировка, операторы системы по всей стране выдают сим-карты по липовым доверенностям мошенникам, те вскрывают кошельки, деньги пилятся. Говорят, что из Билайна недавно уволили девушку, говорят, что сотрудник получал 2% от добытого.

Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны — Гугл, Яндекс, Мейл, украдены деньги с кошелька. Работают виртуозно: пока я вчера мчалась в офис Билайна в 4-й раз менять симкарту, эти люди успели за 20 минут получить на мой номер новые пароли от почт, зайти туда и ввести новые привязанные телефоны, резервные адреса и даже контрольный вопрос поменять в одном случае(!!) Но на том эпопея не закончилась — к ночи вчера выяснилось, что прежний владелец моего номера обнаружил, что его текущий, уже другой номер, тоже Билайн, не работает. При звонке в компанию он выяснил, что (находясь в Батуми) он произвел замену симкарты вчера днем в… Бинго! — Сибирском регионе Билайна! Тот же сотрудник, что выдал мою карту с разницей в час! 

Конечно, сложно винить в этом технику, она-то как раз работает правильно. Пароли приходят на симку, которая теоретически может оказаться только у владельца. Слабым звеном в цепочке безопасности оказывается человек. 
Понимаете ли Вы, друзья мои, что почта каждого из Вас, восстановление ее пароля, привязано к телефону? Что на свой номер Вы получаете пароли от всех Ваших интернет-банков и карт? Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним — почту, кошелек и все остальное?


Примечательно, что Билайн, в отличие от многих других компаний, оказавшихся в такой же ситуации, не стал «прятать голову в песок», и честно признал наличие проблемы, заодно разъяснив, каким образом все это получилось. 
Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анна Знаменская. Об этом она написала на своей личной странице в Фейсбуке. Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером.

Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены.

Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело.

...

Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов – это не только главный принцип работы, но и вопрос Чести.

Олег Бармин, руководитель службы социальных медиа Билайн 
Увы, полностью обезопаситься от подобных случаев невозможно. Ведь выдает новую сим-карту человек, он же проверяет документы. Система стара как мир.

Конечно, в случае с банковскими картами безопасность можно значительно увеличить, если блокировать переводы из интернет-банка при замене сим-карты. Некоторые российские банки (из известных мне Альфа Банк, Тинькофф) так и поступают. Из-за чего регулярно вызывают на себя потоки гнева граждан, уехавших куда-то в отпускные дали, и не потрудившихся сообщить банку о смене сим-карты.

Но что делать с остальными сервисами? С Гуглом, с ВКонтакте в конце-концов? Все они в той или иной степени подвержены этим атакам. Вопрос открыт, и вряд ли когда-нибудь будет в должной мере решен. Даже появление идентифицирующих чипов, вживляемых человеку, лишь сильно удорожит операцию по подмене, но не сделает ее невозможной. 

Храните деньги в банке.
Об авторе
Отвечаю за техническую часть блогов ixbt.com
Пишите в личку или на e-mail mp на ixbt.com
+4 0 9652 41
Автор mpanius Рейтинг +74.95 Сила 185.39
Блог Информационная безопасность 61 19 RSS

41 комментарий

DesignPC
И вот тут на сцену выходят двух симочные смартфоны :)
Я как раз на этой ситуации еще раз заценил их преимущество.
Привязываешь банковские карты и т.п. к не публичной симке (которую нигде не светишь) и вероятность  таких историй снижается. 
mpanius
И это называется «security through obscurity», что, строго говоря, безопасностью не является. 
К тому же, в этом случае совершенно не спасло бы — злоумышленники явно видели список всех номеров. 
Но на том эпопея не закончилась — к ночи вчера выяснилось, что прежний владелец моего номера обнаружил, что его текущий, уже другой номер, тоже Билайн, не работает.
  
DesignPC
Ну естественно на разных операторах должны быть симки. По крайней мере,  это усложняет взлом. 
Skyworker
у гугл кстати есть двухфаторная авторизация, если она включена топользы от кражи пароля нет, надо еще украсть устройство с которого была успешная авторизация и с которого разрешено авторизироваться дальше…
mpanius
А разрешение авторизоваться куда приходит? Правильно, на SMS. 
Arcanum
Не правильно. Уже неоднократно и ранее описывали угон учётной записи google через смс при двухфакторной авторизации. И поэтому рекомендуется иной способ: google authenticator, который сам на смартфоне выдаёт одноразовые коды.
vadimio2010
Непонятно суперупорство, с которым она продолжала ломиться в этот Билайн. В конце-концов попроси родственника оформить симку на себя, чтобы самой не светиться больше.
Skyworker
дык пароли хотелавостановть по тому-же номеру.
Insider
Самый темный момент истории — что она запретила выдавать симку без спецдействий, и тут же симку новую сделали без этих действий.
mpanius
Ну 'воспользовавшись доверием экс-коллег' написано. Может и они замешаны были, просто пока не поймали.
gps
Интересно, сколько раз её ещё ограбят и в каких городах… Держите в курсе!
Skyworker
кстати сбер например блокирует платежи если симкарта заменена, тоесть если поменял на симку с тем-же номером -она всеравно другая для сбербанка, надо идти лично, перерегистрировать.
DesignPC
Имею московский сбер. Ничего не блокирует.  Несколько раз менял. 
Printerman
Сбер (московский) блокирует мгновенно — по только что выданной карте тут же приходит отказ в обслуживании мобильного банка(и СберОнлайна). После чего приходится долго и тягомотно звонить в Сбер, и доказывать — что ты — это ты. Номера со свежего чека банкомата от карты, данные паспорта с кучей доп. проверок. Может уйти до часа времени. А что делать...
Но это для МТС. Возможно, кто-то и IMSI умеет подделывать, типа «сотрудников некоего сотового оператора, гм» — тогда да — не поможет уже ничего.
Последний раз редактировалось
Zabriski
«Сбер (московский) блокирует мгновенно — по только что выданной карте тут же приходит отказ в обслуживании мобильного банка(и СберОнлайна). После чего приходится долго и тягомотно звонить в Сбер, и доказывать — что ты — это ты.»
Да щаз. У меня на трех аппаратах мобильное приложение от Сбера стоит. На один пластик. И — да, сколько раз менял симки: там всего лишь просят заново привязать устройство. Это делается за три секунды без всяких звонков. Угу. А на одном аппарате ругаются, что рутованное — типа ограничение по переводам. Все там переводится…
Последний раз редактировалось
mpanius
 Точно знаю, что блокирует Альфа. Точно знаю, что не блокирует Уралсиб. Про сбер данные разнятся. Видимо, дело в том, какие настройки установили, а они могут быть разными в зависимости от отделения, сбербанк вообще рыхлая такая штука. 
Rimlyanin
Блокирует наверное если приложение на телефоне стоит? а если без приложения SMS все равно приходит?
mpanius
Нет, в любом случае блокирует. 
Подозреваю, есть какой-то канал получения данных о смене симки от оператора.  
Rimlyanin
Хм, странно, откуда у сторонней организации доступ к реестру MSIN?
mpanius
Подозреваю, есть договоренность с сотовой компанией по получению таких вот триггерных данных. 
Rimlyanin
Вообще, такие данные не должны выходить за пределы информационной сети оператора.
Трезвый эльф
Там вроде намеревается журналистское расследование. Уже подняли все документы, адреса сотрудников, нотариуса выдавшего доверенность, так что запасаемся попкорном.
А ещё было бы неплохо сделать как в Германии, чтобы если человек попался на недобросовестном или халатном отношении к своим обязанностям, то его к подобной работе больше не допускать.
chektor
Истинных хозяев всех компаний, в том числе сотовых, банков и всех, всех, всех, интересует только «прибыль любой ценой»!!! Всё! Работники, как под их непосредственным руководством, так и самых низовых звеньев, видят такое отношение и понимают, что они никто для своих хозяев и, естественно, пытаются заняться тем же — «прибыль любой ценой»! То есть, они не гнушаются криминальных схем, также, как не гнушаются криминала их хозяева!
И что мы хотим в таком случае? Честности? Ну, ну. Это системное поражение. Так сказать, свойство саморепликации правил сверху вниз. И если на самом верху криминал, то он и есть сама система!
Ajinsan
Напомнило историю с Яндекс деньги, они мне заблочили счет типа заботятся о моей безопасности, в итоге мои деньги по договору станут их, хорошо утсроились!.. (… тут много неприличных слов :)… )
Ajinsan
Напомнило историю с Яндекс деньги, они мне заблочили счет, типа заботятся о моей безопасности, что бы я не стал жертвой мошенников, в итоге мои деньги по договору станут их, хорошо устроились!..
Ajinsan
Модераторы добавьте нормальный функционал удалить, редактировать, у вас тут все кривое!..
mpanius
Комментарии можно редактировать в течение 5 минут. Этого достаточно для того, чтобы заметить ошибку. 
Ajinsan
Я говорю кривое. Есть такой термин юзабилити, этот сайт ему не соответствует.
Ajinsan
Раньше мне всегда казалось что на  ixbt самые лучшие програмисты скриптов для браузера, форум идеальный.
Но вот блоги прости меня господи, грешно такое думать даже.
Смотри сам, я пять минут пишу пост, пару минут другой и вернулся дописать чуть, отредактировал, а мне -«ваше время истекло», ну и черт с ним, ан нет волшебная кнопка добавить новый пост с редактированным текстом активна и она его дбавит, новым постом, криво, о даааааа, внешние скрипты это моветон програмирования, удачи.
Люди это гемор но юзайте скриптоловки! вы даже не представляете какое количество бээээ установленно на сайтах, причем абсолютно ненужного.
Блог даже работать не может нормально :)) хахахаха
mpanius
А, так у вас noscript установлен. Ну о чем вы тогда говорите. 
Ajinsan
О том что у вас проблемы милейший, ваш блог импортозависим :))
Ajinsan
О том что у вас проблемы милейший, ваш блог импортозависим :))
В блоге 3 кнопки: написать, лайк и дислайк, что еще надо для… ээ  людей, угадайте за кого нас держут предоставляя такой функционал.
Я пишу не 30 сек, я люблю писать долго ёмко, 5 минут на редактирование  :)) умора.
Истекло время возможности редактирования комментария, как всегда програмист гений :)))

mpanius
На данный момент у нас установлены именно такте правила редактирования комментариев. Возможно, в какой-то момент мы это и поменяем.
Ajinsan
Мне то все равно, ваше дело, но юзабилити тонкая штука.
Ajinsan
Судя по вашим парным коментам, давно пора :)) от души :)))
Последний раз редактировалось
tony1@
Странно вот на днях тоже самое, но по мегафон писали: Мегафон+Яндексденьги = рай для жуликов
 oborot.ru/forum2/about38736.html 

Может заказные статьи, так как вывод в них один не пользуйтесь ЯндексДеньгами?
mpanius
А может это просто об одной и той же дыре писали? 
tony1@
тоесть приступный сговор и в Билайне и в Мегафоне?
mpanius
Почему преступный сговор? Банально недосмотр в организации безопасности
Ajinsan
Банально недосмотр в организации безопасности //
Прикалываешся, какая там безопасность, воруют напропалую все кому не лень и сами яндекс то-же, у них договор такой, они тебе запретили деньгами пользоваться, признают когда захотят неактивным (ту ты же отключен, какая активность :)  ) и через некоторое время твои деньги станут их :) профит, тадам.
Хочешь выдержки письма, забавное чтиво.
К сожалению, мы не имеем права обсуждать конкретные причины, по
которым были вынуждены временно запретить расходные операции именно по Вашему счёту.

Тот факт, что Ваш счёт привлёк внимание Службы безопасности Яндекс.Денег, не означает, что
Вас обвиняют в нарушении каких-то правил.

Мы искренне сожалеем о неудобствах, которые Вам доставила эта вынужденная мера. Надеемся,
что Вы сможете быстро избавиться от ограничений, связанных с приостановкой операций по Вашему счёту (о том, как это сделать, подробно говорилось в предыдущем письме), и продолжите пользоваться нашим сервисом.

То есть я ни в чем не виноват, причины мне не говорят, и искренне ^%#$%^&?: мне сочувствуют, я рыдаю, за мои деньги же мне посочувствовали геи. я рыдаю от восторга!!
Пользуйтесь ЯНДЕКСОМ, удачи!

Добавить комментарий