Author

Topic: SIM-свопинг (Read 492 times)

legendary
Activity: 2058
Merit: 1257
⭐⭐⭐⭐⭐⭐
February 23, 2020, 10:10:24 AM
#29
*

Если речь о бесплатных номерах, то это вообще веселая история:
 - во-первых, ряд сервисов не требует регистрации и все СМС-ки, приходящие на бесплатные номера, вывешивает в веб-интерфейсе прямо на главной странице; думаю, можно не пояснять, что такие СМС-ки может увидеть кто угодно - и попутно еще собрать интересную статистику об использовании Вами разных сервисов;
 - во-вторых, некоторые сервисы накладывают ограничения на такие номера (например, лимитируют количество приходящих СМС или и вовсе выдают номерок минут так на 20).

Но самое главное - если Вы когда-нибудь по какой-то причине потеряете свой аккаунт и захотите его восстановить, и платные, и бесплатные сервисы вряд ли захотят Вам помочь. Этот бизнес все-таки стоит одной ногой в "теневом" сегменте - следует учитывать это.

Ссылки по теме:
Зачем нужны сервисы приема SMS и с чем их едят
Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах
+1
Еще бы хотелось услышать про сервисы, где можно отправлять смс, не только принимать. Тоже иногда пригождается.
И тут правильно пишут что смс - это двухэтапная, а 2ФА (тот же гугл аутентикатор) - двухфакторная авторизация, не надо путать. Если грубо сравнивать, то это как почта на мейл.ру и на гугле будет по безопасности
На днях произошло очередное хищение крипты при помощи SIM-свопинг:
https://forklog.com/sim-svopery-pohitili-u-bitkoin-kita-45-mln-v-btc-i-bch/
К сожалению автор-жертва не указал на каком ресурсе произошла потеря.



по первому случаю вообще ситуация интересная: https://bitcointalksearch.org/topic/m.53893831
legendary
Activity: 2520
Merit: 1218
February 23, 2020, 08:26:40 AM
#28
Мне звонили и звонили с германских номеров в январе. Я только раз трубку поднял. Чего то предложили трейдить где-то у них. Потом я все остальные банил и трубку не снимал.

Им вроде надо три раза трубку поднять чтоб можно бежать в салон связи и на себя карту оформлять

Так вот почему звонят левые иностранные номера... У меня было похожее, звонит зарубежный номер, сбросил, звонит тут же номер из друго страны, сбросил опять звонок. И так в течении минуты разные номера пробовали дозвониться. Подобное происходит раз в пол года на протяжении последних 3 лет.
sr. member
Activity: 1736
Merit: 254
February 23, 2020, 06:04:06 AM
#27
Мне звонили и звонили с германских номеров в январе. Я только раз трубку поднял. Чего то предложили трейдить где-то у них. Потом я все остальные банил и трубку не снимал.

Им вроде надо три раза трубку поднять чтоб можно бежать в салон связи и на себя карту оформлять
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
February 23, 2020, 01:51:51 AM
#26
~
P.S.
Недавно писали, что вроде бы в Штатах арестован хакер, укравший с использованием SIM-свопинга ~ $50 млн.
в крипте. Он что, настолько гениален, что действовал в одиночку?))))
Там был не один человек, а целая банда, занимавшаяся ичключительно кражами через SIM-своппинг. Для таких атак будут идеальной целью люди, которые хрвнят миллионы под защитой SMS-сообщения. Иногда становится непонятно, почему люди, сумевщие заработать огромные деньги не могут обеспечить их сохранность должным образом. Ведь обеспечение безопасности - это один из главных критериев сохранения богатства, а так получается им просто везло. Либо новые технологии и криптовалюты пришли настолько быстро, что многие не научились обеспечивать безопасность в сети, а остались во временах где богатства хранились в онромных сейфах.
sr. member
Activity: 1337
Merit: 288
0xbt
February 22, 2020, 05:53:02 PM
#25
На днях произошло очередное хищение крипты при помощи SIM-свопинг:
https://forklog.com/sim-svopery-pohitili-u-bitkoin-kita-45-mln-v-btc-i-bch/
К сожалению автор-жертва не указал на каком ресурсе произошла потеря.

Ранее другой автор более подробно изложил историю своей утраты с хронологией событий
и самой схемой атаки:
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124



Как видно из хронологии, атака поисходила в ночное время, когда нормальные )) люди спят.
Т.е. заявка на новую sim происходила ранее, а подмена-активация позднее?
(надо бы поинтересоваться у провайдеров)
 
Следующие вопросы:
- правильный @(а у многих из нас до 10 ящиков)?
- правильный № телефона?
- И самый главный - как атакующие узнали, что именно у данного лица немалая сумма крипты?

Откуда берется данная информация?

И здесь похоже на один ответ:
Утечка базы данных или инсайд лица, имеющего доступ к подобной информации.
Кстати, многие пользователи данного форума оставили свои данные на BTC-e, которые WEX.
А некоторые прошли там KYC, использовали 2-х ф-ю а-ю.
Не удивлюсь если они используют эти же данные и на других обменах,
в том числе и тот же пароль((( и с этими же данными регистрируются на новых, непроверенных,
но разрекламированных ресурсах, которые завлекают пользователей всякими-там плюшками.
(а на самом деле они лишь собирают информацию)
А где эта база данных, WEXа...?
Позже мы здесь читаем, как ту или иную довольно серьезную биржу обвиняют в воровстве, таких тем немало.)))

Можно данную тему развивать и дальше, но пожалую не буду выкладывать свои дальнейшие,
возможно бестолковые мысли)))

P.S.
Недавно писали, что вроде бы в Штатах арестован хакер, укравший с использованием SIM-свопинга ~ $50 млн.
в крипте. Он что, настолько гениален, что действовал в одиночку?))))



sr. member
Activity: 1232
Merit: 280
January 31, 2020, 02:29:59 PM
#24

Приложения для 2FA (типа Google Authenticator или Authy) абсолютно автономны. Они работают по схожему алгоритму и пекутся только о правильных настройках даты и времени и заряде аккумулятора - им не нужно ни подключение к интернету, ни оплаченная мобильная связь. Вы можете установить приложение на планшет или смартфон, дать ему токен, а затем отключить на гаджете вайфай, вынуть симку и засунуть его в самый темный угол - и приложение все равно будет исправно поставлять Вам коды.

коды будут правильными до тех пор пока не собьется синхронизация по времени и походу без вайфая или симки она собьется очень быстро.
У меня есть старый телефон без инета как раз для кодов, время года за пол никак не сбилось и ни разу его не корректировал вручную, ну может разве что на секунды какие-то но это не помеха для 2фа кодов ведь там 30 секунд на код.
legendary
Activity: 2317
Merit: 2318
January 29, 2020, 04:55:38 AM
#23
Что делать в случае такого сбоя? Как обратно синхронизировать время устройства и время запрашиваемого код сервера?

Просто надо установить точное время на устройстве. Либо вручную, либо автоматически через Интернет.
legendary
Activity: 2520
Merit: 1218
January 29, 2020, 04:52:25 AM
#22
Что делать в случае такого сбоя? Как обратно синхронизировать время устройства и время запрашиваемого код сервера?
hero member
Activity: 1358
Merit: 635
January 29, 2020, 04:38:20 AM
#21

Приложения для 2FA (типа Google Authenticator или Authy) абсолютно автономны. Они работают по схожему алгоритму и пекутся только о правильных настройках даты и времени и заряде аккумулятора - им не нужно ни подключение к интернету, ни оплаченная мобильная связь. Вы можете установить приложение на планшет или смартфон, дать ему токен, а затем отключить на гаджете вайфай, вынуть симку и засунуть его в самый темный угол - и приложение все равно будет исправно поставлять Вам коды.

коды будут правильными до тех пор пока не собьется синхронизация по времени и походу без вайфая или симки она собьется очень быстро.
hero member
Activity: 504
Merit: 732
January 28, 2020, 04:34:35 AM
#20
Как вам вариант получить официальный виртуальный номер?

В случае со всеми этими аутентификациями и проверками главный вопрос такой: необходимо ли посредничество третьих лиц для самой генерации и получения проверочного кода?
Приложения для 2FA (типа Google Authenticator или Authy) абсолютно автономны. Они работают по схожему алгоритму и пекутся только о правильных настройках даты и времени и заряде аккумулятора - им не нужно ни подключение к интернету, ни оплаченная мобильная связь. Вы можете установить приложение на планшет или смартфон, дать ему токен, а затем отключить на гаджете вайфай, вынуть симку и засунуть его в самый темный угол - и приложение все равно будет исправно поставлять Вам коды. (Для нелюбителей приложений и определенных алгоритмов есть, впрочем, и другие варианты.)
Возможно ли что-то похожее в случае с 2SV (аутентификация по СМС)? Очевидно, нет, потому что Вам понадобится оператор связи, который как бы встанет между Вами и тем ресурсом, доступ на который Вы защищаете, дабы пересылать проверочные коды на Ваш телефон. Соответственно, мы имеем все условия для атаки посредника, когда кто-то имеет возможность вклиниться между Вами и сервером и перехватить корреспонденцию. (И таких возможностей на самом деле довольно много: тут, фактически, все узлы могут быть уязвимы.)

Виртуальные номера в том же Viber'е не существуют в вакууме - они предоставляются и обслуживаются все той же третьей стороной и привязаны все к тому же реальному номеру мобильника. Т.е. это может помочь, если Вам надо, например, опять зарегистрироваться на каком-то сервисе, а все мобильники знакомых уже кончились. Или если надо зарегистрироваться, а не хочется "светить" реальный номер. Или вообще если не хочется "светить" реальный номер, а какой-то номер кому-то дать нужно. Но в плане пересылки проверочных кодов здесь все то же самое - со всеми сопутствующими рисками.



Чтобы далеко не ходить, допишу и про "неофициальные" виртуальные номера. В интернете есть сервисы, предоставляющие их на платной и бесплатной основе. В основном они используются во всякого рода мошенничестве и прочей "нечестной игре", а потому зачастую находятся на плохом счету у тех сервисов, доступ к которым мы в конечном счете и защищаем. Используя такой номер, можно прежде всего напороться на блокировку учетки. Но это еще не все.

Если речь о платных номерах, то они веб-сервисами как правило выдаются в аренду. Это значит, что, по истечении некоего времени, этот же номер может перейти какому-то другому лицу, в том числе и Вашему другу-хакеру - и плакал Ваш аккаунт горькими слезами (если Вы, конечно, не нашли способ отвязать его от номера или установить иные способы подтверждения).

Если речь о бесплатных номерах, то это вообще веселая история:
 - во-первых, ряд сервисов не требует регистрации и все СМС-ки, приходящие на бесплатные номера, вывешивает в веб-интерфейсе прямо на главной странице; думаю, можно не пояснять, что такие СМС-ки может увидеть кто угодно - и попутно еще собрать интересную статистику об использовании Вами разных сервисов;
 - во-вторых, некоторые сервисы накладывают ограничения на такие номера (например, лимитируют количество приходящих СМС или и вовсе выдают номерок минут так на 20).

Но самое главное - если Вы когда-нибудь по какой-то причине потеряете свой аккаунт и захотите его восстановить, и платные, и бесплатные сервисы вряд ли захотят Вам помочь. Этот бизнес все-таки стоит одной ногой в "теневом" сегменте - следует учитывать это.

Ссылки по теме:
Зачем нужны сервисы приема SMS и с чем их едят
Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах
legendary
Activity: 2520
Merit: 1218
January 28, 2020, 03:51:59 AM
#19
Интересная статья, спасибо. Получается весь сим-свопинг завязан на некомпетентности менеджера мобильного оператора. И единственный шанс поймать/идентифицировать мошенника - в момент получения им симки в салоне моб связи.
sr. member
Activity: 994
Merit: 260
January 28, 2020, 03:10:41 AM
#18
Давно слышал о том, что двух-факторная авторизация при помощи СМС-сообщений не самый лучший вариант. Сим-карту, даже если отбросить случаи мошенничества, сотовый оператор может заблокировать через какое-то время и продать другому человеку, если ей не пользоваться . Есть и другие, более надежные способы аутентификации.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
January 28, 2020, 01:18:01 AM
#17
Как вам вариант получить официальный виртуальный номер? Например, Skype, Viber и другие позволяют подключать виртуальные номера. Что думаете по этому поводу?
Вариантов может быть куча, самым разумным будет отказаться от регистрации или аутентификации по номеру телефона. Если вы станете целью злоумышленника, то никакие виртуальные номера не помогут. Существуют программв по перехвату смс-сообщений, ему не нужно будет добывать даже сим-карту, но если большие деньги на кону, то можно моздать даже клон сим-карты с вашим виртуальным номером. Не знаю, пользуются сейчас еще скайпом, но вот в случае вайбера преступник сможет найти лазейки, если его цель оправдывает средства. Сначала, он скопируют вашу симку с настоящим номером (ведь большинство таких мессенджеров привязаны к телефону, даже "суперприватные" Signal и Telegram), потом уже получит доступ к вашим остальным телефонам и все усилия станут напрасными.

Какая логика должна работать в случае криптовалютных средств: вы должны иметь контроль над своими приватными ключами, не доверять никаким третьим сторонам и посредникам, всю информацию нужно хранить в зашифрованном, а не открытом (публичном виде). При использовании телефонных номеров никакие из этих принципов не работают, логичней будет убрать этот способ из цепочки.
copper member
Activity: 728
Merit: 12
January 27, 2020, 06:30:28 PM
#16
Как вам вариант получить официальный виртуальный номер? Например, Skype, Viber и другие позволяют подключать виртуальные номера. Что думаете по этому поводу?
sr. member
Activity: 1337
Merit: 288
0xbt
January 25, 2020, 06:17:12 PM
#15
Нашел у себя в телефоне слот для второй сим карты..............
А мож и правда, для фин. операций следует оформлять оттдельную SIM карту,...........
но как следует из новостей,, вся информация продается.
И по этому я отказался от 2-х факторной, хрен его знает,,,,,,,
Лучше проще, да потерь меньше, раскидал я крипту по разным............
legendary
Activity: 1330
Merit: 1681
January 24, 2020, 03:22:11 AM
#14
Для правильного хранения пароля на любом открытом ресурсе, включая облако - можно засунуть резервную копию в контейнер, например:
https://www.veracrypt.fr/en/Home.html

И да, не каждое облако может хорошо отнестись к зашифрованной информации, поэтому лучше сделать несколько бэкапов и использовать разные облака.
hero member
Activity: 504
Merit: 732
January 24, 2020, 03:05:16 AM
#13
всегда дублируйте резервные коды от всех мест где используете Google Authenticator

Некоторые из аналогичных приложений (например, Authy или Яндекс.Ключ) позволяют сохранять резервные копии токенов в облако. И хоть лично я не в восторге от идеи хранения чего угодно паролеобразного в облаках (т.е. у третьих лиц) - даже при условии установки пароля, - для кого-то такое решение может быть удобным. Ну, а самый простой способ - сохранять скриншот QR-кода, который генерируется в момент установки 2FA.
copper member
Activity: 728
Merit: 12
January 23, 2020, 05:50:17 PM
#12
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.
Если все эти меры соблюдать, то можно спать спокойно, но большинство мошенников используют не какие-то хакерские супер приборы или методы, а обычную и проверенную временем социальную инженерию. Только если в классической схеме жертва обрабатывается мошенником напрямую, то в вышеупомянутой ситуации мошенником обрабатывается третье лицо, представитель услуг связи. И пусть биржи придумают ещё с десяток способов защиты, всегда самой большой дырой будет оставаться человек.

п.с. Google Authenticator хорошая штука...  до того момента, как на нём хранится 20+ ключей для социалок почт и бирж и телефон внезапно ломается. Вы берёте второй телефон или новый и устанавливаете его заново, и тут сюрприз, Google Authenticator не привязывается к аккаунту, но беспокоится не стоит, все же пользователи хранят резервные коды... урок из жизни, всегда дублируйте резервные коды от всех мест где используете Google Authenticator .....
legendary
Activity: 1330
Merit: 1681
January 23, 2020, 03:30:47 AM
#11
~
Мобильные телефоны изменились кардинально, но способ связи с оператором так и остался зависим от пластиковой карты, которую можно легко скопировать.
~

Ну не всегда пластиковая карта, есть технология eSIM, правда она только на очень малом количестве моделей.
https://habr.com/ru/post/447500/

Ну и вот такой вариант есть, он очень сложно развивается, mesh-сети. Но в моем понимании именно за этими сетями будущее. Особенно, в свете увеличения количества "умных" устройств, связанных сетью интернет.

https://servernews.ru/1001200
https://habr.com/ru/post/196562/


legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
January 23, 2020, 03:18:17 AM
#10
Одним из вариантов, если необходим номер телефона - будет специальное трудоустройство одного из мошенников к оператору сотовой связи. Если сумма денежных средств достаточно большая, на эту операцию тратится время. Однако, это все больше используется для фиатных средств. Избежать этого можно - не привязывая аккаунты к сим-карте.
Если вопрос касается действительно крупных сумм, то такой способ не подойдет мошеннику, потому что могут проверить всех людей, недавно устроившихся на работу и выявить подозреваемого. Конечно, можно планировать все заранее, но это уже из раздела фантастики и обычно очень большие деньги не защищены только смсками.

Вообще, тут проблема не в продажных работниках, и не в регистрации по номеру телефона. Сама концепция сим-карт уже давно устарела, физические сим-карты используются с момента создания первых мобильных телефонов. Мобильные телефоны изменились кардинально, но способ связи с оператором так и остался зависим от пластиковой карты, которую можно легко скопировать. Возможно, что электронные сим-карты как-то решают проблемы с их кражей или копированием, но прогресс не стоит на месте и даже такую технологию научаться взлаиывать и использовать против пользователя.
hero member
Activity: 504
Merit: 732
January 23, 2020, 03:06:11 AM
#9
Не используйте двухфакторную аутентификацию

В то время как именно двухфакторную аутентификацию нам и надо использовать.

Quote
Если у мошенников будут ваши паспортные данные, скан или копия паспорта, их шансы обмануть доверчивых сотрудников сотового оператора резко возрастают

И не только сотового оператора. Например, они могут понабрать кредитов.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
January 23, 2020, 02:48:07 AM
#8
Избежать этого можно - не привязывая аккаунты к сим-карте.

Ну да, а лучше вообще сотовыми не пользоваться и ходить в шапочке из фольги с бумажной сберкнижкой... Правда их (книжки) вроде не выдают уже ((
legendary
Activity: 1330
Merit: 1681
January 23, 2020, 02:31:43 AM
#7
У любого оператора связи можно написать заявление чтобы не делали перевыпуск симки по доверенности а только при лично явке заявителя. Отчасти так можно решить проблему но если мошенники работают в компании сотового оператора то ничего не спасет от такого взлома.

Одним из вариантов, если необходим номер телефона - будет специальное трудоустройство одного из мошенников к оператору сотовой связи. Если сумма денежных средств достаточно большая, на эту операцию тратится время. Однако, это все больше используется для фиатных средств. Избежать этого можно - не привязывая аккаунты к сим-карте.
member
Activity: 255
Merit: 10
January 23, 2020, 02:08:39 AM
#6
У любого оператора связи можно написать заявление чтобы не делали перевыпуск симки по доверенности а только при лично явке заявителя. Отчасти так можно решить проблему но если мошенники работают в компании сотового оператора то ничего не спасет от такого взлома.
sr. member
Activity: 728
Merit: 317
Crypto Casino & Sportsbook
January 22, 2020, 04:00:32 PM
#5
Про этот SIM-свопинг слышал в Украине, читал новость как-то о том что банду из 4-х человек арестовали, они заказывали перевыпуск сим карты и снимали деньги с банковской карты, из интересного помню что организатором и главой была сорока семилетняя женщина.  Grin
legendary
Activity: 1330
Merit: 1681
January 22, 2020, 03:49:07 PM
#4
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.

Почему то многие упоминают именно Гугл, когда речь идет об аутентификации. На самом деле есть инструменты поудобнее, чем этот, всеми рекомендуемый. Ну и да, при желании можно и это обойти, поэтому в той статье от ТС - указаны хорошие рекомендации по хранению и по сохранению анонимности.

Дополнительно почитать тут:
https://habr.com/ru/post/483134/
https://tproger.ru/news/2fa-exploit/
legendary
Activity: 2310
Merit: 2073
January 22, 2020, 10:26:25 AM
#3
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.
full member
Activity: 644
Merit: 135
January 22, 2020, 09:53:55 AM
#2
просто любое удобство для восстановления - дырка в безопасности!
sr. member
Activity: 1337
Merit: 288
0xbt
January 22, 2020, 09:50:24 AM
#1
Преамбула:
На днях прочитал еще об одной краже крипты с использованием SIM-свопинга.
Ранее слышал об этом краем уха и имел небольшое представление, но решил еще раз перечитать.
На мой взгляд одной из лучших статей(даже среди англоязычных) оказалась инструкция автора Виктора Сикирина,
опубликованная на ресурсе DeCenter:
Что такое SIM-свопинг и как защитить от него свои крипто-активы

Постить здесь ее считаю некорректным к автору и ресурсу, да и перевода она не требует.
Опубликую 1-й абзац, чтобы было представление о статье и о SIM-свопинге
(ну а читать или не читать, думать вам):
Quote
Привязывать аккаунт к SIM-карте давно стало стандартом безопасности в банках и различных финансовых сервисах, в том числе и в криптовалютных. Кажется, что двухфакторная аутентификация надежно защищает данные и активы. Но на деле это не так: в апреле студент из Калифорнии получил 10 лет тюрьмы за кражу криптовалют с помощью SIM-карт. 21-летний Джоэл Ортиз смог украсть порядка $7.5 миллиона в криптовалютах через так называемый SIM-свопинг (обмен сим-картами) — мошенническую схему, в рамках которой злоумышленники получают доступ к информации жертвы, а затем обращаются к оператору сотовой связи и просят перевыпустить SIM-карту, выдавая себя за другого человека. С помощью SIM-свопинга крадут криптовалюты на миллионы долларов. DeCenter разобрался, насколько SIM-свопинг угрожает держателям криптовалют и как обезопасить свои крипто-активы.
<.......>

В общем-то статья мне показалась полезной и заставила еще раз задуматься о безопасности.
Jump to: