Topic: SIM-свопинг (Read 487 times)

+1
Еще бы хотелось услышать про сервисы, где можно отправлять смс, не только принимать. Тоже иногда пригождается.
И тут правильно пишут что смс - это двухэтапная, а 2ФА (тот же гугл аутентикатор) - двухфакторная авторизация, не надо путать. Если грубо сравнивать, то это как почта на мейл.ру и на гугле будет по безопасности
по первому случаю вообще ситуация интересная: https://bitcointalksearch.org/topic/m.53893831

Так вот почему звонят левые иностранные номера... У меня было похожее, звонит зарубежный номер, сбросил, звонит тут же номер из друго страны, сбросил опять звонок. И так в течении минуты разные номера пробовали дозвониться. Подобное происходит раз в пол года на протяжении последних 3 лет.

Мне звонили и звонили с германских номеров в январе. Я только раз трубку поднял. Чего то предложили трейдить где-то у них. Потом я все остальные банил и трубку не снимал.

Им вроде надо три раза трубку поднять чтоб можно бежать в салон связи и на себя карту оформлять

Там был не один человек, а целая банда, занимавшаяся ичключительно кражами через SIM-своппинг. Для таких атак будут идеальной целью люди, которые хрвнят миллионы под защитой SMS-сообщения. Иногда становится непонятно, почему люди, сумевщие заработать огромные деньги не могут обеспечить их сохранность должным образом. Ведь обеспечение безопасности - это один из главных критериев сохранения богатства, а так получается им просто везло. Либо новые технологии и криптовалюты пришли настолько быстро, что многие не научились обеспечивать безопасность в сети, а остались во временах где богатства хранились в онромных сейфах.

На днях произошло очередное хищение крипты при помощи SIM-свопинг:
https://forklog.com/sim-svopery-pohitili-u-bitkoin-kita-45-mln-v-btc-i-bch/
К сожалению автор-жертва не указал на каком ресурсе произошла потеря.

Ранее другой автор более подробно изложил историю своей утраты с хронологией событий
и самой схемой атаки:
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124



Как видно из хронологии, атака поисходила в ночное время, когда нормальные )) люди спят.
Т.е. заявка на новую sim происходила ранее, а подмена-активация позднее?
(надо бы поинтересоваться у провайдеров)
 
Следующие вопросы:
- правильный @(а у многих из нас до 10 ящиков)?
- правильный № телефона?
- И самый главный - как атакующие узнали, что именно у данного лица немалая сумма крипты?

Откуда берется данная информация?

И здесь похоже на один ответ:
Утечка базы данных или инсайд лица, имеющего доступ к подобной информации.
Кстати, многие пользователи данного форума оставили свои данные на BTC-e, которые WEX.
А некоторые прошли там KYC, использовали 2-х ф-ю а-ю.
Не удивлюсь если они используют эти же данные и на других обменах,
в том числе и тот же пароль((( и с этими же данными регистрируются на новых, непроверенных,
но разрекламированных ресурсах, которые завлекают пользователей всякими-там плюшками.
(а на самом деле они лишь собирают информацию)
А где эта база данных, WEXа...?
Позже мы здесь читаем, как ту или иную довольно серьезную биржу обвиняют в воровстве, таких тем немало.)))

Можно данную тему развивать и дальше, но пожалую не буду выкладывать свои дальнейшие,
возможно бестолковые мысли)))

P.S.
Недавно писали, что вроде бы в Штатах арестован хакер, укравший с использованием SIM-свопинга ~ $50 млн.
в крипте. Он что, настолько гениален, что действовал в одиночку?))))

У меня есть старый телефон без инета как раз для кодов, время года за пол никак не сбилось и ни разу его не корректировал вручную, ну может разве что на секунды какие-то но это не помеха для 2фа кодов ведь там 30 секунд на код.

Просто надо установить точное время на устройстве. Либо вручную, либо автоматически через Интернет.

Что делать в случае такого сбоя? Как обратно синхронизировать время устройства и время запрашиваемого код сервера?

коды будут правильными до тех пор пока не собьется синхронизация по времени и походу без вайфая или симки она собьется очень быстро.

В случае со всеми этими аутентификациями и проверками главный вопрос такой: необходимо ли посредничество третьих лиц для самой генерации и получения проверочного кода?
Приложения для 2FA (типа Google Authenticator или Authy) абсолютно автономны. Они работают по схожему алгоритму и пекутся только о правильных настройках даты и времени и заряде аккумулятора - им не нужно ни подключение к интернету, ни оплаченная мобильная связь. Вы можете установить приложение на планшет или смартфон, дать ему токен, а затем отключить на гаджете вайфай, вынуть симку и засунуть его в самый темный угол - и приложение все равно будет исправно поставлять Вам коды. (Для нелюбителей приложений и определенных алгоритмов есть, впрочем, и другие варианты.)
Возможно ли что-то похожее в случае с 2SV (аутентификация по СМС)? Очевидно, нет, потому что Вам понадобится оператор связи, который как бы встанет между Вами и тем ресурсом, доступ на который Вы защищаете, дабы пересылать проверочные коды на Ваш телефон. Соответственно, мы имеем все условия для атаки посредника, когда кто-то имеет возможность вклиниться между Вами и сервером и перехватить корреспонденцию. (И таких возможностей на самом деле довольно много: тут, фактически, все узлы могут быть уязвимы.)

Виртуальные номера в том же Viber'е не существуют в вакууме - они предоставляются и обслуживаются все той же третьей стороной и привязаны все к тому же реальному номеру мобильника. Т.е. это может помочь, если Вам надо, например, опять зарегистрироваться на каком-то сервисе, а все мобильники знакомых уже кончились. Или если надо зарегистрироваться, а не хочется "светить" реальный номер. Или вообще если не хочется "светить" реальный номер, а какой-то номер кому-то дать нужно. Но в плане пересылки проверочных кодов здесь все то же самое - со всеми сопутствующими рисками.

---

Чтобы далеко не ходить, допишу и про "неофициальные" виртуальные номера. В интернете есть сервисы, предоставляющие их на платной и бесплатной основе. В основном они используются во всякого рода мошенничестве и прочей "нечестной игре", а потому зачастую находятся на плохом счету у тех сервисов, доступ к которым мы в конечном счете и защищаем. Используя такой номер, можно прежде всего напороться на блокировку учетки. Но это еще не все.

Если речь о платных номерах, то они веб-сервисами как правило выдаются в аренду. Это значит, что, по истечении некоего времени, этот же номер может перейти какому-то другому лицу, в том числе и Вашему другу-хакеру - и плакал Ваш аккаунт горькими слезами (если Вы, конечно, не нашли способ отвязать его от номера или установить иные способы подтверждения).

Если речь о бесплатных номерах, то это вообще веселая история:
 - во-первых, ряд сервисов не требует регистрации и все СМС-ки, приходящие на бесплатные номера, вывешивает в веб-интерфейсе прямо на главной странице; думаю, можно не пояснять, что такие СМС-ки может увидеть кто угодно - и попутно еще собрать интересную статистику об использовании Вами разных сервисов;
 - во-вторых, некоторые сервисы накладывают ограничения на такие номера (например, лимитируют количество приходящих СМС или и вовсе выдают номерок минут так на 20).

Но самое главное - если Вы когда-нибудь по какой-то причине потеряете свой аккаунт и захотите его восстановить, и платные, и бесплатные сервисы вряд ли захотят Вам помочь. Этот бизнес все-таки стоит одной ногой в "теневом" сегменте - следует учитывать это.

Ссылки по теме:
Зачем нужны сервисы приема SMS и с чем их едят
Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах

Интересная статья, спасибо. Получается весь сим-свопинг завязан на некомпетентности менеджера мобильного оператора. И единственный шанс поймать/идентифицировать мошенника - в момент получения им симки в салоне моб связи.

Давно слышал о том, что двух-факторная авторизация при помощи СМС-сообщений не самый лучший вариант. Сим-карту, даже если отбросить случаи мошенничества, сотовый оператор может заблокировать через какое-то время и продать другому человеку, если ей не пользоваться . Есть и другие, более надежные способы аутентификации.

Вариантов может быть куча, самым разумным будет отказаться от регистрации или аутентификации по номеру телефона. Если вы станете целью злоумышленника, то никакие виртуальные номера не помогут. Существуют программв по перехвату смс-сообщений, ему не нужно будет добывать даже сим-карту, но если большие деньги на кону, то можно моздать даже клон сим-карты с вашим виртуальным номером. Не знаю, пользуются сейчас еще скайпом, но вот в случае вайбера преступник сможет найти лазейки, если его цель оправдывает средства. Сначала, он скопируют вашу симку с настоящим номером (ведь большинство таких мессенджеров привязаны к телефону, даже "суперприватные" Signal и Telegram), потом уже получит доступ к вашим остальным телефонам и все усилия станут напрасными.

Какая логика должна работать в случае криптовалютных средств: вы должны иметь контроль над своими приватными ключами, не доверять никаким третьим сторонам и посредникам, всю информацию нужно хранить в зашифрованном, а не открытом (публичном виде). При использовании телефонных номеров никакие из этих принципов не работают, логичней будет убрать этот способ из цепочки.

Как вам вариант получить официальный виртуальный номер? Например, Skype, Viber и другие позволяют подключать виртуальные номера. Что думаете по этому поводу?

Нашел у себя в телефоне слот для второй сим карты..............
А мож и правда, для фин. операций следует оформлять оттдельную SIM карту,...........
но как следует из новостей,, вся информация продается.
И по этому я отказался от 2-х факторной, хрен его знает,,,,,,,
Лучше проще, да потерь меньше, раскидал я крипту по разным............

Для правильного хранения пароля на любом открытом ресурсе, включая облако - можно засунуть резервную копию в контейнер, например:
https://www.veracrypt.fr/en/Home.html

И да, не каждое облако может хорошо отнестись к зашифрованной информации, поэтому лучше сделать несколько бэкапов и использовать разные облака.

Некоторые из аналогичных приложений (например, Authy или Яндекс.Ключ) позволяют сохранять резервные копии токенов в облако. И хоть лично я не в восторге от идеи хранения чего угодно паролеобразного в облаках (т.е. у третьих лиц) - даже при условии установки пароля, - для кого-то такое решение может быть удобным. Ну, а самый простой способ - сохранять скриншот QR-кода, который генерируется в момент установки 2FA.

Если все эти меры соблюдать, то можно спать спокойно, но большинство мошенников используют не какие-то хакерские супер приборы или методы, а обычную и проверенную временем социальную инженерию. Только если в классической схеме жертва обрабатывается мошенником напрямую, то в вышеупомянутой ситуации мошенником обрабатывается третье лицо, представитель услуг связи. И пусть биржи придумают ещё с десяток способов защиты, всегда самой большой дырой будет оставаться человек.

п.с. Google Authenticator хорошая штука...  до того момента, как на нём хранится 20+ ключей для социалок почт и бирж и телефон внезапно ломается. Вы берёте второй телефон или новый и устанавливаете его заново, и тут сюрприз, Google Authenticator не привязывается к аккаунту, но беспокоится не стоит, все же пользователи хранят резервные коды... урок из жизни, всегда дублируйте резервные коды от всех мест где используете Google Authenticator .....

Ну не всегда пластиковая карта, есть технология eSIM, правда она только на очень малом количестве моделей.
https://habr.com/ru/post/447500/

Ну и вот такой вариант есть, он очень сложно развивается, mesh-сети. Но в моем понимании именно за этими сетями будущее. Особенно, в свете увеличения количества "умных" устройств, связанных сетью интернет.

https://servernews.ru/1001200
https://habr.com/ru/post/196562/

Если вопрос касается действительно крупных сумм, то такой способ не подойдет мошеннику, потому что могут проверить всех людей, недавно устроившихся на работу и выявить подозреваемого. Конечно, можно планировать все заранее, но это уже из раздела фантастики и обычно очень большие деньги не защищены только смсками.

Вообще, тут проблема не в продажных работниках, и не в регистрации по номеру телефона. Сама концепция сим-карт уже давно устарела, физические сим-карты используются с момента создания первых мобильных телефонов. Мобильные телефоны изменились кардинально, но способ связи с оператором так и остался зависим от пластиковой карты, которую можно легко скопировать. Возможно, что электронные сим-карты как-то решают проблемы с их кражей или копированием, но прогресс не стоит на месте и даже такую технологию научаться взлаиывать и использовать против пользователя.

В то время как именно двухфакторную аутентификацию нам и надо использовать.


И не только сотового оператора. Например, они могут понабрать кредитов.

Ну да, а лучше вообще сотовыми не пользоваться и ходить в шапочке из фольги с бумажной сберкнижкой... Правда их (книжки) вроде не выдают уже ((

Одним из вариантов, если необходим номер телефона - будет специальное трудоустройство одного из мошенников к оператору сотовой связи. Если сумма денежных средств достаточно большая, на эту операцию тратится время. Однако, это все больше используется для фиатных средств. Избежать этого можно - не привязывая аккаунты к сим-карте.

У любого оператора связи можно написать заявление чтобы не делали перевыпуск симки по доверенности а только при лично явке заявителя. Отчасти так можно решить проблему но если мошенники работают в компании сотового оператора то ничего не спасет от такого взлома.

Про этот SIM-свопинг слышал в Украине, читал новость как-то о том что банду из 4-х человек арестовали, они заказывали перевыпуск сим карты и снимали деньги с банковской карты, из интересного помню что организатором и главой была сорока семилетняя женщина. 

Почему то многие упоминают именно Гугл, когда речь идет об аутентификации. На самом деле есть инструменты поудобнее, чем этот, всеми рекомендуемый. Ну и да, при желании можно и это обойти, поэтому в той статье от ТС - указаны хорошие рекомендации по хранению и по сохранению анонимности.

Дополнительно почитать тут:
https://habr.com/ru/post/483134/
https://tproger.ru/news/2fa-exploit/

Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.

просто любое удобство для восстановления - дырка в безопасности!

Преамбула:
На днях прочитал еще об одной краже крипты с использованием SIM-свопинга.
Ранее слышал об этом краем уха и имел небольшое представление, но решил еще раз перечитать.
На мой взгляд одной из лучших статей(даже среди англоязычных) оказалась инструкция автора Виктора Сикирина,
опубликованная на ресурсе DeCenter:
Что такое SIM-свопинг и как защитить от него свои крипто-активы

Постить здесь ее считаю некорректным к автору и ресурсу, да и перевода она не требует.
Опубликую 1-й абзац, чтобы было представление о статье и о SIM-свопинге
(ну а читать или не читать, думать вам):

В общем-то статья мне показалась полезной и заставила еще раз задуматься о безопасности.