Адрес для входа в РФ: exler.wiki
Новый подход мошенников
В "Известиях" со слов платформы "Мошеловка" рассказывают о новом способе мошенничества.
Мошенники, похищающие средства со счетов граждан, придумали новую легенду, которая позволяет получить доступ в личные кабинеты абонентов мобильных операторов. Человеку поступает звонок якобы от МТС или «Билайна» с предупреждением, что истек или заканчивается срок SIM-карты. Для продления просят указать код из сообщения. Затем аферисты делают переадресацию звонков и SMS на другой номер или виртуальный дубликат симки. Дальше они могут проникнуть в онлайн-банк жертвы, почту, мессенджеры, соцсети и даже на портал госуслуг.
Как известно, злоумышленники постоянно обновляют легенды в соответствии с медийной повесткой. Так, как отметили в «Мошеловке», в настоящее время в СМИ часто встречаются упоминания о готовящейся блокировке большого количества номеров из-за отсутствия обновления данных абонентов.
— Роскомнадзор, например, сообщает о выявлении 9 млн SIM-карт с неактуальными персональными данными. Их должны отключить в ближайшее время, если владельцы не подтвердят информацию. Такие новостные посылы могли стать причиной новых легенд телефонных мошенников и веры людей в их достоверность. Опыт анализа действий злоумышленников показывает, что они в разговоре используют набор хоть и не связанных, но узнаваемых на слух из-за новостной повестки слов, что и путает людей, — рассказала куратор платформы Алла Храпунова.
В чем состоит новая легенда? Абоненту МТС или «Билайна» (клиентов других операторов это пока не коснулось) поступает звонок от якобы представителя оператора, который сообщает что у SIM-карты заканчивается срок действия или он уже истек. Для продления просят назвать код из SMS. В противном случае карта заблокируется, номер отберут и человек уже не сможет ничего восстановить.
- Аферисты заходят на сайт оператора связи из базы абонентов «Билайна» и МТС, судя по всему, такие у них имеются. А также, возможно, есть и сведения, клиентами каких банков являются люди. Затем злодеи выбирают для входа в личный кабинет авторизацию по номеру телефона, и жертве поступает в SMS код, подтверждающий разрешение входа. Если человек сообщает этот код «представителю компании», то он дает аферисту зеленый свет для входа в свой кабинет. Далее мошенники делают переадресацию звонков и SMS на другой номер или виртуальный дубликат SIM-карты, — пояснила она.
После этого, по словам Аллы Храпуновой, когда банки запрашивают ввод кода, который подтверждает вход в личный кабинет уже кредитной организации, сообщение переадресовывается на номер злоумышленников.
— И именно они получают это SMS, заходят в личный кабинет банка и делают там, что хотят. Важно отметить, что пока нам поступали обращения от граждан только про банки, но думаю, что были попытки таким образом обойти и двухфакторную авторизацию портала госуслуг и соцсетей, — сказала эксперт.
Так, давайте разберемся. В том, что операторы сотовой связи могут заблокировать большое количество SIM-карт с неактуальными или неподтвержденными данными - да, о таком неоднократно сообщалось.
Ну, хорошо, злоумышленники знают мой номер телефона и, предположим, даже знают, каким банком я пользуюсь. Они заходят на сайт сотового оператора, вводят мой номер телефона, после чего на этот номер отправляется код для входа в личный кабинет. Они звонят мне под видом представителей сотового оператора и просят сообщить код, чтобы мою симкарту не заблокировали. Ну допустим. Также допустим, что я - такой идиот, что сообщу им присланный код, то есть пароль для входа в личный кабинет оператора связи. Они зашли в личный кабинет, поставили переадресацию звонков и SMS.
Тут, кстати, сразу замечу, что переадресация SMS нормально работает далеко не всегда. И в особенности - как раз для SMS из банков эта переадресация толком не работает. Я пытался делать такую переадресацию, чтобы не таскать с собой московскую симку - ан фиг там, не срабатывало, SMS все равно приходили на оригинальный номер.
Ну, предположим, она срабатывает. В моем личном кабинете стоит переадресацию на другой номер. А дальше-то что?
Предположим, злоумышленник даже знает, каким банком я пользуюсь. И что? Там вообще-то логин-пароль есть. Я понимаю, что многие люди - по жизни идиоты, и они даже для банков используют пароли вида 123456 или password123. А логин они откуда возьмут? Логины там могут быть какими угодно. Более того, сами банки обычно запрещают в качестве логина использовать, например, фамилию, и предлагают вместо этого какой-то набор цифр.
И что в этом случае смогут сделать мошенники? Без логина-пароля они доступ к запросу SMS для входа не получат. Я в моем личном кабинете у мобильного оператора в любой момент могу обнаружить и убрать переадресацию (кстати, об установке переадресации вообще-то уведомление отправляется по SMS).
Так что я не очень понимаю, чем вообще чреват этот вид мошенничества. Не похоже, чтобы они таким образом реально смогут получить доступ, например, к личному кабинету в банке. Равно как и доступ к Госуслугам и так далее.
Банков, которые совсем отказались от пароля и/или контрольного звонка я, к счастью, пока не встречал. Но, тенденция к упрощению процедур на протяжении последних 10 лет очевидно прослеживается.
Расчет и на то, что клиент не сидит в личном кабинете онлайн безвылазно..
И как же будет проходить процедура восстановления?
Через доступ к СМС и подтверждение твоей личности. Подтверждение личности будет путем запроса известных тебе и банку данных. Каких? Например, номера карты. Зачем же тогда вообще нужны логин и пароль, спрашивается? Если они восстанавливаются через СМС и номер карты?
До сих пор в шоке?
Зато вместо пароля капчу, блин, потребуем везде где только можно.
Чего мне только не дули в уши. И «берите автомат и идите защищать свой Крым» и «ну там крымские татары». Но ни разу до существа вопроса, по которому они мне дозвонились, дела так и не дошло.
Украинские колл центры такие колл центры, просто смех 🤣
MAIN MENU.
Нет такого в РФ. Иначе любой, укравший или нашедший твой телефон, может обнулить твой банковский счет.
Удивлюсь, если в других странах по-другому
Может email, не уверен, не вспомню сейчас.
На телефоне приложения банка нет, всё через компьютер.
А если это даже так, то я бы банк поменял. Которому достаточно звонка с номера, чтобы предоставить полный доступ к счету. Номер бывает отчуждаемым, как известно. Вместе с СИМ-картой, например
1. Сейчас часто на многих сайтах (и на банковских) в качестве логина используются или имейл или номер телефона. Причем они в 99% случаев совпадают на всех сайтах, включая придуманный логин, если он есть.
2. В сеть утекло множетство разных баз. Пары: имейл и телефон, имейл и пароль, логин и пароль, телефон и пароль, паспортные данные и телефон, паспортные данные и имейл и т.д.
3. Слиянием этих частичных баз в одну складывается пазл и получается подробный профайл на огромное количество юзеров:
ФИО, адрес по паспорту, логин, имейл, телефон, пароль и т.д. Т. е. если в разных парах совпадает телефон - это один человек. Совпадает имейл - это один человек. И т. д.
А пароли у многих мало того, что простые, так еще и совпадают везде тоже.
Итого: для полного счастья мошенникам не хватало только приема СМС для двуфакторной авторизации или изменения пароля. С переадресацией это последнее звено появилось. Ведь даже не зная пароля, можно его изменить и получить новый СМСкой. Типа забыл пароль.
Профит!
Во-вторых, нужно, чтобы жертва сообщила код из СМС для включения переадресации.
И в-третьих, сообщения от банков не переадресовываются провайдером (сужу по опыту с МТС и Мегафоном).
В чем профит?
А вы реально думаете, что пароль вида 123456 там хранится? Или всё-таки пароли там так не хранят? Т.е. пароля у вас в любом случае нет.
> С переадресацией
Вам ниже уже написали.
Про пароль и переадресацию уже написали
Так что видимо расчет на это.
А вообще конечно странно, что в Польше есть айфоны. Кто бы мог подумать, да? 😉
Я не очень разбираюсь в этом (и не интересуюсь особо), но один знакомый (честно-честно) рассказывал еще лет 10 назад, что второй шаг верификации по СМС взламывается легко, но я подробностями не интересовался.
А потом выходит регулярная и хрен знает какая по счету новость о том, что мошенник может, имея один лишь номер телефона, получить доступ к твоему счету. Занавес.
В Украине тоже банки уже отказываются от СМС-верификации на втором шаге (хотя и раньше были разные физически ключи - зависело от банка).
Но вообще те же N26 и C24 мне показались ничем не хуже Моно и Привата. Не вижу вообще что в системе Германии может кого не устроить.
Имея «один лишь номер телефона» доступ к чужому счету получить невозможно. Для этого еще надо, чтобы лох посотрудничал. Например, чтобы сообщил мошеннику коды из пары-тройки пришедших СМС. Причем в этих СМС прямо пишется, для чего нужны эти коды. Но кто ж читает?
Касательно банков. Мой банк смс шлет только при оплате через сайт банка. Во всех остальных случаях - нужно в приложении палец приложить под картинкой на весь экран вы платите нцать денег.
Нафиг смс!
У меня, например, вообще пальцы плохо считываются, стараюсь избегать биометрической авторизации.
Я из Украины спокойно захожу в свою учётку. Хотя она зарегистрирована вообще на другой номер телефона.
Но её, эту двухфакторку, ещё надо включить было самостоятельно до недавнего времени. Обещали принудить всех, уж не знаю, успели или нет.
У российских, естественно, операторов.
www.mts.by
Переадресация работает только для входящих SMS-сообщений от абонентов МТС Беларусь.
часто там еще и кнопка есть "забыл пароль/логин", нажав на нее и сделав несколько приседаний, человек получает (задает новый) логин/пароль
Я еще заметил, что при разговоре с разного рода "менеджерами банков/операторов связи/прочего" перед тем, как прозвучит ответ от пользователя, слышен легкий "щелчок", словно ответ записывается для последующего использования. Что это? Готовятся к голосовой идентификации?
Есть два крылатых изречения, от которых хочется рвать, метать, и вообще впадать в истерику.
Вторая - про исключения, подтверждающие правило, она еще более идиотская.
[/OFF]
два -три лоха может и найдут
Ну и можно регулярно менять пароль в критичных сервисах
Введите себя в боте в ТГ, много чего выводит и по почте и телефону
а по умолчанию логин это отдельный от телефона и карты номер