Для достижения цели злоумышленники используют даркнет-форумы, угрозы и социальную инженерию, эксплуатируя ошибки американских провайдеров, пишет Motherboard.
Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.
Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах.
Как номер телефона используют против его владельцев
В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.
По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.
После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».
По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином @Bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.
Масштабы проблемы
По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс появился после громкой утечки пользовательских данных из социальной сети в 2017 году.
«Когда-то это [взлом аккаунтов через дубликат SIM-карты] было настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество», — утверждает в разговоре с Motherboard пользователь OGUSERS.
Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.
Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Борисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».
В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.
Способы борьбы
AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.
В марте 2018 года AT&T, Verizon, Sprint и T-Mobile объявили о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.
Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.
«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд. Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.
В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.