Выдаленыя працоўныя сталы (RDP) - зручная рэч, калі трэба нешта зрабіць на кампутары, але пры гэтым няма фізічнай магчымасці сесці перад ім. Ці калі трэба атрымаць добрую прадукцыйнасць, працуючы са старой ці не занадта магутнай прылады. Воблачнае правайдэр Cloud4Y прадастаўляе такую паслугу многім кампаніям. І не мог мінуць навін аб тым, як ашуканцы, якія зарабляюць угонам (свопам, падменай) SIM-карт, перайшлі ад подкупу супрацоўнікаў тэлекамунікацыйных кампаній да выкарыстання RDP для атрымання доступу да ўнутраных баз дадзеных T-Mobile, AT&T і Sprint.
Кіберашуканцы (рука не паднімаецца назваць іх хакерамі) усё гушчару прымушаюць супрацоўнікаў аператараў сотавай сувязі запускаць ПА, якое дазваляе пранікаць ва ўнутраныя базы дадзеных кампаній і красці нумары мабільных тэлефонаў абанентаў. Адмысловае расследаванне, праведзенае нядаўна анлайн-часопісам Motherboard, дазволіла журналістам выказаць здагадку, што нападам падвергліся як мінімум тры кампаніі: T-Mobile, AT&T і Sprint.
Гэта сапраўдная рэвалюцыя ў сферы крадзяжоў SIM-карт (іх крадуць, каб ашуканцы маглі выкарыстоўваць нумар тэлефона ахвяры для атрымання доступу да электроннай пошты, сацыяльных сетак, криптовалютным уліковым запісам і інш.). Раней ашуканцы падкуплялі супрацоўнікаў мабільных аператараў, каб яны падмянялі SIM-карты або выкарыстоўвалі сацыяльную інжынерыю для таго, каб выбавіць патрэбную інфармацыю, выдаючы сябе за рэальнага кліента. Цяпер яны дзейнічаюць нахабна і грубіянска, узломваючы ІТ-сістэмы аператараў і выконваючы патрэбныя махінацыі самастойна.
Размова аб новым спосабе махлярства паднялі ў студзені 2020 года, калі некалькі амерыканскіх сенатараў задалі старшыні Федэральнай камісіі па сувязі Аджыту Паю пытанне аб тым, што яго арганізацыя робіць для абароны спажыўцоў ад хвалі нападаў. Аб тым, што гэта не пустая паніка, сведчыць нядаўняе аб крадзяжы $23 мільёнаў з крыпталіку праз SIM-свопінг. Абвінавачаны - 22-гадовы Нікалас Трулья, які «праславіўся» ў 2018 годзе дзякуючы паспяховаму ўзлому мабільных тэлефонаў некаторых бачных дзеячаў з Сіліконавай даліны.
«Некаторыя радавыя супрацоўнікі і іх кіраўнікі абсалютна інэртныя і бязглуздыя. Яны даюць нам доступ да ўсіх дадзеных, і мы пачынаем красці», - На правах ананімнасці распавёў анлайн-часопісу адзін з зламыснікаў, які займаецца угонам SIM-карт.
Як гэта працуе
Узломшчыкі выкарыстоўваюць магчымасці пратакола выдаленага працоўнага стала (RDP). RDP дазваляе карыстачу кіраваць кампутарам, віртуальна, знаходзячыся ў любым іншым месцы. Як правіла, гэтая тэхналогія выкарыстоўваецца ў мірных мэтах. Напрыклад, калі тэхнічная падтрымка дапамагае наладзіць кампутар кліенту. Або пры працы ў хмарнай інфраструктуры.
Але зламыснікі таксама ацанілі магчымасці гэтага праграмнага забеспячэння. Выглядае схема даволі проста: ашуканец пад выглядам супрацоўніка тэхпадтрымкі тэлефануе звычайнаму чалавеку і паведамляе яму пра заражэнне кампутара найнебяспечным ПА. Каб вырашыць праблему, ахвяра павінна ўключыць RDP і пусціць у сваю машыну фальшывага прадстаўніка службы падтрымкі. А далей - справа тэхнікі. Ашуканец атрымлівае магчымасць рабіць з кампутарам усё, што душа пажадае. А жадае яна звычайна наведаць анлайн-банк і выкрасці грошы.
Пацешна, што ашуканцы пераарыентаваліся са звычайных людзей на супрацоўнікаў аператараў сувязі, пераконваючы іх усталяваць або актываваць RDP, а затым выдалена баразняць абшары вывучаюць змесціва баз дадзеных, зганяючы SIM-карты асобных карыстачоў.
Такая дзейнасць магчымая, бо некаторыя супрацоўнікі мабільнага аператара маюць правы на "перанос" нумара тэлефона з адной SIM-карты на іншую. Пры падмене SIM-карты нумар ахвяры пераносіцца на SIM-карту, якая кантралюецца ашуканцам. А затым ён можа атрымаць коды двухфактарнай аўтэнтыфікацыі ахвяры ці падказкі скіду пароля праз SMS. У T-Mobile для змены нумара выкарыстоўваецца прылада , у AT&T .
Па словах аднаго з ашуканцаў, з якім удалося пагутарыць журналістам, найбольшую папулярнасць набыла RDP-праграма. . Яна працуе з любым аператарам сувязі, але для нападаў на T-Mobile, AT&T яе выкарыстоўваюць часцей за ўсё.
Прадстаўнікі аператараў не адмаўляюць гэтую інфармацыю. Так, у AT&T заявілі, што ведаюць аб гэтай спецыфічнай схеме ўзлому і распачалі крокі для прадухілення падобных інцыдэнтаў у будучыні. Прадстаўнікі T-Mobile і Sprint таксама пацвердзіў, што кампаніі вядома аб спосабе згону SIM-карт праз RDP, але ў мэтах бяспекі не сталі раскрываць прадпрынятыя меры абароны. Verizon не стаў каментаваць гэтую інфармацыю.
Высновы
Якія можна зрабіць высновы з таго, што адбываецца, калі не выкарыстоўваць нецэнзурную лексіку? З аднаго боку – радуе, што карыстальнікі сталі больш вучонымі, раз злачынцы пераключыліся на супрацоўнікаў кампаній. З іншага - бяспека дадзеных па-ранейшаму ніякая. На Хабры і на іншых сайтах аб ашуканскіх дзеяннях, учыненых з дапамогай падмены SIM-карт. Так што найболей эфектыўным спосабам абароны сваіх дадзеных з'яўляецца адмова ад іх падавання куды б там ні было. Нажаль, але зрабіць гэта амаль нерэальна.
Што яшчэ карыснага можна пачытаць у блогу
→
→
→
→
→
Падпісвайцеся на наш -канал, каб не прапусціць чарговы артыкул! Пішам не часцей за два разы на тыдзень і толькі па справе.
Крыніца: habr.com