Віддалені робочі столи (RDP) – зручна річ, коли треба щось зробити на комп'ютері, але при цьому немає фізичної можливості сісти перед ним. Або коли потрібно отримати хорошу продуктивність, працюючи зі старого чи не надто потужного пристрою. Хмарний провайдер Cloud4Y надає таку послугу багатьом компаніям. І не міг пройти повз новини про те, як шахраї, що промишляють викраденням (свопом, заміною) SIM-карт, перейшли від підкупу співробітників телекомунікаційних компаній до використання RDP для отримання доступу до внутрішніх баз даних T-Mobile, AT&T і Sprint.
Кібершахраї (рука не піднімається назвати їх хакерами) все частіше змушують співробітників операторів стільникового зв'язку запускати програмне забезпечення, яке дозволяє проникати у внутрішні бази даних компаній та красти номери мобільних телефонів абонентів. Спеціальне розслідування, проведене нещодавно онлайн-журналом Motherboard, дозволило журналістам припустити, що атакам зазнали як мінімум три компанії: T-Mobile, AT&T та Sprint.
Це справжня революція у сфері крадіжок SIM-карток (їх крадуть, щоб шахраї могли використовувати номер телефону жертви для отримання доступу до електронної пошти, соціальних мереж, криптовалютних облікових записів тощо). Раніше шахраї підкуповували співробітників мобільних операторів, щоб вони підміняли SIM-картки або використовували соціальну інженерію, щоб виманити потрібну інформацію, видаючи себе за реального клієнта. Тепер вони діють нахабно та грубо, зламуючи ІТ-системи операторів та виконуючи потрібні махінації самостійно.
Мова про новий спосіб шахрайства підняли в січні 2020 року, коли кілька американських сенаторів поставили голові Федеральної комісії зі зв'язку Аджиту Паю питання про те, що його організація робить для захисту споживачів від хвилі атак, що триває. Про те, що це не марна паніка, свідчить недавнє про крадіжку $23 мільйонів із криптрахунку через SIM-свопінг. Обвинувачений — 22-річний Ніколас Трулья, який «прославився» у 2018 році завдяки успішному злому мобільних телефонів деяких видатних діячів із Силіконової долини.
«Деякі рядові співробітники та їхні керівники абсолютно інертні та безглузді. Вони дають нам доступ до всіх даних, і ми починаємо красти», - на правах анонімності розповів онлайн-журналу один із зловмисників, який займається викраденням SIM-карток.
Як це працює
Зломщики використовують можливості протоколу дистанційного робочого столу (RDP). RDP дозволяє користувачеві керувати комп'ютером, віртуально, перебуваючи у будь-якому іншому місці. Як правило, ця технологія використовується у мирних цілях. Наприклад, коли технічна підтримка допомагає настроїти комп'ютер клієнта. Або під час роботи у хмарній інфраструктурі.
Але зловмисники також оцінили можливості цього програмного забезпечення. Виглядає схема досить просто: шахрай під виглядом співробітника техпідтримки дзвонить звичайній людині та повідомляє йому про зараження комп'ютера найнебезпечнішим ПЗ. Щоб вирішити проблему, жертва повинна включити RDP та пустити у свою машину фальшивого представника служби підтримки. А далі справа техніки. Шахрай отримує можливість робити з комп'ютером все, що душа забажає. А хоче вона зазвичай відвідати онлайн-банк та вкрасти гроші.
Смішно, що шахраї переорієнтувалися зі звичайних людей на співробітників операторів зв'язку, переконуючи їх встановити або активувати RDP, а потім віддалено борозен простори вивчають вміст баз даних, викрадаючи SIM-картки окремих користувачів.
Така діяльність можлива, оскільки деякі співробітники мобільного оператора мають право на «перенесення» номера телефону з однієї SIM-картки на іншу. Під час заміни SIM-картки номер жертви переноситься на SIM-картку, яку контролює шахрай. А потім він може отримати коди двофакторної автентифікації жертви або підказки скидання пароля через SMS. У T-Mobile для зміни номера використовується інструмент , у AT&T .
За словами одного з шахраїв, з яким вдалося поспілкуватися журналістам, найбільшої популярності набула RDP-програма . Вона працює з будь-яким оператором зв'язку, але для атак на T-Mobile, AT&T її використовують найчастіше.
Представники операторів не заперечують цієї інформації. Так, в AT&T заявили, що знають про цю специфічну схему злому і зробили кроки для запобігання подібним інцидентам у майбутньому. Представники T-Mobile і Sprint теж підтвердив, що компанії відомо про спосіб викрадення SIM-карт через RDP, але з метою безпеки не стали розкривати вжиті заходи захисту. Verizon не коментував цю інформацію.
Висновки
Які можна зробити висновки з того, що відбувається, якщо не використовувати нецензурну лексику? З одного боку — тішить, що користувачі стали вченішими, коли злочинці переключилися на співробітників компаній. З іншого боку, безпека даних, як і раніше, ніяка. На Хабрі та на інших сайтах про шахрайські дії, вчинені за допомогою заміни SIM-карток. Так що найбільш ефективним способом захисту своїх даних є відмова від їх надання будь-куди. На жаль, зробити це майже нереально.
Що ще корисного можна почитати у блозі
→
→
→
→
→
Підписуйтесь на наш -Канал, щоб не пропустити чергову статтю! Пишемо не частіше двох разів на тиждень і лише у справі.
Джерело: habr.com