Identity theft по-украински

[dastapov]

Украинские жулики попробовали на зуб identity theft, а попросту говоря - получение данных, позволяющих успешно выдать себя за другого. Судя по имеющимся у меня сведениям, им понравилось.

Если у вас или ваших знакомых есть SIM-карта (анонимного) предоплаченного сервиса (в просторечии - "припейд") от одного из Украинских операторов с "красивым" номером - читайте и мотайте на ус.

Идея махинации: выдать себя за владельца "красивого" номера и "увести" этот номер (переведя его на свою/новую СИМ-карту), либо же выдать себя за владельца какого угодно номера и что-то сделать с имеющимся балансом предоплаченых услуг.

Способ махинации: использовать дыры в протоколе аутентификации владельца СИМ-карты, самостоятельно создав ложную "историю поведения" СИМ-карты.

А если по-простому?

Можно и по-простому.

Как известно, украинские операторы имеют возможность продавать prepaid подключения на условиях полной анонимности покупателя, и пользуются этим на всю катушку. Правда, в процессе пост-продажного обслуживания клиента у оператора может возникнуть необходимость удостовериться, что перед вами - настоящий владелец той или иной prepaid-ной карточки, причем сама карточка для "инспекции" по каким-то причинам недоступна. Например, в магазин приходит абонент и просит выдать (продать) ему новую SIM-карту взамен утеряной или что-то в этом роде.

Продавец должен удостовериться, что перед ним - легитимный владелец карты, которая (якобы) утеряна. Надежный способ - попросить предъявить чек о покупке стартового пакета и коробку от стартового пакета с наклейкой, на которой указан серийный номер СИМ-карты. Проблема в том, что мало кто хранить такие нужные и полезные в хозяйстве вещи.

При отсутствии коробочки, продавец просит клиента назвать какие-то "секретные" сведения, которые потенциально известны только ему. Например: приблизительную дату покупки/активации стартового пакета, номера 3-5-10 последних звонков или SMS-ов, даты и суммы последних пополнений счета и т.п. Понятное дело, что делается скидка на плохую память клиента - как правило, ему достаточно назвать правильно примерно 70-80% нужной информации, а 20-30% ошибок спишут на склероз :)

Что делают мошенники? Они звонят жертве и посылают ей SMS-ы, как правило - уговаривая под тем или иным предлогом перезвонить им или на указаный им номер; пополняют счет жертвы небольшим суммами денег (замечательно проходят темы вроде: "позвони нам, а мы дадим тебе 10 грн!" ... "вот видишь, мы не врем! позвони еще раз"). После того, как злоумышленники создали достаточно длинную "историю", известную и им, и жертве, они идут в магазин оператора и выдают себя за владельца СИМ-карты. По требованию продавца, они называют номера, с которых и на которые были звонки, даты и суммы пополнений, время и кол-во отправленых SMS и т.п.

По-хорошему, продавцы должны проверять только знание "истории" событий, инициируемых клиентом (т.е. список не всех звонков, а только исходящих; не всех пополнений, а только с номера абонента). Но во-первых так происходит не всегда, а во-вторых злоумышленники могут легко обойти такое ограничение, если жертва "играет им на руку" и звонит по указаным номерам или сама пополняет счет с помощью присланных номеров/кодов ваучеров.

Зачем такие сложности? Неужели овчинка стоит выделки?

Вбейте в ваш любимый поисковик что-то вроде "красивые номера site:ua", и убедитесь в наличии предложения, которого не было бы, не будь спроса.

Вот такие дела.

Тривиальный способ не стать жертвой - очевиден. Достаточно не бросаться на дармовщину. Нетривиальный способ заключается в том, чтобы воспользоваться предложением перестать быть анонимным и сообщить оператору свои паспортные данные (если оператор это позволяет). Как правило, в обмен на подобную "регистрацию" вы получите какой-то бонус и регулярный бумажный/электронный спам в ваш адрес, но наличие у оператора ваших данных либо предотвратит подобное мошенничество, либо позволит пост-фактум подать жалобу и восстановить справедливость.

Comments

[kievbear.livejournal.com]

А разве кто-то кроме UMC еще предлогает регистрацию препейдов ?

[masterovoy.livejournal.com]

а продавцы разве не пытаются перезвонить по "утерянному" номеру?

[http://users.livejournal.com/_adept_/]

Это должны быть очень сознательные продавцы.

[http://users.livejournal.com/_adept_/]

Когда-то было у KS. Сплыло?

[masterovoy.livejournal.com]

это простейший способ удостовериться, 60-70%
и быстрейший
к чему тогда эти сложности с номерами последними?

если же продавцы в сговоре с identity thiev'ом
тем более непонятно

[zhuk-s.livejournal.com]

Ну сейчас и на контракт перелезть не проблема.

[artimind.livejournal.com]

Красиво.
Я тут в Москве стал замечать нелогичные действия странных людей. Вроде как не соответствуют ни одной знакомой схеме, но и в альтруизм я не верю...

[dgri.livejournal.com]

Непонятно вот что. Допустим, у человека типа украли номер. Что он будет делать? Пойдёт ругаться в центр обслуживания. И там он может предъявить свою сим-карту, номер которой, насколько я понимаю, ранее ассоциировался в базе данных оператора с "украденным" номером. И что ему скажут? "Вы, батенька, эту сим-карту, наверное, нашли на улице или украли -- подите прочь, пока мы милицию не вызвали?!"

[i-xander.livejournal.com]

В Лайфе тоже есть возможность зарегистрироваться.
Еще и бонусы дают.

[mit-idv.livejournal.com]

Вот ведь как! А я-то не понимал во всей полноте, зачем в российском законодательстве так беспардонно обязывают регистировать все номера по номеру паспорта. Есть от этого и прок, оказывается.

[pan-grunia.livejournal.com]

о, а я і не знав, що Google розуміє команду за маскою "site:ua", був переконаний, що працює лише маска по імені одного заданого сайту, типу "site:http://www.adobe.com"

[crazy-daemon.livejournal.com]

Ну, я думаю, что в таком случае можно попробовать предъявить еще и кусок пластмассы из которого выламывается сим-карта.

[prool.livejournal.com]

Какая красивая спецоперация КГБ по отмене анонимности припейдов!
Браво, КГБ!

[gnumus.livejournal.com]

У КС можно "засветить" паспорт, если потерял/убил карточку. Например, мои паспортные данные они уже записали...

[http://users.livejournal.com/_adept_/]

Я забыл в посте прямым текстом написать, что такие косвенные способы используются для идентификации в случае, когда симка недоступна, каюсь. Исправил пост.

Так вот, допустим, приходит человек и говорит, что его СИМ - украден. Допустим, что он жулик, и реально СИМ не украден, а у законного владельца. Продавец звонит по указаному номеру, там говорят - "да вы что! это мой номер!", а жулик на месте говорит: "нет! это мой номер!".

Кому должен верить продавец (если паспортных данных владельца - нет)? :) Вот они и не заморачиваются вниканием в тонкости. Пришел человек, назвал все по процедуре - значит, хозяин.

[http://users.livejournal.com/_adept_/]

Да, может быть и такое. Не факт, что так и будет, но вполне может быть.

[http://users.livejournal.com/_adept_/]

Ну, требование не подключать без пасспорта явно исходит от налоговиков или ФСБ (насколько мне рассказывали коллеги - это же не блажь оператора, а законодательное требование). Но честному абоненту от этого есть прок, да.

[dgri.livejournal.com]

Ну да, если "корешок" остался, то конечно.
Но в общем случае: если есть два претендента на один номер, и у одного в руках знание истории трансакций, а у другого сим-карта (даже без корешка) и знание истории трансакций, то, как говорится, со Словом Божьим и с пистолетом можно добиться несколько большего, чем с одним только Словом Божьим...

[vit0ld.livejournal.com]

1. Телефон с карточкой может быть утерян и включен.
2. Продавцы за восстановление берут деньги, и старая карточка по идее аннулируется. ( у УМС так было по крайней мере )

[http://users.livejournal.com/_adept_/]

Можно, да. Но вероятность успеха - далеко не 100%. Особенно, если жульничество произошло в одном городе. а жалуется жертва в другом, например.

[dragon-j.livejournal.com]

а смысл-то? сейчас дешевле новый пакет получить (считай вобще нахаляву), чем SIM восстанавливать. Еще можно понять на контракте, но by default временный припейд...

вот Пруль правильно в принципе говорит, что направлено это больше на отмену анонимности припейда (hi there, Russia)

[feb-13.livejournal.com]

гугл розуміє inurl:.ua, наприклад

[feb-13.livejournal.com]

увести красивый номер - мотив понятный,
оставить свой номер за собой - тоже мотив понятный (если у вас в зап.книжке куча народу, и всем нужно дать новый номер - покупать новый ужас как некомфортно)

[nealar.livejournal.com]

Мелафон подключал лайты без паспорта. Правда, потом хотел регистрацию.

[us2yw.livejournal.com]

Нет

[us2yw.livejournal.com]

В КС такая фича не проходит.
Тут замену делает только сотрудник компании, а не продавец- дилер, и соответсвенно, перезванивает, удостоверяется, берет паспортніе даннные и т.п.
По крайней мере так должно быть :)

[http://users.livejournal.com/_adept_/]

Простите, я правильно понял мысль: это мошенничество направлено на то, чтобы отменить анонимность препейда?

А мошенничают, стало быть, Кровавые Гебисты?

[http://users.livejournal.com/_adept_/]

Ну так и в UMC по идее должно быть так же ;)

[gvy.livejournal.com]

Здрасьте, обычный social engineering плюс дырки в протоколе.

Или таки ещё надо примеров несовершенства мира? :)

Паспарт нужен

[(Anonymous)]

У моей матери когда сперли телефон, она восстанавливала симку.
Пришла в UMC, и только с ПАСПОРТОМ ее восстановили.
Так что развод может и катит, но могут біть и последствия.

[dragon-j.livejournal.com]

Вы правильно поняли. Информационная волна о якобы мошенничестве (потому как если у тебя не контрактный номер, то оно нах. не надо) направлена на то, чтобы потом очень мягко под, скажем, видом борьбы с ним отменить анонимность.

[dragon-j.livejournal.com]

Это надуманная проблема.
Некомфортно давать только списку деловых контактов (т.е. те, кому номер ты по работе/бизнесу выдал). Но держать под такое припейд... нууу.. это как-то..

А вот по личным контактам -- иногда наоборот полезно почистить список кому давал.

[shlema.livejournal.com]

Угу. Если бы ещё можно было купить пакет по какому-либо паспорту, кроме российского...

[shlema.livejournal.com]

Некомфортно давать только списку деловых контактов (т.е. те, кому номер ты по работе/бизнесу выдал). Но держать под такое припейд... нууу.. это как-то..

Я, видимо, чего-то не понимаю. А в чем разница-то?

[mit-idv.livejournal.com]

да, я знаком с этой проблемой. от этого пользователям точно пользы никакой, это дерьмово :(

[http://users.livejournal.com/_adept_/]

Простите, но какую именно информационную волну вы имеете в виду? Где она? Кто её гонит?

[http://users.livejournal.com/_adept_/]

Не стоит забывать, что вместе с номером "уплывает" и остаток средств на счету. Это раз.

Во-вторых, сообщить 30-50 людям о смене номера телефона - это 30-40 SMS-ов (если повезет и все нужные контакты - это мобильные номера), либо столько же звонков. Плюс - не всем сразу дозвонишься/достучишься и т.п.

В-третьих, если речь таки идет о бизнесе, то уведомление партнеров - это пол-беды. Вторая половина беды - это перепечатка объявлений, буклетов и визиток, на которых этот номер был указан.

Re: Паспарт нужен

[http://users.livejournal.com/_adept_/]

У матери, похоже, был контракт, а не препейд, так?

Паспарт фсе-таки нужен

[(Anonymous)]

Потерял весной еще на выходных тело с препейдом "новий Base" - приехал в понед. с утра в КС (номер этот срочно нужен был), была с собой от номера коробочка трехлетней давности с наклейкой про ПИН, ПАК и т.п. Хорошо хоть паспорт с собой ношу. Попросили разрешения снять ксерокопию. Отказываться не пробовал - мне скрывать нечего :)

[deegital.livejournal.com]

а ще гугл розуміє "15 inch in meters"

[pan-grunia.livejournal.com]

а також 2+2 розуміє.