Новости / Технологии / Хакеры научились воровать одноразовые пароли с помощью дубликатов SIM-карт
17 марта 2012, 13:15
Размер шрифта: А А А

Хакеры научились воровать одноразовые пароли с помощью дубликатов SIM-карт

Хакеры научились воровать одноразовые пароли с помощью дубликатов SIM-карт, хакеры, SIM-карта, хакерская атака, Man in the Browser, Gozi Trojan
Хакеры научились воровать одноразовые пароли с помощью дубликатов SIM-карт

В США и Европе набирают популярность две новые схемы взлома систем авторизации с помощью одноразовых паролей (one-time-password, OTP), которая применяется для онлайн-банкинга, с помощью дубликатов SIM-карты мобильного телефона, что гораздо опасней, чем когда злоумышленники пытались просто изменить телефонный номер, чтобы перенаправить OTP-пароль на другой номер.

В первом типе атаки используется троянскую программу Gozi Trojan для похищения кода IMEI (international mobile equipment identity) сотового аппарата у владельца учётной записи. Получив IMEI-код, мошенники связываются с мобильным оператором жертвы, сообщают, что мобильный телефон утерян или украден, и просят выслать новую SIM-карту. После того, как они получили SIM-карту, все OTP-пароли будут приходить на сотовый терминал злоумышленников.

Второй тип атак, который больше распространён в Европе, начинается с инфицирования веб-браузера трояном класса Man in the Browser (MitB), либо с фишинг-атаки, позволяющей получать информацию о банковском счёте жертвы, включая имя, номер телефона и прочее. Далее злоумышленник направляется в местное отделение полиции и используют похищенную персональную информацию для того, чтобы полиция внесла номер телефона жертвы в список краденных или утерянных мобильных телефонов и выдала соответствующий документ об этом. После чего он звонит жертве и сообщает, что её сотовый терминал в ближайшие 12 часов будет работать с перебоями. Затем мошенник обращается в центр обслуживания абонентов оператора, предъявляет им справку из полиции и требует выдать новую SIM-карту. Таким образом, теперь на телефон преступники будут поступать все входные звонки и OTP-пароли, которые предназначались для владельца счета в банке.

Но противостоять подобным атакам непросто, но возможно. Для этого надо с большой осторожностью относиться ко всем изменениям на веб-сайте банка, особенно если там запрашивается та информация, которую ранее не запрашивали. Лучше перезвонить в банк и уточнить. Кроме того, необходимо относиться с подозрениям к любым неожиданным звонкам по телефону, в ходе которых некто неизвестный пытается выяснить конфиденциальную информацию.

Отметим, что подобные атаки возможны только в США и Западной Европе, поскольку в этих странах большая часть мобильных телефонов продаётся через розничные сети мобильных операторов. Таким образом, оператор заранее привязывает телефонный номер к IMEI-кодом мобильного устройства. А чтобы получить дубликат SIM-карты в нашей стране, мошенникам придётся вместе с IMEI-кодом похищать и список последних телефонных номеров, по которым звонила жертва (в случаях бесконтрактного подключения), или предъявить паспорт и копию контракта.

ВКонтакте Buzz Live journal Facebook Twitter

Нашли ошибку в тексте? Выделите ее мышкой и нажмите CTRL+Enter
Письмо редактору
Вы не авторизировались.
Если у вас уже есть учетная запись ВКурсе.ua, войдите или зарегистрируйтесь.
ваш коментарий:

Читайте также:

В мире крупная кибератака: Украина попала под удар

13 мая 2017, 09:13

Какую опасность для компьютера скрывает Microsoft Word

11 апреля 2017, 10:28

Владельцы iPhone получают пустые SMS-сообщения из 2003 года

17 марта 2017, 10:38

Последние новости за сегодня: