Безопасность личной информации

Методы несанкционированного доступа к личной или персональной информации, описанные в предыдущей статье, не требовали никакого участия со стороны жертвы. Скорее наоборот — одной из основных задач всех методов было обеспечить скрытность слежки и прослушивания.

В то же время существуют методы получения приватных сведений об абоненте, в которых он сам или его родные и близкие делятся этой информацией со злоумышленниками. При этом злоумышленники обманывают жертву, используя технические средства сетей связи. Вот как это происходит
Имперсонализация

Не секрет, что качество микрофона в современных мобильных телефонах зачастую оставляет желать лучшего. Добавим к этому ношение телефона в чехле с одной маленькой дырочкой напротив микрофона. Присовокупим мусор из кармана, забившийся в микрофон, дующий на улице ветер, плохую работу эхоподавляющих петель в сети оператора. Неудивительно, что иногда голос даже близко знакомого человека искажается до неузнаваемости. Чем и пользуются злоумышленники.

Жертве приходит звонок с номера хорошо знакомого и близкого человека (друга, сына, супруга, родителя). Сквозь шум и треск жертва слышит: «Я попал в беду, сейчас тебе все объяснят». Помехи такие, что уверенно утверждать, что говорит не тот, кто позвонил, нельзя. После чего трубку берет другой человек и говорит: «Ваш сын/брат/муж насмерть сбил человека. Пока не началось оформление, дело можно замять. Цена вопроса - $5000. Решать надо прямо сейчас, деньги должны быть в течение часа». Находясь в состоянии стресса, жертва передает нужную сумму в условленном месте ничем не примечательному человеку, который смешивается с толпой. Придя в себя, жертва звонит тому, кто попал в беду, и выясняет, что он жив и здоров, тревожных звонков не совершал и не имеет об этой истории ни малейшего представления.

Каковы технические аспекты этого способа мошенничества? Во-первых, злоумышленники должны совершить исходящий звонок «от имени» другого абонента. Во-вторых, они должны предотвратить возможность раннего разоблачения, на случай, если жертва в процессе сбора денег начнет звонить «попавшему в беду». Как это достигается?

Подменить исходящий номер технически возможно при использовании соответствующего телекоммуникационного оборудования. Например, при помощи мобильного телефона это сделать нельзя, а при помощи корпоративной мини-АТС, подключенной прямо к коммутатору оператора мобильной связи (при соблюдении ряда дополнительных условий), можно. А ведь нередки случаи, когда одна и та же компания предоставляет услуги и проводной, и мобильной связи, и злоумышленники имеют возможность легально подключить свою мини-АТС нужным образом. Кроме того, часто для подмены исходящего номера используется подключение к провайдеру VoIP, который это позволяет в рамках договора или по недосмотру.

Для того чтобы жертва не раскрыла обман раньше времени, используется «социальная инженерия». Например, злоумышленники могут заранее начать звонить «попавшему в беду» и бросать трубку и довести его до того, что он сам выключит телефон или переведет его в беззвучный режим. Либо же злоумышленники могут позвонить «попавшему в беду», представиться сотрудником оператора или правоохранительных органов и под надуманным предлогом попросить того отключить телефон на некоторое время.
Подмена номеров в SMS

Исходящий номер телефона можно подменить не только при голосовых звонках. Это возможно и при посылке SMS. Если у злоумышленников есть подключение к SMS-центру оператора по протоколу SMPP, напрямую или через компанию-посредника, то они имеют возможность посылать SMS, у которых указан любой исходящий номер или вообще какое-то слово.

Подобные SMS обычно присылают сами операторы мобильной связи (подставляя в качестве исходящего номера название своей компании), и злоумышленники могут этим пользоваться. Например, SMS от имени вашего оператора может предложить вам:
Позвонить по короткому номеру для получения информации о тарифах и услугах. Звонки на этот номер (зарегистрированный злоумышленником) обслуживаются по специальному тарифу.
Позвонить по короткому номеру, чтобы избежать отключения контракта или каких-то услуг.
Послать SMS на короткий номер для участия в розыгрыше приза, подключения или отключения каких-то привлекательных услуг, получения скидки.

Впрочем, об этом я уже писал в предыдущих статьях. Жертва при этом понесет финансовые потери, но ее личная информация останется в безопасности.

В то же время SMS от имени оператора или известного банка может содержать информацию о том, что жертва имеет большую задолженность на лицевом счете или же имеет неплатежи по кредиту (который она на самом деле не брала). При этом SMS будет содержать предложение звонить по указанному номеру за дополнительной информацией.

В процессе звонка жертве предложат «еще раз все проверить», для чего ее попросят предоставить как можно больше личной информации: ФИО, серию и номер паспорта, номер кредитной карты, дату окончания срока ее действия, CVV2-код и т.п. После чего вежливый оператор сообщит, что «произошла ошибка» и положит трубку. Теперь злоумышленники имеют возможность, например, совершать покупки в интернет-магазине по полученным данным о кредитной карте.

Самый надежный способ застраховаться от подобного — сообщать личные сведения только тогда, когда вы сами совершаете звонок и уверены в том, что звоните по правильному номеру.
Создание легальных дубликатов SIM-карт

В некоторых странах (например, на Украине, в Турции) существует легальная возможность приобретения SIM-карты с предоплаченными услугами мобильной связи (prepaid) без предоставления какой-либо информации о себе оператору.

Естественно, что когда у подобных абонентов возникают ситуации, требующие замены мобильного номера или SIM-карты, оператор оказывается в щекотливом положении. С одной стороны, не имея возможности проверить личность того, кто просит выдать дубликат SIM-карты, оператор должен был бы ему отказать. С другой стороны, подобных «безликих» абонентов у него несколько десятков миллионов, и отказывать в подобном обслуживании — это удар по имиджу.

Операторы всячески ищут выход из положения. Например, предлагают абонентам заполнить при подключении анкету с паспортными данными в обмен на подарки и скидки и потом используют эти данные для идентификации абонента. Просят предоставить оригинальную упаковку SIM-карты в качестве подтверждения того факта, что перед ними — ее владелец.

Но ведь бывает и так, что человек и паспортных данных не оставлял, и оригинальную упаковку не сохранил. Как быть в этом случае? Оператор может провести простейшую проверку того, что перед ним владелец SIM-карты, задавая вопросы о приватной информации вроде: «Какой примерно там был баланс? Помните ли вы номера последних звонков? Когда примерно они были сделаны?». Если человек ответил на все эти вопросы, то с определенной долей уверенности можно считать, что он и есть владелец SIM-карты.

В то же время злоумышленники могут совершить несколько звонков на телефон жертвы с разных номеров, пополнить его счет на определенную (небольшую) сумму, убедить его по надуманной причине не совершать звонки в течение какого-то времени, после чего обратиться к оператору с требованием выдать другую SIM-карту с тем же номером телефона. В качестве доказательства того, что они и есть владельцы SIM-карты, злоумышленники могут предъявить достаточно персональной информации: номера и даты последних звонков, дату последнего пополнения счета и, возможно, даже примерную сумму на счету (если удалось ее узнать у жертвы в ходе разговоров).

После чего злоумышленники получают дубликат SIM-карты с номером жертвы, которая фактически оказывается лишенной привычного номера. В случае если этот номер широко «раскручен» для деловых целей, красив на вид («777-77-77») или может быть использован, например, для мобильного доступа к банковскому счету, последствия для жертвы могут быть очень болезненными.
Заключение

Автор желает читателям никогда не сталкиваться с угрозами безопасности, описанными в этих статьях. В конце концов, абонентов мобильной связи многие миллионы, и зловредная SMS-рассылка просто может обойти вас стороной. Кроме того, любое использование злоумышленниками технических средств оставляет вещественные следы в виде записей учета стоимости, протоколов подключения, банковских реквизитов и паспортных данных. Все это облегчает обнаружение и поимку злоумышленников после того, как мошенничество было обнаружено и донесено до сведения оператора и правоохранительных органов.

Дмитрий Астапов (www.pro-gsm.info)