'Получается, что бумер!': Как киберпреступники крадут одноразовые пароли для атаки с заменой SIM-карты и ограбления банковских счетов
\nВходящий телефонный звонок мелькает на телефоне жертвы. Он может длиться всего несколько секунд, но может закончиться тем, что жертва передает коды, позволяющие киберпреступникам захватить их онлайн-аккаунты или опустошить их крипто- и цифровые кошельки.
\n“Это команда безопасности PayPal. Мы обнаружили необычную активность на вашем аккаунте и звоним вас в предосторожности”, - говорит роботизированный голос звонящего. "Введите шестизначный защитный код, который мы отправили на ваш мобильный устройство".
\nЖертва, не подозревая злонамеренные намерения звонящего, нажимает на клавиатуру своего телефона шестизначный код, который они только что получили по текстовому сообщению.
\n“'Получаем, бумер!' - сообщение поступает на консоль атакующего.
\nВ некоторых случаях атакующий также может отправить фишинговое электронное письмо с целью перехвата пароля жертвы. Но чаще всего код с их телефона - все, что нужно атакующему, чтобы взломать онлайн-аккаунт жертвы. К моменту завершения звонка, атакующий уже использовал код, чтобы войти в аккаунт жертвы, как если бы они были законным владельцем.
\nС момента середины 2023 года операция перехвата под названием Estate позволила сотням участников провести тысячи автоматических телефонных звонков, чтобы обмануть жертв ввода одноразовых паролей, узнал TechCrunch. Estate помогает атакующим побеждать функции безопасности, такие как многофакторная аутентификация, которая зависит от одноразового пароля, отправленного на телефон человека или электронную почту или сгенерированного с его устройства с использованием приложения для аутентификации. Украденные одноразовые пароли могут дать атакующим доступ к банковским счетам, кредитным картам, криптовалютным и цифровым кошелькам и онлайн-сервисам. Большинство жертв находились в США.
\nНо ошибка в коде Estate раскрыла базу данных сайта, которая не была зашифрована. База данных Estate содержит данные основателя сайта и его участников, а также пошаговые журналы каждой атаки с момента запуска сайта, включая телефонные номера жертв, которые были нацелены, когда и кем.
\nВангелис Стыкас, исследователь по безопасности и технический директор Atropos.ai, предоставил базу данных Estate для анализа TechCrunch.
\nBack-end базы данных предоставляет редкое представление о том, как работает операция перехвата одноразовых паролей. Сервисы, подобные Estate, рекламируют свои предложения под видом предоставления видимо легальной услуги, позволяющей специалистам по безопасности проверять устойчивость к социальным инженерным атакам, но попадают в правовую серую зону, потому что позволяют своим участникам использовать эти услуги для злонамеренных кибератак. В прошлом власти преследовали операторов подобных сайтов, посвященных автоматизации кибератак, за предоставление своих услуг преступникам.
\nБаза данных содержит журналы более чем 93 000 атак с момента запуска Estate в прошлом году, нацеливающихся на жертв, у которых есть аккаунты на Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (которая владеет TechCrunch) и многих других.
\nНекоторые из атак также показывают усилия по похищению номеров телефонов, осуществляя атаки с заменой SIM-карты — одна из кампаний была просто названа “ты меняешь сим-карту, приятель” — и угрожая раскрытием информации о жертвах.
\nОснователь Estate, датский программист в начале 20-х годов, сообщил TechCrunch в электронном письме на прошлой неделе: “Я больше не управляю сайтом”. Основатель, несмотря на усилия скрыть онлайн-операции Estate, неправильно настроил сервер Estate, который раскрыл его настоящее местонахождение в дата-центре в Нидерландах.
\n\n
Estate рекламирует себя как способного “создавать персонализированные решения под OTP, которые идеально соответствуют вашим потребностям”, и объясняет, что “наша опция настроенных сценариев помещает вас в контроль”. Члены Estate подключаются к глобальной телефонной сети, выдающие себя за законных пользователей, чтобы получить доступ к поставщикам связи. Один из поставщиков был Telnyx, генеральный директор которого Дэвид Кейсемо сказал TechCrunch, что компания заблокировала учетные записи Estate и проводится расследование.
\nХотя Estate осторожно избегает открытого использования языка, который мог бы подстрекать или поощрять злонамеренные кибератаки, база данных показывает, что почти исключительно Estate используется для преступной деятельности.
\n“Такого рода сервисы являются основой преступной экономики”, - сказала Аллисон Никсон, основной исследователь в Unit 221B, кибербезопасной фирме, известной своими расследованиями киберпреступных групп. “Они усиливают медленные задачи. Это означает, что больше людей получают мошеннические схемы и угрозы в целом. Больше стариков теряют свои накопления из-за преступности, чем до появления такого рода сервисов”.
\nКак работает Estate
\nEstate пыталось сохранить низкий профиль, скрывая свой сайт от поисковых систем и привлекая новых участников по слову уста. Согласно его сайту, новые участники могут войти в Estate только с реферальным кодом от существующего участника, что позволяет сохранить небольшое количество пользователей для избежания обнаружения поставщиками связи, на которых Estate полагается.
\nОднажды попав внутрь, Estate предоставляет членам инструменты для поиска ранее взломанных паролей учетных записей своих будущих жертв, оставляя одноразовые коды единственным препятствием для захвата аккаунтов целей. Инструменты Estate также позволяют членам использовать сценарии, содержащие инструкции для обмана целей их одноразовыми паролями.
\nНекоторые сценарии атаки специально разработаны для валидации украденных номеров кредитных карт, обманывая жертву, чтобы передать безопасный код на задней стороне их платежной карты.
\nСогласно базе данных, одна из крупнейших кампаний звонков в Estate нацелена на более старших жертв на предположении, что “бумеры” вероятнее всего ответят на непрошеный телефонный звонок, чем более молодые поколения. Кампания, в рамках которой было сделано около тысячи телефонных звонков, полагалась на сценарий, который держал киберпреступника в курсе каждой попытки атаки.
\n“Старый товарищ ответил!” - мигает на консоли, когда жертва берет трубку, и “Отключен жизнеобеспечение” - показывается, когда атака удачно завершилась.
\nБаза данных показывает, что основатель Estate осознает, что их клиенты в основном являются преступными действующими лицами, и Estate долгое время обещал конфиденциальность для своих членов.
\n“Мы не регистрируем никаких данных и не требуем какой-либо личной информации для использования наших услуг”, - гласит сайт Estate, пошлеп на проверки личности, которые обычно требуются передуплатаивающие партнеры связи и технологические компании.
\nНо это не совсем так. Estate регистрировал каждую атаку, совершенную членами, в подробностях, начиная с момента запуска сайта в середине 2023 года. И основатель сайта сохранял доступ к журналам сервера, предоставлявший в реальном времени информацию о том, что происходило на сервере Estate в любое время, включая каждый вызов, совершенный его членами, а также каждый раз, когда член загружал страницу на сайте Estate.
\nБаза данных показывает, что Estate также отслеживает адреса электронной почты потенциальных членов. Один из таких пользователей сказал, что хотел присоединиться к Estate, потому что недавно “начал покупать ккс” - имея в виду кредитные карты - и считал, что Estate более надежен, чем покупка робота у неизвестного продавца. Записи показывают, что пользователь позднее был одобрен для стать членом Estate.
\nОбнаженная база данных показывает, что некоторые члены доверили обещаниям Estate об анонимности, оставив фрагменты их собственной идентифицируемой информации - включая адреса электронной почты и онлайн идентификаторы - в написанных ими сценариях и атаках, которые они провели.
\nБаза данных Estate также содержит сценарии атак его участников, которые раскрывают специфические способы, которыми атакующие эксплуатируют ошибки в том, как гиганты технологий и банки реализуют функции безопасности, такие как одноразовые пароли, для подтверждения личности клиента. TechCrunch не описывает сценарии подробно, так как это может помочь киберпреступникам в совершении атак.
\nОпытный журналист по безопасности Брайан Кребс, который ранее рассказывал о операции с одноразовыми паролями в 2021 году, говорит, что такие криминальные операции делают очевидным, почему вы никогда не должны предоставлять какую-либо информацию в ответ на непрошеный телефонный звонок.
\n“Не имеет значения, кто звонит: если вы не начинали контакт, положите трубку”, - пишет Кребс. Этот совет по-прежнему актуален сегодня.
\nНо хотя услуги, предлагающие использование одноразовых паролей, по-прежнему обеспечивают лучшую безопасность для пользователей, чем услуги, которые этого не делают, возможность для киберпреступников обойти эти защиты показывает, что технологическим компаниям, банкам, криптокошелькам и биржам валют, а также телекоммуникационным компаниям предстоит провести больше работы.
\nНиксон из Unit 221B гов
