Активное развитие систем удаленного обслуживания абонентов сотовых операторов несет новые угрозы. Компрометация пользовательских учетных записей ведет к нарушению тайны личной жизни, несанкционированному управлению списком подключенных услуг, а также риску мошеннических операций с использованием социальной инженерии и хищениям денежных средств из финансовых систем, использующих одноразовые SMS-пароли для подтверждения операций.
ИССЛЕДОВАНИЕ
Согласно проведенному Group-IB исследованию, более 14% пользовательских аккаунтов в системах удаленного обслуживания абонентов находятся под угрозой, что вызвано широким распространением вредоносного ПО, похищающего авторизационные данные web-сервисов, а также несовершенными политиками безопасности самих систем удаленного обслуживания.
Доступ к личному кабинету абонентов осуществляется с помощью пары «телефон: пароль», причем зачастую длина пароля не превышает 4 символов, что делает возможным относительно быстрый перебор пароля. При компрометации пользовательских авторизационных данных злоумышленник получает доступ к личному кабинету с широкими возможностями, которые варьируются от оператора к оператору, но в целом сводятся к следующему:
Получение детализации разговоров абонента за любые периоды.
Получение финансовых выписок с лицевого счета.
Настройка периодической отправки счетов и детализации разговоров на сторонний e-mail.
Настройка переадресации вызовов.
Настройка переадресации SMS-сообщений.
Доступ к архиву SMS-сообщений, если было настроено хранение сообщений на стороне оператора.
Изменение списка подключенных услуг, изменение тарифного плана.
Просмотр личной информации, такой как ФИО, e-mail, адрес и др.
ОПИСАНИЕ АТАКИ
Подавляющее большинство пользовательских учетных записей компрометируется на зараженных вредоносным ПО устройствах самих пользователей. Так, для хищений авторизационной информации злоумышленники широко применяют следующие семейства вредоносного ПО: Zeus, Citadel, Carberp, Smoke Bot, Ranbyus и другие. Вредоносное ПО распространяется через уязвимости в интернет-браузерах, их надстройках, под видом прикладного ПО (в частности на пиратских torrent-трекерах) и через ряд других каналов. Услуга инфицирования компьютеров в интернете продается и на черном рынке по цене от $50 до $600 за тысячу зараженных устройств, в зависимости от качества трафика и региона.
После заражения вредоносное ПО начинает сбор всей вводимой на компьютере информации, экспортирует сертификаты, изготавливает скриншоты и даже видео работы пользователя в соответствии с настройками , а также предоставляет злоумышленнику удаленный доступ к зараженному устройству.
В результате атаки в руки злоумышленников попадают авторизационные данные ко всем интернет-сервисам, которыми пользуется жертва: e-mail, социальные сети, корпоративные порталы, платежные системы, интернет-банкинги, личные кабинеты операторов связи и др. При этом наибольший интерес для злоумышленников представляют собой учетные данные от финансовых сервисов.
Многие банки в России и других странах для безопасности реализовали подтверждение платежей посредством SMS-сообщений, что на самом деле в ряде случаев не является безопасным решением проблемы: так, в результате компрометации учетных данных от личного кабинета некоторых операторов связи возможно установить переадресацию входящих SMS-сообщений на другой номер, что позволяет злоумышленнику полностью обойти механизм подтверждения банковских платежей и осуществить мошенническую операцию.
Другие вектора атак могут быть связаны с социальной инженерией: например, установив переадресацию всех входящих вызовов, злоумышленники могут значительно эффективнее использовать приемы социальной инженерии и обманом вынуждать родственников абонента переводить куда-либо денежные средства, сообщая о вымышленной сложной ситуации, в которую якобы попал абонент.
Список возможных векторов атаки не исчерпывается этими двумя примерами, однако по ним наглядно понятна степень угрозы, которую несет возможная компрометация реквизитов доступа к личным кабинетам операторов связи.
СТАТИСТИКА
Данные исследования были получены с помощью системы мониторинга бот-сетей Group-IB Bot-Trek. Всего было проанализирована информация о более чем 100 000 скомпрометированных компьютеров в РФ, СНГ, стран Северной Америки, Евросоюза и Ближнего Востока.
- Стоимость медиауслуг (открыть PDF) -
