Охотники за SIM-картами: как в США устроен бизнес по взлому и продаже Instagram-аккаунтов
Сентябрьской ночью 2017 года жительница Солт Лейк Сити Рэйчел Остлунд (Rachel Ostlund) как всегда собиралась ложиться спать, когда ей на телефон пришло уведомление, что SIM-карта её мобильного номера «обновлена». Недоумевая, она зашла на личную почту и обнаружила там десятки уведомлений о смене паролей от различных аккаунтов с двухфакторной аутентификацией через телефон.
Опасения подтвердились — девушка стала жертвой злоумышленников, которые с помощью хитрости и угроз взламывают и перепродают аккаунты от соцсетей, в основном Инстаграма. Главный помощник неизвестных — это телефонный номер жертвы: зная его, они используют социальную инженерию и убеждают представителя провайдера перевести номер на дубликат SIM-карты. Этого хватает для кражи аккаунтов, банковских данных и криптовалюты с последующей перепродажей на тайных форумах, пишет TJournal.
Как номер телефона используют против его владельцев
В феврале 2018 года немецкая телекоммуникационная группа компаний T-Mobile разослала клиентам массовое предупреждение об угрозе взлома аккаунтов с помощью SIM-карты. Суть в следующем: злоумышленник узнает мобильный номер жертвы, звонит в сервисный центр и выдаёт себя за его владельца. Он объясняет, что «потерял» SIM-карту, и просит перевести номер телефона на новую, заранее купленную.
По правилам, после этого консультант должен попросить предъявить доказательства, что собеседник действительно владелец номера. В США в некоторых случаях для этого подойдёт дата рождения или домашний адрес, чем и пользуются злоумышленники, выдавая себя за жертву. Если в сервисе соглашаются и переводят номер на дубликат SIM-карты, неизвестный восстанавливает доступ к аккаунтам в соцсетях и банковским данным жертвы, используя двухфакторную аутентификацию по телефонному номеру.
После этого начинается новый этап — продажа украденных аккаунтов. Особой ценностью среди соцсетей обладают профили в Инстаграме. Одним из самых крупных и активных «магазинов» по покупке страниц считается форум OGUSERS. Он запустился в апреле 2017 года и с тех пор стал популярным местом для тех, кому нужно продать «гэнгсту» (OG — original gangster). Так называют аккаунты с колоритными и уникальными именами пользователей вроде: «Секс», «Бесконечность» и «Радуга», или с очень короткими логинами типа «t» и «ty».
По словам администраторов, весной 2018 года на OGUSERS продали Инстаграм-аккаунт с логином @Bitcoin за 20 тысяч долларов, а имя пользователя «Бесконечность» оценивается в тысячу долларов. Под удар также попадают аккаунты популярных блогеров и звёзд. В августе 2017 года неизвестные взломали профиль Селены Гомес (125 миллионов подписчиков на тот момент) и изменили имя страницы в «Ислах» — так зовут активного пользователя OGUSERS, который, судя по сообщениям на форуме, руководит отдельной группой злоумышленников.
Масштабы проблемы
По словам двух модераторов форума, на OGUSERS никогда открыто не обсуждают взломы аккаунтов с помощью дубликата SIM-карты, но среди членов форума это распространённый способ кражи аккаунтов. Помимо этого в инструментарии взломщиков встречается даркнет-сайт Doxagram, который позволяет за 10 долларов купить номер телефона и электронный адрес от определённого аккаунта в Инстаграме. Ресурс появился после громкой утечки пользовательских данных из социальной сети в 2017 году.
«Когда-то это [взлом аккаунтов через дубликат SIM-карты — прим. TJ] было настолько же легко, насколько можно просто позвонить в телефонную компанию и попросить изменить SIM-карту на мобильном номере. Теперь нужно знать людей, которые работают в компании, и платить по 100 долларов за сотрудничество», — утверждает в разговоре с Motherboard пользователь OGUSERS.
Другие собеседники издания, знакомые с ситуацией, признают, что многие взломщики платят 80-100 долларов сотрудникам коммуникационных компаний за перенос мобильного номера на новую SIM-карту. «Со своими людьми внутри компании всегда проще и быстрее», — считает один из пользователей форума. Двое модераторов сайта Thug и Ace рассказали, что не испытывают никаких угрызений совести по поводу взломов и перепродажи аккаунтов, криптовалютных кошельков или банковских данных.
«Я беру их деньги и живу своей жизнью. Они сами виноваты, что не следили за безопасностью», — говорит Ace.
Модератор Thug оправдывает свои действия тем, что они никому не вредят, когда крадут аккаунты в Инстаграме, а лишь забирают имена пользователей. При этом специалист по кибербезопасности технологической компании Recorded Future Андрей Барисевич (Andrei Barysevich) признаёт — на взломах с помощью дубликатов SIM-карт можно заработать «много денег».
В августе 2017 года на одну из крупнейших криптобирж Coinbase совершили несколько громких атак с кражей криптовалюты у пользователей. Суммарно злоумышленники украли несколько миллионов долларов, получив доступ к мобильным номерам жертв через дубликат SIM-карты. Вернуть средства так и не удалось.
Способы борьбы
AT&T, Verizon, Sprint и T-Mobile — все четыре американских интернет-гиганта признали существование схемы по краже мобильных номеров. Однако ни одна из компаний не раскрыла число жертв взломов среди своих клиентов. В AT&T количество пострадавших назвали «небольшим и редким», а представитель T-Mobile заявил, что компания усилила меры безопасности для защиты клиентов. Организация попросила пользователей придумать пароль, который нужно будет называть консультанту при запросе о смене SIM-карты. О схожей системе в других компаниях не сообщалось.
В марте 2018 года AT&T, Verizon, Sprint и T-Mobile объявили о создании «революционной» системы защиты, которая исправит проблемы и риски двухфакторной аутентификации. Однако с тех пор об инициативе ничего нового не появилось, а детали её работы неизвестны. Более того, неясно, как она может исправить ситуацию с кражей SIM-карт.
Как и коммуникационные гиганты, ФБР не ведет статистику или не хочет раскрывать данные о количестве жертв дублирования SIM-карт. СМИ не уверены, что подобный учёт вообще проводится властями.
Многие жертвы взломов так и не сумели вернуть себе потерянные аккаунты, а порой вдобавок теряли деньги с банковских карточек. История Рэйчел Остлунд сложилась иначе. Вскоре после кражи девушке позвонил неизвестный и пригрозил «большими проблемами», если она не выдаст ему данные от своих профилей в Инстаграме и Твиттере с логином Rainbow — они не были привязаны к номеру телефона, поэтому злоумышленник не мог самостоятельно получить к ним доступ.
«Немедленно смени электронный адрес в Твиттере. Не хочу показаться уродом, но если ты не будешь быстро отвечать, вскоре с тобой начнут происходить плохие вещи», — говорилось в сообщении, которое неизвестный отправил Остлунд.
Когда некто позвонил во второй раз, в доме девушки уже находилась полиция. Патрульные выслушали жертву, но выглядели озадаченно и не сказали ничего полезного. При поддержке T-Mobile девушке всё-таки удалось восстановить контроль над мобильным номером, но к тому времени неизвестный уже контролировал нужный ему аккаунт в Инстаграме.
В сентябре 2018 года исполнится год с той кражи. Предположительно, аккаунт девушки до сих пор находится под контролем члена форума OGUSERS, который представился 18-летним участником «хакерских групп». Неизвестно, насколько достоверна эта информация. Другой предполагаемый злоумышленник, участвовавший во взломе аккаунта Остлунд, скрывался под именем Austin. По словам девушки, ФБР удалось вычислить его в Колорадо-Спрингс и «сильно напугать», поэтому больше он не будет заниматься кражей аккаунтов. Насколько это правда, сказать сложно, так как федеральные агенты редко сообщают прессе детали расследований.
Читайте также на ForumDaily:
Что происходит со страницами в соцсетях после смерти пользователя
Что можно узнать о себе онлайн и кто этим пользуется
Одиночество в сети: американская компания продает ботов и фальшивых подписчиков
Как работала русская фабрика троллей в США
Как связанные с Россией тролли и боты воспользовались закрытием правительства США
Подписывайтесь на ForumDaily в Google NewsХотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» — и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.