Про GSM из первых рук

Number theft

Воровство “красивых номеров” по-украински

Украинские жулики попробовали на зуб identity theft, а попросту говоря - получение данных, позволяющих успешно выдать себя за другого. Судя по имеющимся у меня сведениям, им понравилось.

Если у вас или ваших знакомых есть SIM-карта (анонимного) предоплаченного сервиса (в просторечии - “припейд”) от одного из Украинских операторов с “красивым” номером - читайте и мотайте на ус.

Идея махинации

Выдать себя за владельца “красивого” номера и “увести” этот номер (переведя его на свою/новую СИМ-карту), либо же выдать себя за владельца какого угодно номера и что-то сделать с имеющимся балансом предоплаченых услуг.

Способ осуществления махинации

Использовать дыры в протоколе аутентификации владельца СИМ-карты, самостоятельно создав ложную “историю поведения” СИМ-карты.

А если по-простому?

Можно и по-простому.

Как известно, украинские операторы имеют возможность продавать prepaid подключения на условиях полной анонимности покупателя, и пользуются этим на всю катушку. Правда, в процессе пост-продажного обслуживания клиента у оператора может возникнуть необходимость удостовериться, что перед вами - настоящий владелец той или иной prepaid-ной карточки, причем сама карточка для “инспекции” по каким-то причинам недоступна. Например, в магазин приходит абонент и просит выдать (продать) ему новую SIM-карту взамен утеряной или что-то в этом роде.

Продавец должен удостовериться, что перед ним - легитимный владелец карты, которая (якобы) утеряна. Надежный способ - попросить предъявить чек о покупке стартового пакета и коробку от стартового пакета с наклейкой, на которой указан серийный номер СИМ-карты. Проблема в том, что мало кто хранит такие нужные и полезные в хозяйстве вещи.

При отсутствии коробочки, продавец просит клиента назвать какие-то “секретные” сведения, которые потенциально известны только ему. Например: приблизительную дату покупки/активации стартового пакета, номера 3-5-10 последних звонков или SMS-ов, даты и суммы последних пополнений счета и т.п. Понятное дело, что делается скидка на плохую память клиента - как правило, ему достаточно назвать правильно примерно 70-80% нужной информации, а 20-30% ошибок спишут на склероз :)

Что делают мошенники? Они звонят жертве и посылают ей SMS-ы, как правило - уговаривая под тем или иным предлогом перезвонить им или на указаный им номер; пополняют счет жертвы небольшим суммами денег (замечательно проходят темы вроде: “позвони нам, а мы дадим тебе 10 грн!” … “вот видишь, мы не врем! позвони еще раз”). После того, как злоумышленники создали достаточно длинную “историю”, известную и им, и жертве, они идут в магазин оператора и выдают себя за владельца СИМ-карты. По требованию продавца, они называют номера, с которых и на которые были звонки, даты и суммы пополнений, время и кол-во отправленых SMS и т.п.

По-хорошему, продавцы должны проверять только знание “истории” событий, инициируемых клиентом (т.е. список не всех звонков, а только исходящих; не всех пополнений, а только с номера абонента). Но во-первых так происходит не всегда, а во-вторых злоумышленники могут легко обойти такое ограничение, если жертва “играет им на руку” и звонит по указаным номерам или сама пополняет счет с помощью присланных номеров/кодов ваучеров.

Зачем такие сложности? Неужели овчинка стоит выделки?

Вбейте в ваш любимый поисковик что-то вроде “красивые номера site:ua”, и убедитесь в наличии предложения, которого не было бы, не будь спроса.

Вот такие дела.

Тривиальный способ не стать жертвой - очевиден. Достаточно не бросаться на дармовщину. Нетривиальный способ заключается в том, чтобы воспользоваться предложением перестать быть анонимным и сообщить оператору свои паспортные данные (если оператор это позволяет). Как правило, в обмен на подобную “регистрацию” вы получите какой-то бонус и регулярный бумажный/электронный спам в ваш адрес, но наличие у оператора ваших данных либо предотвратит подобное мошенничество, либо позволит пост-фактум подать жалобу и восстановить справедливость.

Комментировать в LiveJournal

blog comments powered by Disqus