КАК МОШЕННИКИ МОГУТ РАСПЛАТИТЬСЯ ЗА СВОИ ПОКУПКИ ДЕНЬГАМИ С ВАШЕГО МОБИЛЬНОГО ТЕЛЕФОНА

Как мошенники могут расплатиться за свои покупки деньгами с Вашего мобильного телефонаВозможно, некоторые из вас сталкивались с ситуацией, когда со счета вашего мобильного телефона неожиданно исчезали деньги.

Мало кто знает, что подобное исчезновение средств может быть связано с атаками на ваш мобильный телефон. Для этого злоумышленники используют весьма простую, но крайне эффективную схему.

Во всем мире распространены так называемые схемы мобильной оплаты товара.

В России такие системы также получают все большую популярность. Подразумевается, что любой покупатель может расплатиться за любой товар с помощью денег со счета на своем мобильном телефоне.

В тех местах, где оплата со счета мобильного телефона разрешена, вы можете выбрать понравившийся вам товар, узнать его идентификатор и отправить его на соответствующий телефонный номер, указав в этом же SMS-сообщении название места, где товар приобретается. После этой операции со счета вашего мобильного телефона будут сняты деньги для оплаты выбранной вами покупки или услуги.

Особенно это удобно, если вы хотите оплатить с мобильного телефона какой-либо счет. Это может быть оплата штрафа или коммунальных услуг. Пользуясь этой услугой, вы можете заказать цветы любимой девушке, заранее оплатив их доставку, или просто заплатить за игрушку, которую выбрал ваш ребенок в магазине.

Такие системы достаточно распространены при работе с постоянными клиентами. Так в США многие пиццерии позволяют своим постоянным клиентам делать заказ прямо с мобильного телефона, номер которого есть в базе данных кафе-ресторана и привязан к адресу проживания их клиента.

Именно такие системы имеют уязвимости, которыми с успехом могут воспользоваться мошенники, заставив вас платить за чужие покупки.

Что использует злоумышленник для реализации атаки?

Для атаки злоумышленнику необходимо найти компанию, позволяющую сделать заказ и оплатить его средствами со счета мобильного телефона. Для него ситуация осложняется тем, что некоторые службы отправляют SMS-сообщения с запросом подтверждения того, что отправитель действительно хочет произвести оплату. Но это встречается не во всех системах.

Подобные несовершенные системы внедрены и работают, в том числе, и в России.

Для выполнения подобной атаки злоумышленник использует механизм формирования и отправки SMS-сообщений с поддельным адресом отправителя. Механизм подмены телефона отправителя уже разбирался ранее в других атаках. В предыдущих случаях для работы с SMS-шлюзом использовался HTTP-протокол, который, с точки зрения злоумышленника, не является самым эффективным. Во-первых, потому что большинство шлюзов имеют весьма ограниченный функционал при работе по HTTP-протоколу и далеко не все предоставляют возможность менять имя отравителя.

Во-вторых, многие SMS-шлюзы принципиально не имеют в своем арсенале возможности взаимодействовать по HTTP-протоколу, так как участились случаи жалоб на то, что к такому механизму отправки сообщений могут получить доступ любые желающие, в том числе и злоумышленники.

Все большее количество SMS-шлюзов переходит на работу по протоколу SMPP. SMPP (Short Message Peer to Peer) является протоколом взаимодействия клиента и SMS-шлюза. SMS-шлюз, как уже говорилось, является связующим звеном между пользователем, работающим в Интернете, и оператором сотовой связи, который отвечает за непосредственную отправку SMS-сообщений.

Протокол SMPP является гораздо более сложным, чем протокол HTTP, но при этом производительность его гораздо выше. Это объясняется тем, что данный протокол является бинарным.

Чтобы отправить SMS-сообщение по SMPP-протоколу через SMS-шлюз, необходимо:

1) подключиться к SMPP-шлюзу;

2) отправить серверу сообщение BIND_TRANSMITTER, указывающее на запрос со стороны клиента с целью создания постоянного соединения c SMS-шлюзом;

3) дождаться от сервера сообщения BIND_TRANSMITTER_RESP, которое указывает на то, что запрос о создании соединения принят или отвергнут;

4) отправить сообщение SUBMIT_SM, которое отвечает за отправку SMS-сообщения и содержит текст этого сообщения;

5) дождаться от сервера сообщения SUBMIT_SM_RESP;

6) разорвать соединение, отправив сообщение UNBIND.

С помощью внедрения в этот алгоритм своих программных команд злоумышленник может подделать все необходимые данные для реализации атаки.

Защита от атаки

Защититься от подобной атаки нетрудно. Прежде всего, необходимо обнаружить факт атаки.

Если злоумышленник снимает деньги небольшими порциями, то сделать это сложнее. Если все же факт списания денежных средств налицо, то необходимо обратиться в техническую службу вашего сотового оператора.

При этом не стоит путать списание средств в счет оплаты реальных услуг, например, роуминга, с атакой мошенников.

Признаком атаки на вас может быть приход SMS-сообщения с просьбой подтвердить покупку. Делать этого конечно не стоит, а вот запомнить номер, с которого пришло сообщение, просто необходимо. По этому номеру вы сможете узнать, какая торговая организация использует этот номер с целью оплаты покупок. Возможно, именно уязвимости данной системы оплаты и приводят к подобным атакам.

Не стоит оставлять без внимания такие проявления злонамеренных действий, так как, предупредив эти атаки, вы сможете сэкономить миллионы рублей честным обладателям мобильных устройств.

К сожалению, настроить собственный телефон таким образом, чтобы исключить возможность незаконного съема средств невозможно. Ни антивирусные системы, ни настройки мобильных устройств не смогут полностью вас обезопасить. Таким образом, лучшим оружием в данной ситуации должна быть ваша бдительность.

К сожалению, подобных уязвимых систем в настоящее время немало. Вызвано это тем, что в погоне за быстрым выходом на рынок с абсолютно новой и неизвестной конкурентам новинкой в сфере обслуживания, многие заказчики совершенно не обращают внимания на безопасность решений или же преднамеренно закрывают на это глаза, понимая, сколько средств и времени необходимо для решения проблемы.

Последствием подобной скупости или недальновидности могут быть судебные иски.

Надеемся, что данной публикацией мы уменьшим число предпринимателей, легкомысленно относящихся к тому, что они предлагают на рынке.

Не каждое сообщение о том, что ваш баланс приближается к нулевой отметке, является результатом вашей любви поболтать по телефону. Может быть, кто-то просто заказал пиццу за ваш счет.

Источник: Daily.sec.RU - https://daily.sec.ru/publication.cfm?pid=41677

Опубликовано: 22.07.2013


Вернуться к началу статьи ...