Fishing – podvržené číslo volajícího

Ahoj, dnes jsem se poprvé setkal s vishingem na vyšším levelu. Volalo mi telefonní číslo moji banky, ale na druhé straně sedel někdo kdo s bankou neměl nic společného. Scénář: zamítli jsme podezřele transakce do Ruska, neukradli vám kartu? Potřebujeme kontaktovat vydavatele vaši karty a požádat o kontrolu. Řeknete mi prosím 16 čísel vaší karty? Atd atd... Co mě nejvíc zarazilo, zobrazené číslo volajícího bylo číslo banky. Česká předvolba +420, žádná záměna čísla, nic... a cely večer mi vrtá hlavou, jak je tohle sakra možné? Trochu jsem pogooglil a dozvěděl se o SS7 a její (ne)bezpečnosti. Není tu někdo kdo o tom má třeba víc načteno nebo se s tím setkal a řešil to pak třeba s PČR? K tomu je taková otázka, já si od operátora nezjistím příchozí hovory, ale on to asi evidovat bude - uvidí on reálné číslo odkud to šlo a já měl na displeji nějaký fejk číslo? Jinak telefon s iOS, žádný jailbreak atd.

Určitě bych tohle neprodleně řešil i s bankou a s operátorem. Mohlo někde dojít k narušení sítě právě na cestě mezi tebou a operátorem, nebo tebou a bankou. Dost často se tyhle útoky využívají i k odposlechům nebo zachytávání různých verifikačních kódů pro dvou fázová ověření. A čistě z bezpečnostních důvodů možná není od věci hovory a komunikaci tahat přes data, mimo GSM síť. Než ti třeba operátor potvrdí, že je to safe. Ale reálně jsem tohle ještě snad nikdy nezažil. Kreativita nezná mezí :-)Docela fajn a laicky je to popsané i zde https://eo-security.cz/system-ss7-moznosti-napadeni-aneb-jak-se-muzete-chranit/

Během hovoru jsem volal z druhého telefonu na číslo banky - linka pro ztrátu karty. Tam samozřejmě ze je to podvod a ať to polozim - o tom žádná, ale vrtá mi v hlavě to číslo volajícího.

Naštěstí už banky ve větší míře a stále častěji upouštějí od ověřování identity pomocí SMS zpráv a hovorů. Možná i kvůli riziku těchto útoků.

nahlaš to bance a tvému operátorovi, budou se tím zabývat. Případně to mohu pingnout přímo patřičnému týmu, kdyby to nešlo přes infolinku, ale jsou na tohle operátorky vyškoleni a mají k tomu formuláře.SS7 je pouze u 2G/3G.To co popisuješ najdeš pod termínem Caller ID spoofing. Obrana je bohužel skoro nemožná, k SIP hlavičkám se nedostaneš a údaje, které máš normálně k dispozici na telefonu ti moc neřeknou.Zneužívá se vnitřní komunikace mezi operátory (v angličtině to je carrier, nevím jak to přesně přeložit), kdy navzájem si neumí ověřovat čísla a pokud jeden operátor druhému řekne, že volá číslo XY, druhý tomu prostě věří. Buď se někdo dostal do infrastruktury nějakého operátora (v méně vyspělých zemích nemají dobré zabezpečení nebo tam funguje korupce), nebo je sám operátorem a takhle si přivydělává (typicky Rusko, Indie, Čína, Moldávie aj.). Nemusí se jednat jen o mobilní operátory, ale i voip, pevné linky atd.Spousta operátorů na to má určitou obranu, kdy se snaží zjišťovat, kde naposledy dané číslo bylo a jestli necestuje nereálnou rychlostí, ale tyhle obrany nejsou moc účinné.Ano, volání a sms na telefonu není a nikdy nebylo bezpečné a nelze to zabezpečit. Je to veřejné tajemství a za mě by se to mělo řešit daleko víc. Sms jako ověření při přihlašování je alibismus společností, reálně to bezpečnost nezvyšuje a jen se tím sami kryjí, přenáší tak riziko na uživatele. Upouštění od sms má spíše ekonomické důvody, ale nepřipadá mi, že by se to dělo nějak rychle, i v odborné společnosti je zakotveno, že to je bezpečné a super. Už abychom ale tuhle slepou cestu měli za sebou.

Díky za informace. Nikdy jsem tohle neřešil a žil jsem v domnění, že zrovna tohle je vyřešené, ale po tom co jsem se dočetl více i o již dnes tedy starším SS7 tak jsem byl nemile překvapen.Banka to nahlášené má. Ptal jsem se zda to řešit i s PČR a tam to prý hlásí automaticky toto. Přemýšlím zda to tedy říct ještě operátorovi, ačkoliv vzhledem k popsaným informacím bych řekl, že tohle je nikdy nekončící bitva. Aspoň poučení, nikdy nevěřit telefonu :-)

Na většinu těch situací stačí jen selský rozum. Banka po tobě nikdy po telefonu nebo SMS nebude chtít jakýkoliv údaj z karty. Už vůbec ne celé číslo a nepochybuju, že si někde řeknou rovnou i o trojčíslí vzadu. To už samo o sobě smrdí. Ale na slabší jedince to samozřejmě vždycky nějak fungovat může, protože pod nějakým tlakem panikaří a nezvládají vyhodnocovat rizika a souvislosti.

Napsal Tomáš Maňhal;1619702

Ale na slabší jedince to samozřejmě vždycky nějak fungovat může, protože pod nějakým tlakem panikaří a nezvládají vyhodnocovat rizika a souvislosti.

Slabší jedinci se bojí dávat číslo účtu, že jim ho může někdo vybílit. Číslo karty naopak rádi dají. Do pole pro bankovní účet zadávají číslo karty...

Ano, banka to policii hlásí sama, jinak se nedostane k datům od operátora, ten je má oficiálně cca půl roku. Naši operátoři tohle vyhodnocují, zabývají se snad každým takovým incidentem, většinou to končí zablokováním tohohle konkrétního, občas se odstřihne i celý operátor. Nevidí většinou reálné číslo, ale mají k dispozici spousty identifikátorů jako imsi, ty pak mohou zablokovat, stejně tak mohou zablokovat i konkrétní podvržené číslo, pokud to je pevná linka a neexistuje šance, že bude v zahraničí.Na policii to je většinou zbytečné hlásit, protože tomu nerozumí, občas to pochopí špatně a nikam se to nedostane, pokud ti nevznikla žádná škoda, budou horko těžko hledat důvod proč se tím zabývat, pokus o podvod není v našich končinách brán moc vážně. Naše banky jsou na hodně vysoké úrovni a umí tohle řešit, stejně tak operátoři. Ještě je možnost to nahlásit na ČTÚ, patří to do jeho kompetencí, ale jsou extrémně pomalí a nemají moc nástrojů.Některým našim operátorům jsem pomáhal vybudovat systémy na detekci a analýzu těhle typů incidentů.

Napsal TomášX;1619690

nahlaš to bance a tvému operátorovi, budou se tím zabývat. Případně to mohu pingnout přímo patřičnému týmu, kdyby to nešlo přes infolinku, ale jsou na tohle operátorky vyškoleni a mají k tomu formuláře.

Stalo se mi totéž včera, podvodný hovor vydávající se za mBank, zfalšováno číslo příchozího hovoru, které odpovídalo veřejně publikvoanému číslu mBank: Pokus o podvod, telefonní phishing, zfalšované číslo mBank