Удалённые рабочие столы (RDP) — удобная вещь, когда надо что-то сделать на компьютере, но при этом нет физической возможности сесть перед ним. Или когда нужно получить хорошую производительность, работая со старого или не слишком мощного устройства. Облачный провайдер Cloud4Y предоставляет такую услугу многим компаниям. И не мог пройти мимо новостей о том, как мошенники, промышляющие угоном (свопом, подменой) SIM-карт, перешли от подкупа сотрудников телекоммуникационных компаний к использованию RDP для получения доступа к внутренним базам данных T-Mobile, AT&T и Sprint.
Кибермошенники (рука не поднимается назвать их хакерами) всё чаще заставляют сотрудников операторов сотовой связи запускать ПО, которое позволяет проникать во внутренние базы данных компаний и красть номера мобильных телефонов абонентов. Специальное расследование, проведённое недавно онлайн-журналом Motherboard, позволило журналистам предположить, что атакам подверглись как минимум три компании: T-Mobile, AT&T и Sprint.
Это настоящая революция в сфере краж SIM-карт (их воруют, чтобы мошенники могли использовать номер телефона жертвы для получения доступа к электронной почте, социальным сетям, криптовалютным учётным записям и пр.). Раньше мошенники подкупали сотрудников мобильных операторов, чтобы они подменяли SIM-карты или использовали социальную инженерию для того, чтобы выманить нужную информацию, выдавая себя за реального клиента. Теперь они действуют нагло и грубо, взламывая ИТ-системы операторов и выполняя нужные махинации самостоятельно.
Речь о новом способе мошенничества подняли в январе 2020 года, когда несколько американских сенаторов задали председателю Федеральной комиссии по связи Аджиту Паю вопрос о том, что его организация делает для защиты потребителей от продолжающейся волны атак. О том, что это не пустая паника, свидетельствует недавнее дело о краже $23 миллионов с криптосчёта через SIM-свопинг. Обвиняемый — 22-летний Николас Трулья, который «прославился» в 2018 году благодаря успешному взлому мобильных телефонов некоторых видных деятелей из Силиконовой долины.
«Некоторые рядовые сотрудники и их руководители абсолютно инертны и бестолковы. Они дают нам доступ ко всем данным, и мы начинаем воровать», — на правах анонимности рассказал онлайн-журналу один из злоумышленников, занимающийся угоном SIM-карт.
Как это работает
Взломщики используют возможности протокола удалённого рабочего стола (RDP). RDP позволяет пользователю управлять компьютером, виртуально, находясь в любом другом месте. Как правило, эта технология используется в мирных целях. Например, когда техническая поддержка помогает настроить компьютер клиенту. Или при работе в облачной инфраструктуре.
Но злоумышленники тоже оценили возможности этого программного обеспечения. Выглядит схема довольно просто: мошенник под видом сотрудника техподдержки звонит обычному человеку и сообщает ему про заражение компьютера опаснейшим ПО. Чтобы решить проблему, жертва должна включить RDP и пустить в свою машину фальшивого представителя службы поддержки. А дальше — дело техники. Мошенник получает возможность делать с компьютером всё, что душа пожелает. А желает она обычно посетить онлайн-банк и украсть деньги.
Забавно, что мошенники переориентировались с обычных людей на сотрудников операторов связи, убеждая их установить или активировать RDP, а затем удалённо
Такая деятельность возможна, так как некоторые сотрудники мобильного оператора имеют права на «перенос» номера телефона с одной SIM-карты на другую. При подмене SIM-карты номер жертвы переносится на SIM-карту, контролируемую мошенником. А затем он может получить коды двухфакторной аутентификации жертвы или подсказки сброса пароля через SMS. У T-Mobile для смены номера используется инструмент QuickView, у AT&T — Opus.
По словам одного из мошенников, с которым удалось пообщаться журналистам, наибольшую популярность приобрела RDP-программа Splashtop. Она работает с любым оператором связи, но для атак на T-Mobile, AT&T её используют чаще всего.
Представители операторов не отрицают эту информацию. Так, в AT&T заявили, что знают об этой специфической схеме взлома и предприняли шаги для предотвращения подобных инцидентов в будущем. Представители T-Mobile и Sprint тоже подтвердил, что компании известно о способе угона SIM-карт через RDP, но в целях безопасности не стали раскрывать предпринятые меры защиты. Verizon не стал комментировать эту информацию.
Выводы
Какие можно сделать выводы из происходящего, если не использовать нецензурную лексику? С одной стороны — радует, что пользователи стали учёнее, раз преступники переключились на сотрудников компаний. С другой — безопасность данных по-прежнему никакая. На Хабре и на других сайтах проскакивали статьи о мошеннических действиях, совершённых с помощью подмены SIM-карт. Так что наиболее эффективным способом защиты своих данных является отказ от их предоставления куда бы то ни было. Увы, но сделать это почти нереально.
Что ещё полезного можно почитать в блоге Cloud4Y
→ Устойчивые к CRISPR вирусы строят «убежища» для защиты геномов от ДНК-проникающих ферментов
→ Как «сломался» банк
→ Великая теория снежинок
→ Интернет на воздушных шарах
→ Пентестеры на передовой кибербезопасности
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.
