Как стать автором
Обновить

Комментарии 88

А самые отчаянные могут найти бота и воспроизвести атаку на
… на тех, от кого что-то сильно зависит. Например можно позвонить от имени начальника одного прокурора другому прокурору, диспетчеру, админу и т.п. И приказать, попросить сделать что-либо, можно даже не выходящее за рамки должностных инструкций, но нужное сейчас в очередной многоходовочке.

Думаю прокуроры легко сделают перекрестную идентификацию, типа 'Как звали ту рыжую которая была с нами в сауне позапрошлый раз'.

Часто вы начальству перекрёстную идентификацию устраиваете?
Думаю, если бы начальник сказал мне сделать что-то неадекватное, я бы всё же лишний раз удостоверился, а он ли это. Разумеется, если бы смог за разумное время отойти от шока.

Во многих фильмах сцены с атакой через социнженерию в направлении босс-подчиненный построены на задействовании "слабых" подчиненных. Это или новички, или тряпки, которых фразы "ты что, идиот?", "уволю!" переключают в режим марионетки. Собственно, они мало что решают и могут, но будучи примененными в нужном месте (или в цепочке) дают нужный эффект.


Вряд-ли атакующий по сложному сценарию (с использованием имитации личности) с требуемым гарантируемым результатом (а не ловлей лоха) будет выбирать жертвой адекватную личность со стрессоустойчивым мозгом. Будет выбрана кандидатура у которой период шокового оглушения будет больше периода требуемого на выполнение операции.

Собственно уже были реальные случаи. Позвонил «босс» и попросил сотрудника перевести деньги на названный им счёт. Деньги перевели, дальше деталей не помню. Но там ещё вроде бы подменой лица/голоса пользовались.
Вы про это?
Для начала — обобщённый айтишник в принципе несколько скептичнее относится к указанию начальника. А те, кто, например, носят погоны, обучены тому, что приказы не обсуждаются.

Но если заход действительно многоходовый, то можно одного попросить сделать мелочь, не настолько уж прям неадекватную, затем — второго, и т.д.
У Азимова таким образом обходили три закона робототехники.
Нескольким роботам давали команды, которые никак не нарушали первый закон, но в сумме приводили к смерти человека. (А Азимовские роботы, нужно сказать, параноидально исследуют последствия выполнения приказов в плане нарушения законов)
Что-то я не помню такого в роботическом цикле. Напомните, в каком это произведении такая фабула?
Там была специальная партия роботов для помощи инженерам в сборке какой-то космической вундервафли. Работы были связаны с нахождением в зоне слабого то ли рентгеновского, то ли ещё какого излучения — при наличии защитного костюма и соблюдении временных интервалов было вполне безопасно. Но обычные роботы по первому закону инженеров просто в эти зоны не пускали и буквально оттуда вытаскивали — излучение же, человеку низзя. В итоге сделали партию роботов, которым первый, кажется, закон не то, чтобы обошли, а слегка, самую малость подкорректировали. Ну и всё завертелось…

Невтонами их, вроде как, называли. Но вот название рассказа — простите, склероз, увы.
> Но обычные роботы по первому закону инженеров просто в эти зоны не пускали и буквально оттуда вытаскивали — излучение же, человеку низзя. В итоге сделали партию роботов, которым первый, кажется, закон не то, чтобы обошли, а слегка, самую малость подкорректировали. Ну и всё завертелось…

Тут Вы путаете. Это был другой рассказ — названия по-прежнему не помню, но фабула такая:

На исследовательской станции ЧП: в грузовом отсеке отлетающего космолёта не N роботов, а N+1, а на самой станции не хватает одного робота, в которого зашит «модифицированный» Первый Закон — этот робот не может убить человека, но не обязан его *спасать*. Как выясняется, один из исследователей в сердцах сказал роботу «уйди и не попадайся мне на глаза больше», но другими (очень крепкими) словами, а дальше всё произведение его пытаются отличить от прочих, а робот, наоборот, старается слиться с толпой. Такой робот там был один (хотя других и пытался сагитировать в свою версию Первого Закона, и даже небезуспешно), и никто там не умер.
Ну да, дальше так именно и было – его послали матом и он спрятался и скрывался среди других. Потому что его первый закон был модифицирован и эта модификация вызвала такие неполадки в поведении (он врал человеку). А модифицирован он был как раз потому, что нормальные роботы не давали людям работать в опасной зоне на сборке этой вундервафли. Ну или исследования там были, уж не помню.

А послали его потому, что туда роботов отправляли только с базовыми, академическими знаниями. Расчёт был на то, что на месте они сами научатся всему остальному. И по перваку эти роботы больше мешались под ногами, чем пользы приносили. Ну и у кого-то из сотрудников что-то там не клеилось, а тут ещё эта жестянка мельтешит – ну он и высказал всё, что думает, не стесняясь в выражениях.

Собственно, вот оно – ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D0%BE%D1%82%D0%B5%D1%80%D1%8F%D0%BB%D1%81%D1%8F_%D1%80%D0%BE%D0%B1%D0%BE%D1%82
Помню одного зависшего робота, который принёс хозяину отравленную чашку чая. Правда не помню, кто или что отравило чай.
Вот это из Naked Sun — одно из убийств с помощью роботов.
Там был детектив в стиле «замкнутая комната» в том смысле что местные жители никогда не посещали друг-друга лично, и были окружены лишь роботами, но кто-то смог совершить убийство…
Это в цикле про Р. Дэниэла Оливо.
ru.wikipedia.org/wiki/Обнажённое_солнце_(роман)

В этом цикле роботический цикл рассматривается героями уже как сборник древних сказок.

Сам цикл — прелюдия к основаниям.
Ну так можно адекватное, в пределах должности просить.

Вполне можно звонить и просить что-то адекватное, что никто не будет проверять.
Например позвонить от начальника на вахту и попросить пропустить человека, сказав что он к нему пришел. Попросить разработчика переслать письмо еще одному представителю заказчика. И т.д.

Я постоянно. Начальник любит звонить через WhatsApp, и давать идиотские распоряжения. И так как моя мобила не умеет писать разговоры с интернет мессенджеров, то я сливаю входящий и перезваниваю по обычной сотовой связи.

С 2012 года пранкер звонил местным судьям и, представляясь судьей рангом повыше или высокопоставленным силовиком, убеждал их принимать те или иные решения по гражданским, административным и уголовным делам. Сложно сказать, насколько часто его звонки реально влияли на исход дела, но судьи, принимая Давыдова за начальника, по телефону обычно обещали выполнить его просьбы.
https://zona.media/article/2020/10/08/prunk

да, а потом переспросят ничего ли страшного, что мы общаемся по обычному телефону
— Нет времени объяснять, срочно выпускай Навального!
НЛО прилетело и опубликовало эту надпись здесь
Не каждый виртуальный оператор разрешает сделать подмену короткого номера. Кроме того банки уже год как активно чешутся по этому поводу. В итоге вероятность прозвона не с короткого номера сейчас гораздо выше.
Т.е это прямо реально есть те кто вот если им звонят с номера 900 бабло переведут а вот если с 79996475612 то нет, так что-ли?

Реальность много хуже. Мой личный №1 по абсурдности — инцидент в Череповце.
Есть куча софта (чуть ли не стандартная звонилка Android'а так умеет), который автоматически ищет номер звонящего в Сети и выводит пользователю название компании, и многие этому вполне доверяют (либо некоторые сами при непонятном звонке быстренько гуглят, кто это, и в зависимости от этого принимают или не принимают вызов). Типа, «номер правильный, значит действительно из банка звонят, можно доверять».

Если человек не раздает свой телефон на все стороны (не ждет звонков с неизвестных номеров, не публикует объявления...), то вобщем-то можно не отвечать на неизвестные номера. В важной ситуации или перезвонят или пришлют сообщение о теме общения.
Правильное использование таких определялок при публикуемом номере — можно не перезванивать или не отвечать, если номер помечен подозрительным. Но не в коем случае не вводить его в свое доверие минуя стандартные проверки, если номер определился как доверенный. К сожалению, последнее правило нарушается и как раз используется для атаки.

Дело конкретно в притуплении внимания. Пробив номера в интернете скажет, что это номер сбера. Пробив фамилии — что есть такой сотрудник и так далее. Это всё увеличивает доверие к звонившему. Потом это накладывается на страх за ресурсы и вообще огонь ¯\_(ツ)_/¯
Можно просто не иметь счетов в популярных финансовых учреждениях и всех «сотрудников безопасности %популярныйбанкнейм%» слать куда подальше сразу.

То что вы сообщили уже учтено мошенниками. Т.к они звонят по слитой актуальной базе. Узнать в каком банке у вас хранятся деньги поверьте не составит труда. Есть различные способы и социальная инженерия, и предварительный "прозвон" по социальным сетям, и различное вспомогательное ПО. Если кажется, что никто не будет заморачиваться конкретно с вами, то это не так. Всё ставится на конвейер, а вы для них лиш строчка в excel файле. Опять же, если вы считаете себя бдительным, это хорошо. Но с уверенностью ли можете сказать про своих близких и родных то же самое?

Как бы да, но как бы нет. Сбер тут только как пример. В конце концов, мы идёт за определёнными услугами к организации, да и на большинстве работ зп-карта будет в определённом банке (сбер/альфа/тп). Не иметь отношения к чему-то популярному это хоть и уменьшает риски, но не является панацеей :(

А вот по поводу посылания сотрудников — согласен. СБ, конечно, может позвонить и предупредить, но просить пользователя совершать какие-либо действия они явно не станут, тк банк и так имеет полную власть над счётом человека.
СБ может позвонить и попросить подтверждение транзакции, в России так по закону положено если человек совершает нетипичную для него транзакцию в первый раз. Мне так звонил Хоум кредит при оплате хостинга. Мошенники этим и пользуются по сути, но понятно что если речь заходит о чем-то кроме простого «да\нет», то нужно слать.
Не секрет, что подобные звонилки много кто использует в мирном русле.
В каких, к примеру? Потому что у меня такое ощущение, что если кто-то использует подмену номера, то он занимается чем-то не тем.
В каких, к примеру? Потому что у меня такое ощущение, что если кто-то использует подмену номера, то он занимается чем-то не тем.
Reply
Для ИМ удобно. Когда оператор ИМ (курьер, суппорт, директор) может звонить с любого телефона, а у клиента высвечивается единый номер телефона магазина, а не 100-500 номеров по которым кто звонил и куда перезванивать если что. Есть, конечно, другие способы это сделать, но они не всегда удобнее и нередко дороже.
Предположу, что ИМ — Интернет Маркетинг.
Ааа, точно. Спасибо) Не всегда смысл аббревиатур интуитивно доходит. Хотя должно быть понятно, что на хабре И с большой вероятностью означает Интернет, но я сидел тупил в две буквы добрых пять минут и ничего на ум не шло.
Интернет-Магазин же.

Instant Messenger например.

Интернет Магазин, сорри:)

… а потом ты продираешься через восьмиуровневый колл-центр, чтобы дозвониться до человека, который занимался твоим заказом, чтобы он, наконец, соизволил сообщить курьеру правильный адрес доставки...

Скайп, к примеру, позволяет привязать номер (для этого достаточно принять на него SMS и ввести в скайп код) и при звонках со скайпа на мобильные будет отображаться он (во всяком случае, раньше так было). Вполне разумное и легальное применение.
Частое использование — общение менеджеров с клиентами и наоборот. Многие коммерческие компании пользуются подобным софтом, чтобы клиент понимал, звонит компания «такая-то» и не важно кто, из сотен сотрудников, решил сделать звонок — будет единый номер компании. Вроде так. Как пример, если вы звоните в центр поддержки, сбросили, то вам и перезвонит номер этого центра, обычно. Казалось бы, телефон единый, вы единолично его заняли, а остальные будут ждать и слушать «номер занят». Но так же не происходит ¯\_(ツ)_/¯
Технология очень популярная, очень нужная, но злоумышленники не в первый и не
в последний раз, что-то полезное превращают в инструмент обмана.
Мало того, для заказов из региона подставляем 8-800, для московских — прямой московский номер 495, для питерских — прямой питерский. Это и снижает расходы на 8-800 на обратный звонок, если клиент перезвонит, и добавляет уверенности и доверия что магазин рядом в этом городе, даже если его там нет и доставка идёт через курьерские службы.
и добавляет уверенности и доверия что магазин рядом в этом городе

Это да, благодаря всяким службам перенаправления телефонов теперь нельзя с точностью сказать по номеру, куда ты звонишь ((

Настоящее веселье начнется, когда так же легко будет доступна подделка голоса конкретного человека.

Эх, школота… 8)


неужели не очевидно?
  • Как зовут собаку?
  • Макс.
  • Эй, Джанелл. А что там с Вулфи? Слышу, он там лает. С ним всё в порядке?
  • С Вулфи всё в порядке, дорогой. С Вулфи всё прекрасно. Где ты?
Эх, чудный фильм. И имитация голоса и перебор ПИН-а к карте и вторжение в лабораторию по созданию ИИ! А мы его боевиком ещё называем
Скоро может перейти в раздел документального кино. Поэтому на всякий случай Слава роботам!
Твои приёмные родители мертвы
Твои опекуны мертвы!
Я видел разные переводы. Но наверное «foster-parents» правильно переводить как «опекуны».

У меня был перевод Володарского на кассете)

Повесить трубку и перезвонить проще, чем судорожно такие факты вспоминать) Можно даже сослаться на проблемы со связью, если кто-то обидчивый на той стороне.

Другой вопрос, для начала надо усомниться. А вокруг достаточно людей, которые этого не делают. Да что уж там, определитель номера стал дефолтной опцией только с 2000-х — до того верили строго на слово.
Это всё не более опасно, чем любой другой предмет или инструмент в наших руках.

Просто идея о том, что что-то (А) может являться идентификатором чего-то ещё (Б) — работает только в ограниченном контексте (включая время). И чем шире контекст, там меньше шансов, что это работает. Мне представляется, что это чистая философия и логика.

Отсюда следствие — использовать что-то (номер телефона, паспорт, имя и фамилия, адрес электронной почты, голос как пишут выше, или биометрию, и так далее) как идентификатор человека можно только в ограниченном контексте. И всегда есть вероятность ошибки идентификации, даже в этом ограниченном контектсе.

Для себя использую правило "обратной авторизации". Кто-бы ни подменял номер, обратный звонок на этот номер приведет к настоящему владельцу (да, я знаю, что когда я буду кому-то нужен за очень большие деньги, для меня построят информационный пузырь, но я мелкая рыбка). В случае организации я сообщаю, что сейчас перезвоню через официальный номер. На этом атака разваливается.

Кто-бы ни подменял номер, обратный звонок на этот номер приведет к настоящему владельцу
Вот только если никакой подмены и не было, а номер просто принадлежит SIP-гейту, которым пользуется куча компаний, то к настоящему владельцу обратный звонок не приведет.
Немного не понял, объясните пожалуйста, как обратный звонок по какому-то legitimate номеру, указанному например на сайте магазина или банка или еще чего, может НЕ привести к ним?
Я так понял, в изначальном комментарии мысль была не «Услышал, кем представились, нагуглил реальный номер, перезвонил», а «Вижу входящий с какого-то номера, перезваниваю ровно по этому же номеру — тогда я точно попаду на его реального владельца».
Для себя использую правило «обратной авторизации». Кто-бы ни подменял номер, обратный звонок на этот номер приведет к настоящему владельцу


Видимо, тут имеет смысл уточнить – Вы позвоните по тому номеру, который у Вас высветился, или пойдёте на сайт организации и позвоните по номеру, указанному там? В первом случае Вы имеете все шансы нарваться на гейт, который входящие просто не принимает. Во втором же случае да, Вы попадёте на нужную организацию.
Во втором же случае да, Вы попадёте на нужную организацию.

Если конечно они не купят рекламу по нужному запросу.

О6раниченное кол-во гейтов позволяет подставить callid номер без предварительной проверки.
Когда вы перезвоните по номеру вы попадаете на реального человека который понятия не имеет о звонке.

Это ситуация вне модели жизни обычного человека. У обычного человека какие информационные связи? Родня-коллеги-знакомые, которые забиты в телефонную книгу. И организации, с которыми он заинтересован общаться. Все эти номера у него в "доверенном" списке. Т.е. либо в телефонной книге, либо берутся с официальных страниц организаций. Если по входящему номеру или по услышанному названию не получается совершить обратный звонок, значит для этого человека данный контакт заведомо не доверенный.


Если я ошибаюсь, приведите мне контрпример, пожалуйста. За свою жизнь такого не было ни разу (но я знаю, что это не доказательство невозможности).

Если я ошибаюсь, приведите мне контрпример, пожалуйста. За свою жизнь такого не было ни разу (но я знаю, что это не доказательство невозможности).
Пару раз натыкался на такое, кажется, это была какая-то курьерская служба. Входящий звонок со станционарного номера, но обратно перезвонить невозможно, а сам номер в инете на сайтах с отзывами кроме этой курьерской службы был помечен как еще десяток разных организаций.

Но это не вектор атаки.
Если этот телефон у принимающей стороны не ассоциируется с нужной персоной до полного отключения здравого смысла, его и подменять не надо.
Подмена имеет смысл только для текущего сеанса связи и только для номера в записной книжке атакуемого.

Обычно достаточно просто сообщить, что разговор записывается, чтобы на том конце повесили трубку.

я вообще с незнакомыми людьми не разговариваю, и дверь никому не открываю))) помогает избежать видимо много проблем
Это до тех пор пока с вашего телефона не позвонят. Был у меня такой опыт со стационарным телефоном, когда звонят, ругают тебя на разный манер, грозят полицией, требуют вернуть что-то.
Работаю в крупной компании, предоставляющей услуги стационарной телефонии. При поступлении подобных обращений от абонента делается запрос в соответствующее подразделение моей компании. В 99% поступает ответ о том, от кого (оператор телефонии) пришел звонок. Плюс тому оператору направляется соответствующая информация (транки, гейты и т.д. Т. е. всё, чем располагаем мы). И что -то мне подсказывает, что со стороны получателя делается все возможное для предотвращения подобных ситуаций.

Еще думаю простор для угона автомобилей: есть gsm-сигнализации у которых по умолчанию стоит проверка только по номеру телефона и которые по звонку с доверенного номера можно отключить.

Во многих СНТ, например, ворота или шлагбаум открываются по звонку с зарегистрированных номеров.
Я не силен в подкапотном пространстве телефонии, но неужели нельзя ограничить подмену caller id на уровне операторов? К примеру, получить id другого человека или компании можно только по заявлению самого человека (если вдруг что- не так — вот все документы, вот пользователь подмененого номера). А иначе — номер подставлять родной. Ну или подписывать, так сказать, каждый номер сертификатом=)

Пока нельзя: протоколы соединения из одной сети в другую afaik не предусматривают "подписей" (грубо говоря, вы в роуминге в Гондурасе, звоните в Китай – и китайская сеть вынуждена верить гондурасской, что звонок с русского номера).
Та же фигня, что с e-mail, только с проблемой подмены отправителя столкнулись позже – т.е. и результатов (аналогов DKIM и т.п.) ждать позже.

Подозреваю, что из-за неповоротливости операторов телефонной связи ждать, когда те перейдут на верификацию, очень долго, буквально десятки лет.

Это пока никто из «важных» персон не пострадал, а как пострадает, сразу примут нужный закон и нагнут ОПСОСов исполнять вчерашним днём.
Я того же мнения.
Тут ниже коммент от arheops со ссылкой на стандарт – надо почитать. Но пока он не будет массово поддержан, максимум, что может быть – для каких-то номеров будет высвечиваться «verified». Ну а не пропускать не-verified звонки вообще не получится ещё очень и очень долго – разные опсосы, городские сети и так далее…
STIR/SHAKEN не решает этой проблемы. SIP провайдер просто подтверждает что они считают что этот номер принадлежит этому кастомеру. Так что если оператор будет говорить что звонок соответствует «Full Attestation» ничего не поменяется. Просто цены на терминацию спам трафика немного поднимутся.

In this case the STIR will validate correctly, and stopping such calls will have to be done at a higher level, through key revocation or similar.


FCC требует от крупных операторов включить STIR/SHAKEN не позднее июля 2021
Это работает между «проводными» операторами и для конечной стороны, — у каждого свой номерной диапазон, который легко фильтровать. Для транзитных сложнее, там может проходить что угодно…
Уже.
В США — проблему решают на законодательном уровне (в том числе заставляя всех участников STIR/SHAKEN внедрять).

Интересно, в следующий раз представители ФСБ будут прибегать к мантре: "Использование способа подмены номера абонента — известный прием иностранных спецслужб"?

Так еще вчера начали
Всячески разыгрывают спектакль «Моя милиция меня бережёт».


Кто на такое ведётся? Когда украдут, тогда и приходите.
Пусть запомнят раз и навсегда, им звонить никто не будет. Если есть сомнения, надо повесить трубку и самостоятельно связаться с банком\отделом полиции\прокурором\спортлото.


Все проблемы мошенничества-путем-соц.-инжиниринга, начиная с общения с цыганами, решаются именно только этим одним принципом:
if %unknown_contact% AND %external_action_request% then EndConnection_BanContact
Похоже, я тут один имел некоторое отношение к связистам. Кое что конструировал, так что в теме пришлось разбираться. Пусть и отчасти.

Так вот. Если мы говорим про Россию, паника немного чрезмерна. Дело в том что операторы связи (в РФ как минимум) несут ответственность, вплоть до уголовной. Наследие СССР, не иначе. Несмотря на общую безалаберность, некоторые ограничения всё же присутствуют. Основное: (стараться) не спамить с чужой номерной ёмкости. Потому что если возьмут за опу, «съехать» получится вряд ли. У «встречных» операторов — свои логи, и никто не хочет стать крайним.

Что из этого следует. Ровно то, что «бомбить» с номера банка/«конторы» не то что не выйдет в принципе… Но вот [просто, долго, безнаказанно] (как сейчас «банкиры» с кичи) — ничего из этого набора.

Ещё раз. Появление нового сервиса (спамить через телегу) ничего принципиального в раскладе не меняет. И если сейчас «банкиры» обзванивают с московского пула Вымпел-Телекома (ну арендовало 1000 номеров некое ООО «Р&К», чего такого? бизнес…), то выход нового бота — разве что внесёт лёгкое разнообразие (будут обзванивать с условного МТС). upd. Уже́. Пролистал последнее, там и МТС и Интелком и Сипнет (в ступе).
Такое чтобы бомбануть с номера (известных, уважаемых людей) — это чисто разовая акция. Потому что последствия — последуют.
Часть проблемы заключается в «чтобы думать, надо иметь то, чем думать». Кучка дураков, любители легкой наживы, школьники и тп. Довольно большая масса людей, без тормозов и осмысления последствий, который сначала творят, а потом ноют: /

А откуда в полиции знают про мои деньги? Какая-то странная цепочка получается это значит в банке узнали, позвонили в полицию, полиция позвонила мне, чтоб я позвонила в банк? Слишком запутано что бы этому поверить.

С учётом банковской тайны это вообще можно выразить в разрезе преступления со стороны сотрудника банка

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.