Фишинг на OLX
Катерина Коберник рассказала в своём ФБ о том, как стала жертвой мошенников, промышляющих на OLX. Речь идёт о классической, просто хрестоматийной схеме т.н. фишинга (англ. Fishing, рыбалка), при которой фальсифицированная либо взломанная или иным путём скомпрометированная коммуникация используется, чтобы спровоцировать жертву сообщить чувствительную информацию или сделать что-нибудь против её же интересов. Использованная в данном случае мошенническая схема описана в соответствующей статье на OLX. А вот небольшой обзор предмета.
Несколько комментариев по существу случившегося, ключевые слова и тезисы выделю заглавными буквами:
1. В обсуждаемом случае корень проблемы в том, что и собственно мобильная телефония (голосовые вызовы), и текстовые сообщения не являются ДОВЕРЕННЫМ каналом связи. Возможность подмены номера отправителя является ШТАТНОЙ возможностью в сетях мобильной связи. Абонент, увы, не имеет возможности самостоятельно выяснить, не фальсифицирован ли номер вызывающей стороны. Это, безусловно, создаёт идеальные условия для социальной инженерии.
2. Чтобы попасть к жертве, фальсифицированные сообщения и звонки должны , разумеется, беспрепятственно пройти через сеть оператора. А вот оператор сразу видит откуда поступает звонок или сообщение, т.е. имеет ли место подмена номера. Соответственно, у оператора есть техническая возможность ЗАБЛОКИРОВАТЬ подозрительные либо мошеннические сообщения/звонки. Однако технической возможности недостаточно, необходимы НОРМАТИВНАЯ ОБЯЗАННОСТЬ или юридически корректное СОГЛАШЕНИЕ с пользователем номеров, которые необходимо защитить от фальсификации.
3. Владельцы торговых марок и законные пользователи телефонных номеров имеют ничем не ограниченную возможность заключать с операторами связи СОГЛАШЕНИЯ О ФИЛЬТРАЦИИ звонков и сообщений, противоправно содержащих соответствующие слова и номера. Т.е. собственник площадки OLX может и должен позаботиться о том, чтобы сообщения, которые выглядят как её, площадки, служебные, попросту не попадали к её клиентам.
Так что в случае с Катериной, без вариантов, ответственность лежит на площадке. Люди, которые в комментариях к её записи рассказывают про "сама виновата", или глупы, или самонадеяны, или занимаются популярным в наших краях шеймингом. Haters gonna hate, yeah
И, да, у он-лайн ритейла, маркетплейсов и т.п. поддержка должна быть 24/7, хотя бы в части безопасности. Пока что, к сожалению, поддержка людей, столкнувшихся с мошенническими действиями, слишком часто происходит на "отцепись".
Из всего вышесказанного вытекает рецепт решения проблемы фишинговых схем, завязанных на подмену номеров. КАЖДАЯ компания или организация, которая использует мобильную связь и связанные с нею текстовые сервисы (SMS, Viber, Telegram и т.п.) должна проанализировать свои процедуры на предмет устойчивости к фишингу. Соответствующих схем не очень много, специалистов, знакомых с предметом, хватает, проблем с анализом быть не должно.
Если есть возможность или прецеденты атак с использованием подмены номера, пользователи таких номеров ОБЯЗАНЫ заключить с операторами связи соглашения о фильтрации "левых" звонков и сообщений, содержащих такие номера или имена отправителя. Иными словами, все те, кто использует мобильную и фиксированную связь для передачи чувствительной информации обязаны позаботиться о том, чтобы сделать этот канал коммуникации ДОВЕРЕННЫМ. Насколько это возможно, разумеется. Мобильная связь, напомню, не предназначена для передачи критически важной информации. То, что её повсеместно используют таким образом, является самодеятельнстью.
Полагаю, что в нынешние беспокойные времена всякая уважающая себя компания должна использовать решения на основе IP-протоколов.
Операторам связи стоит обратить внимание на эту возможность. Это, конечно, не killer application, но живая копейка, которую моно поднять с пола. Не думаю, что широкие массы абонентов будут против, если операторское сообщество "аккуратно, но сильно" проблематизирует бизнесы на предмет заплатить разумные деньги за предотвращение скама.
Более того, аналогичные услуги можно бы предложить и пользователям на массовом рынке. Ещё года три назад пранк, мошенничества и дурацкие шуточки с использованием подмены номера были диковинкой. Теперь эта гадость уже завоевала популярность в известных кругах. За вменяемые деньги почему не обезопасить своих близких от звонка "мама, только не переживай, я попал в аварию, нужны деньги"?
Это задача-минимум, домашнее задание, которое необходимо делать прямо сейчас. Успешным опытом такого рода уже можно считать решение проблемы с кражей номеров, используемых для авторизации в банковских учреждениях. В прошлом году дело, наконец, сдвинулось с мёртвой точки и многие банки заключили соответствующие соглашения с "большой тройкой".
Теперь пришло время расширить эти соглашения, чтобы сделать невозможными атаки на основе подмены номера.
https://www.facebook.com/groups/622246747875413/permalink/2579475445485857/
https://www.facebook.com/alex.gluschenko/posts/2978399095546656
Задача-максимум предполагает создание и развитие цифровых доверительных услуг вроде "цифрового паспорта" и прочих инноваций на базе КЭП, MobileID, Mobile Connect и т.п. технологий. Об этом, в частности, я рассказывал в прошлом году на PKI Forum (с отметки 1:19:10)
Слайды презентации здесь.
Цифровые инструменты поддержки доверия глазами потребителя from Roman Khimich
Такие дела...
Несколько комментариев по существу случившегося, ключевые слова и тезисы выделю заглавными буквами:
1. В обсуждаемом случае корень проблемы в том, что и собственно мобильная телефония (голосовые вызовы), и текстовые сообщения не являются ДОВЕРЕННЫМ каналом связи. Возможность подмены номера отправителя является ШТАТНОЙ возможностью в сетях мобильной связи. Абонент, увы, не имеет возможности самостоятельно выяснить, не фальсифицирован ли номер вызывающей стороны. Это, безусловно, создаёт идеальные условия для социальной инженерии.
2. Чтобы попасть к жертве, фальсифицированные сообщения и звонки должны , разумеется, беспрепятственно пройти через сеть оператора. А вот оператор сразу видит откуда поступает звонок или сообщение, т.е. имеет ли место подмена номера. Соответственно, у оператора есть техническая возможность ЗАБЛОКИРОВАТЬ подозрительные либо мошеннические сообщения/звонки. Однако технической возможности недостаточно, необходимы НОРМАТИВНАЯ ОБЯЗАННОСТЬ или юридически корректное СОГЛАШЕНИЕ с пользователем номеров, которые необходимо защитить от фальсификации.
3. Владельцы торговых марок и законные пользователи телефонных номеров имеют ничем не ограниченную возможность заключать с операторами связи СОГЛАШЕНИЯ О ФИЛЬТРАЦИИ звонков и сообщений, противоправно содержащих соответствующие слова и номера. Т.е. собственник площадки OLX может и должен позаботиться о том, чтобы сообщения, которые выглядят как её, площадки, служебные, попросту не попадали к её клиентам.
Так что в случае с Катериной, без вариантов, ответственность лежит на площадке. Люди, которые в комментариях к её записи рассказывают про "сама виновата", или глупы, или самонадеяны, или занимаются популярным в наших краях шеймингом. Haters gonna hate, yeah
И, да, у он-лайн ритейла, маркетплейсов и т.п. поддержка должна быть 24/7, хотя бы в части безопасности. Пока что, к сожалению, поддержка людей, столкнувшихся с мошенническими действиями, слишком часто происходит на "отцепись".
Из всего вышесказанного вытекает рецепт решения проблемы фишинговых схем, завязанных на подмену номеров. КАЖДАЯ компания или организация, которая использует мобильную связь и связанные с нею текстовые сервисы (SMS, Viber, Telegram и т.п.) должна проанализировать свои процедуры на предмет устойчивости к фишингу. Соответствующих схем не очень много, специалистов, знакомых с предметом, хватает, проблем с анализом быть не должно.
Если есть возможность или прецеденты атак с использованием подмены номера, пользователи таких номеров ОБЯЗАНЫ заключить с операторами связи соглашения о фильтрации "левых" звонков и сообщений, содержащих такие номера или имена отправителя. Иными словами, все те, кто использует мобильную и фиксированную связь для передачи чувствительной информации обязаны позаботиться о том, чтобы сделать этот канал коммуникации ДОВЕРЕННЫМ. Насколько это возможно, разумеется. Мобильная связь, напомню, не предназначена для передачи критически важной информации. То, что её повсеместно используют таким образом, является самодеятельнстью.
Полагаю, что в нынешние беспокойные времена всякая уважающая себя компания должна использовать решения на основе IP-протоколов.
Операторам связи стоит обратить внимание на эту возможность. Это, конечно, не killer application, но живая копейка, которую моно поднять с пола. Не думаю, что широкие массы абонентов будут против, если операторское сообщество "аккуратно, но сильно" проблематизирует бизнесы на предмет заплатить разумные деньги за предотвращение скама.
Более того, аналогичные услуги можно бы предложить и пользователям на массовом рынке. Ещё года три назад пранк, мошенничества и дурацкие шуточки с использованием подмены номера были диковинкой. Теперь эта гадость уже завоевала популярность в известных кругах. За вменяемые деньги почему не обезопасить своих близких от звонка "мама, только не переживай, я попал в аварию, нужны деньги"?
Это задача-минимум, домашнее задание, которое необходимо делать прямо сейчас. Успешным опытом такого рода уже можно считать решение проблемы с кражей номеров, используемых для авторизации в банковских учреждениях. В прошлом году дело, наконец, сдвинулось с мёртвой точки и многие банки заключили соответствующие соглашения с "большой тройкой".
Теперь пришло время расширить эти соглашения, чтобы сделать невозможными атаки на основе подмены номера.
https://www.facebook.com/groups/622246747875413/permalink/2579475445485857/
https://www.facebook.com/alex.gluschenko/posts/2978399095546656
Задача-максимум предполагает создание и развитие цифровых доверительных услуг вроде "цифрового паспорта" и прочих инноваций на базе КЭП, MobileID, Mobile Connect и т.п. технологий. Об этом, в частности, я рассказывал в прошлом году на PKI Forum (с отметки 1:19:10)
Click to viewСлайды презентации здесь.
Цифровые инструменты поддержки доверия глазами потребителя from Roman Khimich
Такие дела...