Где украли деньги?

Question

[anton1221]

На каком этапе это могло произойти?
В связи с санкциями была необходимость создать виртуальную карту для работы. Использовал для этого телеграмм-бота от одного сервиса. Ранее для личных целей с личного телефона пользовался данным сервисом - проблем не было (так что вряд ли сам сервис занимается воровством).
Сейчас:
- в настройках интернета у ноута прописаны DNS 1.1.1.1; 1.0.0.1; у телефона - 1dot1dot1dot1.cloudflare-dns.com
- телефон и ноут рабочие, по левым сайтам с них не ползаю и лишнего не устанавливаю, так что вирус вряд ли мог подхватить;
- симка для аккаунта телеграмма куплена с рук (уже была верифицирована);
- вход в телеграмм через код-пароль;
- на ноуте используется виртуальная машина;
- интернет через VPS от cinfu.com с использованием программы AmneziaVPN.

Через бота заказал карту и пополнил ее. Через пару дней захожу в телеграмм и вижу, что с ботом уже успел кто-то пообщаться: узнал номер карты, баланс и оформил покупку в интернет-магазине.

Где уязвимый узел (узлы), через который это могли сделать:
- покупная симка (напомню, что вход в телеграмм через код-пароль);
- взлом через VPS
- взлом через AmneziaVPN;
- виртуальная машина и DNS, как понимаю, здесь не при чем?

Comments

[Виталий Першин]

так что вряд ли сам сервис занимается воровством

Why not?

[CityCat4]

ак что вряд ли сам сервис занимается воровством

Недоказуемо. Он может заниматься воровством не у всех...

[anton1221]

Виталий Першин, сумма то всего 1 000 Р. Вряд ли ради такого репутацию портить себе. Надо вагонами воровать, а не велосипеды.

[shurshur]

anton1221, если у мошенников это налаженный на*бизнес, то у них может быть всё готово даже для того, чтобы украсть одну копейку в один клик. Более того, наоборот, воровать большие суммы опасно, а мелкие - больше шансов, что пользователь забьёт. Ссылаться на то, что раньше сервис ничего не воровал, достаточно бессмысленно, ведь это обязательств никаких не создаёт.

Но в данном случае явно проблема в симке. Другой вариант - угнали с одного из устройств файл сессии (поэтому в списке нет других залогиненных сессий).

Answer 1

[Василий Банников]

Использовал для этого телеграмм-бота от одного сервиса.

Вообще это уже сильно пахнет скамом, так что я бы уже тут задумался.

телефон и ноут рабочие, по левым сайтам с них не ползаю и лишнего не устанавливаю, так что вирус вряд ли мог подхватить;

Сильное заявление, которое невозможно проверить.

симка для аккаунта телеграмма куплена с рук (уже была верифицирована);

Очень опасное занятие. Если симка для аккаунта создана в рамках корпоративного тарифа - "организация" имеет очень много контроля над ней. (Не буду утверждать, что доступно даже чтение смс, тк не знаком с возможностями)

с использованием программы AmneziaVPN

Вообще пахнет паранойей, но лучше её из исходников собирать. Не думаю, что тут она виновата.

Вообще я ставлю на следующие варианты:
1. Кто-то просто взял в руки твой телефон (или куда там у тебя ещё телеграм установлен)
2. Владелец симки смог увидеть твои входящие смс и при этом знал заранее твой пароль от телеграма, либо смог его подобрать, либо смог сменить пароль, имея доступ к твоей резервной почте.
3. Кто-то смог получить удалённый доступ к устройству, где установлен твой телеграм и ты залогинен.

Проверь историю входов в аккаунт и активные сессии. Проверь, что ты знаешь обо всех активных сессиях и никто посторонний не имеет доступа к ним (это не какой-нибудь публично доступный компьютер, например)

Comments

[CityCat4]

Если симка для аккаунта создана в рамках корпоративного тарифа - "организация" имеет очень много контроля над ней.

Насколько я помню (давно было дело) - самое простое - через ЛК организации пин сбросить и поставить свой. Ну и статистика конечно же вся доступна.

[anton1221]

1. Ни к ноуту, ни к телефону доступа ни у кого кроме меня нет.
2. Не представляю как продавец симки мог узнать пароль для телеграмма. К почте не привязан.
3. Из разряда паранойи, но похоже, что действительно кто-то имеет удаленный доступ.
4. Активные сессии только мои (ноут и телефон). Прикол в том, что если имеешь доступ к аккаунту, то с другого устройства можно самостоятельно завершить там сессию и хозяин аккаунта (я) ничего не заметит.

[Василий Банников]

anton1221,
1. Сильное заявление, которое я не могу проверить
2. При двух факторной аутентификации телеграм вроде предлагает добавить почту для восстановления. Можно отказаться?

Answer 2

[Vindicar]

Ранее для личных целей с личного телефона пользовался данным сервисом - проблем не было (так что вряд ли сам сервис занимается воровством).

Тоже не факт, они просто могут не трогать сравнительно небольшие суммы, а ждать, пока клиент положит что-то покрупнее. Но тогда не было бы нужды в переписке с ботом. Так что больше похоже на удалённое управление.

Answer 3

[aleks-th]

- симка для аккаунта телеграмма куплена с рук (уже была верифицирована);
и все ваши пароли и прочее известны всем кто имел ранее доступ данной симке

Comments

[anton1221]

Непонятно, т.е. продавец симки (или тот, кому он слил данные) может видеть мои входящие СМС?
И даже если он их видит, то как он может войти в телеграмм без код-пароля?
Отмечу, что сумма на карте была 1 000 руб. Разве есть смысл ради таких сумм лишний раз палиться? Думал если уж и воруют, то хотя бы десятками тыс.

[Василий Банников]

anton1221,

И даже если он их видит, то как он может войти в телеграмм без код-пароля?

Знал заранее, угадал, восстановил через твою почту.

Answer 4

[CityCat4]

Я ставлю на симку. Один только опсос знает, сколько у этой симки было владельцев и сколько человек знает ее текущий пин. А если это номер из корпоративного пула - то контора, которой он принадлежит - сохраняет некоторые средства управления даже если симка физически недоступна.

Answer 5

[Drno]

Ну очевидно что симка
Впн или днс тут никаким боком не могут быть причастны.

Имея симку можно залогинится по смс, если я ничего не путаю

Comments

[CityCat4]

В телегу? По-моему можно. Сейчас кучища всего привязана именно к номеру телефона.

[anton1221]

Кроме СМС еще нужен и код-пароль (если он подключен).