Проблема вкратце - кто-то имеет доступ к смс-сообщениям и слил с Qiwi-кошелька деньги.
Сегодня произошла следующая ситуация:
1. Пришла смс от Sportmaster с "Проверочный кодом ..." (думаю, мало ли кто может пробовать восстановить пароль, телефон то все равно у меня).
2. Через 5 минут приходит смс о смене пароля на почте. (gmail.com)
3. Через 2-3 минуты приходит смс о смене пароля на Qiwi
4. Через 2-3 минуты приходит смс о создании платежа в сторону чужого Qiwi-кошелька и секретным кодом (который никому нельзя сообщать). И буквально тут же приходит смс об успешном исполнении операции (то бишь кто-то все таки узнал код из смс).
п.4 повторился несколько раз, пока деньги на карте не закончились.
Самый основной вопрос: каким образом мошенник читает смс? (это возможно делать без телефона? Если это вирус - то как его можно обнаружить? Может еще какой-то способ есть?)
- Телефон: iPhone 5s с официальной прошивкой, без Jailbreak. Обновлен до последней версии.
На телефоне стоит пин-код, в руки никому не давал.
- За последние две недели никаких приложений не ставил. Все предыдущие приложения поставлены из официального AppStore (и это все популярные проверенные приложения).
- Никаких сомнительных смс/ммс/ссылок не открывал.
- Проверял доступ к iCloud - никто в него заходил, паролей не сбрасывал.
- Звонил сотовому оператору - утверждают, что дубликатов/перевыпусков сим-карты не зафиксировано.
Из подозрений - 3 месяца назад менял экран (предыдущий разбил). В сервисе телефон был минут 30 и соответственно сотрудники сервиса пароля от iCloud не знали. (то есть тут вопрос - могли ли они залить вредонос?)
P.S. В Qiwi звонил, они занимаются проблемой. В Интернетах рекомендуют сделать сброс телефона, чтобы наверника удалить вирус, но мне принципиально разобраться - в вирусе ли проблема, чтобы не подставляться в следующий раз.
Если на вас произвели атаку через жсм, то вам стоит взять кнопочную нокиа 3310 / сименс / етц
Взять новую сим карточку
И использовать ету карточку только для банкинга и крайне доверенных сайтов - спортмастер пусть висит на основной симке
Никому про ету карту не говорить, с нее не звонить и не писать смс
Для полноченного ответа на ваш вопрос, нужно потратить много денег и времени спецов по взлому
Увели 30 тыс. рублей. Сложно верится в сценарий со взломом сотовой сети. Обычный развод через смс/ссылки - гораздо проще и эффективней. Ну и не такая я уж важная птица с миллионами, чтобы на мне так заморачиваться.
Если ситуация так и не проясниться, придется действительно заводить отдельный бабушкафон для денежных операций.
Mac и iPhone находятся под одним Apple ID, но я так и не нашел возможности читать на Mac смс-сообщения. iMassage-сообщения - да (но это не одно и то же что обычные смс). Также логинился в iCloud.com - в нем конечно много чего видно, но смс там тоже нет возможности читать.
Также возможен вариант перехвата СМС одним из установленных приложений на смартфоне. К примеру тот же Viber и Watsapp для активации читают входящее СМС и автоматически запускают процесс валидации (т.е. забирают код из СМС).
Если для iPhone умельцы собрали мимикрирующий под официальное приложение мессенджер, то ждём на Хабре статью.
1. В любом случае - на текущий момент на Mac нет смс сообщений с телефона, то есть синхронизация как минимум не настроена. (левых устройств, который подключены к моему Apple ID - также нет)
2. Как утверждают сотрудники Apple Care и несколько сотрудников нескольких сервисных центров - приложения в AppStore многократно проверяются на различного рода вирусы/шпионское ПО. Поэтому вероятность подделки приложения - также крайне маловероятна. К тому же никаких редких приложений я не ставил и странно, что не могу найти похожие случаи в сети. (если бы вдруг какое-то популярное приложение заразили)
MazZzDaI, возможно, но валидация аппликэйшенов в апп сторе, кажется посерьезнее андроидов. По идее такую вещь заметили бы. Если конечно не подменили репозиторий какого-либо легитимного разработчика софта. Но это мне кажется очень мало вероятным.
Вероятно, на Qiwi кликнули "забыл пароль" с восстановлением на gmail. То есть у злоумышленников был доступ не только к СМС, но и к вашим email. Это не просто перехват смс, а доступ к телефону. Вероятно, зловред (не обязательно вирус).
Несколько раз общался с оператором - никаких переадресаций, МТС-коннекта, Архива смс - ничего, что могло хоть как то хранить, перенаправлять или еще что-либо делать с смс.
Три варианта:
1) вирус на устройстве
2) подлом оператора для вашего номера (погуглите атаки на ss7, расписывать тут долго)
3) выдача дубликата симки другому человеку сотрудниками оператора
Первый вариант - гуглите вирусы под вашу прошивку (полная версия).
Второй вариант - ничего не сделаете.
Третий вариант - жалоба в локальный роскомнадзор отрезвит оператора и заставит его проявить какую-нибудь активность, правда спустя некоторое время
Эх, если бы в районе п.п.3-4 отключить телефону доступ в инет, то можно бы было понять троян или нет.
А так можно попытаться сделать образ с firmware этого телефона и другого такого же и сравнивать (я правда не в курсе как это сделать, но по идее если есть jailbreak то это возможно). Но с другой стороны, если троян смог установиться, то мог так же и удалиться уже.
В общем, все просто. Привязываем телефон к маку, = смс дублируются на нем, с помощью iMessage. А как они получили доступ к AppleID это уже другой вопрос. Лучше защищайте свой аккаунт Apple.
Было бы отлично, если было бы все так просто.
Осталось ответить на вопросы:
1. Почему на Маке я не вижу этих смс?
2. Почему я не вижу в iCloud левых устройств? (тем более установлена двухфакторная авторизация для подключения к Apple ID. Это когда при подключении нового устройства на телефон приходит запрос Разрешить/Запретить и одноразовый код).
Если троян на айфоне, то прошерстить все установленные приложения. У оператора связи запросить подробнейшую расшифровку сетевых соединений в период поступивших СМС. Проверьте исходящие СМС.
Мак, принимающий СМС, может быть не при делах, если он был выключен в то время. Либо шерстите и Мак, также с поробной расшифровкой сетевых соединений.
SS7 или спецоборудование - ну дороге применение для потрошения киви.
Комментарий на Хабре
На стороне оператора может свой человек есть?) или вообще оттуда и работает. Я бы позвонил в сб оператора или зпявление нпписал что бы логи смотрели, кто юзал биллинг во время этих смс.
Там настолько все запущено...
Написал обращение на сайте МТС.
Первый ответ был про то, что это не их проблемы, а проблемы Qiwi...
После выражения моего недовольства их компетентностью, они рекомендовали скачать из Play Market антивирус Касперского или Dr.web и пройтись им :)
Боюсь, что достучаться до безопасников - задача сложнее, чем внедрить свою базовую станцию в сеть и заражать iPhone налету в проезжающих мимо авто.
За всю свою жизнь имел несколько фактов обращения в полицию.. и ни один не закончился в мою пользу (украденные телефоны, разбитая машина и пр.).
Очень сильно сомневаюсь в их компетентности и боюсь, что даже не смогу им объяснить, что у меня произошло.
Если не получится добиться от оператора внятного ответа - придется все же обратиться в полицию, чтобы получить уже официальное объяснение.
Средний
Простой
Сложный
