SMS не отправлял, деньги сняли

[vkapas.livejournal.com]

Добрый день, уважаемые сообщники.
Сегодня с моего номера произошло списание в размере 157 руб. Как удалось выяснить из счёта-выписки, списание произошло за отправку платного sms на номер 5537 (Яндекс сообщил, что это может быть и порнуха, и информер, и A-One, и много ещё чего). Оператор сказал, что sms можно было отправить, только имея физический доступ к телефону. Сам я, естественно, никаких сообщений не отправлял. Допускаю, что телефоном могли воспользоваться, хотя это и маловероятно (за последний день телефон находился вне зоны видимости всего несколько минут). До вечера проверить это не смогу.
Сейчас хотелось бы узнать, - есть ли другие способы, помимо отправления sms через телефон? Например: зайти на сайт, написать произвольный номер, нажать кнопку "Отправить" и, вуаля, денежки списаны.

Comments

[tumbochka.livejournal.com]

Если номер подключён, к примеру, к интернет-помощнику МТС, и кто-то украл пароль от него, то злоумышленник мог, воспользовавшись украденным паролем, отправить смс с вашего номера.

[vkapas.livejournal.com]

Спасибо.

[dna2.livejournal.com]

> Например: зайти на сайт, написать произвольный номер, нажать кнопку "Отправить" и, вуаля, денежки списаны.

Вряд ли. Это была бы слишком очевидная и слишком легко эксплуатируемая дырка в безопасности.

Извините за неконструктив.

[mr-quietest.livejournal.com]

Нет
Должно быть обязательно подтверждение платежа.

[roman-pro.livejournal.com]

Вообще говоря, вот здесь занимательная инфа описана (http://www.wasm.ru/forum/viewtopic.php?pid=208540#p208540). Если вкратце перевести все сообщения Quantum'а в той ветке на более понятный язык то получим следующее:

Некий X, знающий ваш номер, может послать вам особое СМС, получив которое ваш телефон тихо (без показа каких либо сообщений) выполнит какое-либо действие (например передаст в ответ sms, лежащее на симке). Чисто теоретически, совсем необязательно запрашивать sms с симки (там это было как пример удалённого чтения sms, контактов, etc) и просить его отправить в ответ. Вполне можно указать в команде какой угодно номер назначения (тот же 5537) и содержимое sms и телефон, по идее, всё тупо исполнит. Правда там есть оговорка про уровень безопасности, ключи и специальные номера. Но главное - теоретически техническая возможность есть, всё упирается в настройки безопасности со стороны оператора, которых мы не знаем. Учитывая, что не перевелись ещё (недо)админы, раздающие инет по связке IP/MAC (свято верящие что MAC нельзя сменить и что это типа сверхнадёжно), то со стороны оператора тоже всё может быть. Разумеется, это уже надо проверять, но мало ли они исходят из предположения что с телефона подобную служебную СМС не отправишь... и типа никто об этом не знает (тем более что лог на форуме уже подправленный, потому повторить "подвиг" не выйдет)

На закуску, свежая новость (http://www.securitylab.ru/news/378096.php), правда без подробностей. Но что-то подсказывает, что это развитие той самой идеи, описанной по ссылке на форуме ещё 2 года назад. Только вместо отсылки sms, в служебном сообщении другие команды - запуск браузера и ссылка для скачивания java-приложения. Кстати, о птичках - новых java-игрушек/программ не ставили случайно в телефон ? А то всяко может быть ;)

з.ы. Разумеется, в реале, наиболее вероятно, что таки был физический доступ к вашему телефону, ибо всё вышеописанное - только концепты возможных атак, пока ещё не хлынувшие в массы ;) Впрочем, иногда из концептов вырастают всякие Kido...

[vkapas.livejournal.com]

О, полезная информация, спасибо.

[poplavochek.livejournal.com]

у моего знакомого пару лет назад какой-то зловред на телефоне завелся.
Он отправлял смс на платные номера.
Но у него деньги очень быстро кончались, так как он постоянно отправлял смс.

[vkapas.livejournal.com]

Вы имеете ввиду что-то вроде вируса?

[poplavochek.livejournal.com]

Скорее всего вирус.

[vkapas.livejournal.com]

Всем большое спасибо за советы и предположения, виновник нашёлся и будет сегодня казнён :-)