SMS не отправлял, деньги сняли
Apr. 21st, 2009 11:25 am![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
vkapas.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqДобрый день, уважаемые сообщники.
Сегодня с моего номера произошло списание в размере 157 руб. Как удалось выяснить из счёта-выписки, списание произошло за отправку платного sms на номер 5537 (Яндекс сообщил, что это может быть и порнуха, и информер, и A-One, и много ещё чего). Оператор сказал, что sms можно было отправить, только имея физический доступ к телефону. Сам я, естественно, никаких сообщений не отправлял. Допускаю, что телефоном могли воспользоваться, хотя это и маловероятно (за последний день телефон находился вне зоны видимости всего несколько минут). До вечера проверить это не смогу.
Сейчас хотелось бы узнать, - есть ли другие способы, помимо отправления sms через телефон? Например: зайти на сайт, написать произвольный номер, нажать кнопку "Отправить" и, вуаля, денежки списаны.
Сегодня с моего номера произошло списание в размере 157 руб. Как удалось выяснить из счёта-выписки, списание произошло за отправку платного sms на номер 5537 (Яндекс сообщил, что это может быть и порнуха, и информер, и A-One, и много ещё чего). Оператор сказал, что sms можно было отправить, только имея физический доступ к телефону. Сам я, естественно, никаких сообщений не отправлял. Допускаю, что телефоном могли воспользоваться, хотя это и маловероятно (за последний день телефон находился вне зоны видимости всего несколько минут). До вечера проверить это не смогу.
Сейчас хотелось бы узнать, - есть ли другие способы, помимо отправления sms через телефон? Например: зайти на сайт, написать произвольный номер, нажать кнопку "Отправить" и, вуаля, денежки списаны.
no subject
Date: 2009-04-21 11:03 am (UTC)Некий X, знающий ваш номер, может послать вам особое СМС, получив которое ваш телефон тихо (без показа каких либо сообщений) выполнит какое-либо действие (например передаст в ответ sms, лежащее на симке). Чисто теоретически, совсем необязательно запрашивать sms с симки (там это было как пример удалённого чтения sms, контактов, etc) и просить его отправить в ответ. Вполне можно указать в команде какой угодно номер назначения (тот же 5537) и содержимое sms и телефон, по идее, всё тупо исполнит. Правда там есть оговорка про уровень безопасности, ключи и специальные номера. Но главное - теоретически техническая возможность есть, всё упирается в настройки безопасности со стороны оператора, которых мы не знаем. Учитывая, что не перевелись ещё (недо)админы, раздающие инет по связке IP/MAC (свято верящие что MAC нельзя сменить и что это типа сверхнадёжно), то со стороны оператора тоже всё может быть. Разумеется, это уже надо проверять, но мало ли они исходят из предположения что с телефона подобную служебную СМС не отправишь... и типа никто об этом не знает (тем более что лог на форуме уже подправленный, потому повторить "подвиг" не выйдет)
На закуску, свежая новость (http://www.securitylab.ru/news/378096.php), правда без подробностей. Но что-то подсказывает, что это развитие той самой идеи, описанной по ссылке на форуме ещё 2 года назад. Только вместо отсылки sms, в служебном сообщении другие команды - запуск браузера и ссылка для скачивания java-приложения. Кстати, о птичках - новых java-игрушек/программ не ставили случайно в телефон ? А то всяко может быть ;)
з.ы. Разумеется, в реале, наиболее вероятно, что таки был физический доступ к вашему телефону, ибо всё вышеописанное - только концепты возможных атак, пока ещё не хлынувшие в массы ;) Впрочем, иногда из концептов вырастают всякие Kido...
no subject
Date: 2009-04-21 05:45 pm (UTC)