klink0v (klink0v) wrote,
klink0v
klink0v

Про подмену телефонного номера

Товарищ Патрон1 (ammo1) и некто "Тимофей Ви" подняли истерику на тему подмены чьего-либо телефонного номера потенциальными злоумышленниками (ссылка 1, ссылка 2). Они и правы, и не правы одновременно. Объясню почему.

Надёжин у себя пишет: "Для подмены номеров используется IP-телефония, где подмена номера - штатная функция. Не знаю, существует ли вообще решение этой проблемы." Открываю страшный секрет. IP-телефония тут ни при чём. Любой владелец любой АТСки (даже миниатюрной офисной) может при исходящих звонках прописывать у себя вообще любой Caller ID (номер вызывающего абонента). И технология установления связи здесь не имеет совершенно никакого значения: хоть медная лапша, хоть E1, хоть H323, хоть SIP, да что угодно. Вопрос только в том, проверяет ли его или нет владелец АТСки-аплинка. Тут всё зависит от условий договора между ними и степени раздолбайства последнего.

Для лучшего понимания я проведу аналогию с электронной почтой. Когда вы отправляете кому-то электрическое письмо, вы можете в графе "отправитель" написать что угодно. Хоть "tsar.of@the.world". И в общем случае (не рассматриваем пока технологии SPF и DKIM) никто никогда не сможет проверить его подлинность либо факт подмены. Но! Хорошие публичные почтовые сервера (Яндекс, Гугл и т.п.) перед выпуском вашего письма "в мир" сперва убедятся, что его отправили действительно вы, потребовав указать ваш логин и пароль. А также проведут анализ заголовка "Отправитель" на соответствие вашему аккаунту. И в случае расхождения "зарежут" такое письмо, хотя ничто не мешало бы им его пропустить.

И вторая немаловажная деталь. Когда в обмене электронной почтой участвует более двух серверов, то в общем случае валидность отправителя (не рассматриваем DKIM) могут проверить только первый или второй хосты в цепочке. Но не третий и далее по списку. Им уже приходится "верить на слово" второму, без вариантов.

В телефонии то же самое. Любой абонент априори является ненадёжным и может представиться противоположной стороне как угодно и кем угодно. В общем случае проверить его подлинность может либо самый первый узел: он знает, куда физически идёт от него провод и/или логин-пароль VoIP-клиента и/или ключи шифрования радиоканала и т.п. Либо второй узел: он осведомлён, какая номерная ёмкость присвоена первому узлу. Если же сингал ушёл дальше по цепочке, то всё, "до свидания". Там уже никто и ничего гарантировать не может.

Теперь ближе к конкретике. Тот же скайп, например (но не только он один), договорился с другими операторами связи таким образом, чтобы те не проверяли бы номера абонентов инциируемых им (скайпом) звонков. Это нужно ему для того, чтобы пользователи могли бы звонить со скайпа на мобильные телефоны, а вызываемые видели бы правильный "как будто бы мобильный" номер позвонившего. И в этом нет ничего противозаконного, так как всё по тому же самому договору скайп обязуется валидировать вызывающих абонентов сам. И он делает это путём отсылки контрольной SMSки с проверочным кодом своему подписчику. То есть условный Вася в своём скайповском профиле физически не сможет указать чужой номер телефона. А когда он начнёт кому-то звонить через скайп, то сервис проверит его по логину-паролю. Таким образом, на данном этапе возможное мошенничество исключено.

Но тут есть один тонкий момент. Допустим, хакер-Вася заразил смартфон жертвы-Пети вирусом, который пересылает Васе все SMSки с телефона Пети. Дальше объяснять надо? Вася в одно действие регистрирует в скайпе левый аккаунт, указывает в нём номер мобильного телефона Пети, с помощью своего вируса получает проверочную SMSку, подтверждает факт якобы владения Петиным номером, после чего невозбранно звонит кому угодно от имени как будто бы Пети. И для этого вовсе не требуется быть кандидатом наук или досконально разбираться в современных технологиях.

Я уверен, что нечто подобное произошло и в историях по ссылкам в начале поста. На ровном месте такие трюки конкретно в России провернуть весьма затруднительно. Потому что всякие там Роскомпозоры и прочие спецслужбы хоть и являются коррумпированными бездельниками, но за использованием телефонии и подменой номеров всё же внимательно следят. Но если каким-либо способом у злоумышленника хотя бы ненадолго появляется доступ к мобильному телефону жертвы — всё, пиши пропало. Тут уже никто не поможет.

Напоследок напоминаю традиционные элементарные общеизвестные правила безопасности.


  1. Не верить никому на слово. Всегда помнить, что человек может оказаться не тем, за кого себя выдаёт.

  2. При малейших сомнениях спрашивать внутренний номер сотрудника, вешать трубку и перезванивать в организацию самостоятельно. Нормальные банки относятся к подобному поведению клиентов совершенно спокойно и даже приветствуют такой подход.

  3. Для связи с банками завести отдельный телефон с отдельной симкой и отдельным номером. Номер никому кроме банков не сообщать. На телефон никакого дополнительного софта не ставить, без большой нужды с собой его нигде не носить.

  4. Ни при каких обстоятельствах не выпускать из рук свой незаблокированный мобильный телефон и всегда знать где он находится. Никому не давать его ни "только позвонить", ни "погонять на денек-другой", даже с другой/чужой SIM-картой внутри.

  5. Про установку сомнительного софта из неблагонадёжных источников даже писать не буду, всё равно все будут ставить.

  6. Условиться о каких-нибудь секретных вопросах / сигналах со всеми своими родственниками/близкими, по которым они смогут понять, что информация исходит действительно от вас. Например, вашей маме звонят и говорят что вас забрали в отделении полиции. А мама, прикинувшись заботливой дурочкой, берёт и спрашивает: "Ой, скажите, а мой Ванечка не забыл сегодня одеть свою дублёнку?" Зная, что у Вани никаких дублёнок никогда отродясь не было. Но это уже высший пилотаж.

И чтобы два раза не вставать, мельком затронем тему мошенничества в социальных сетях. Нередки случаи, когда взламывают чей-нибудь аккаунт, а потом начинают с него попрошайничать. Сердобольные друзья часто успевают перевести жуликам значительные суммы денег, прежде чем жертва узнает о случившемся и восстановит доступ к своей странице. Среди конкретно моих друзей подобное случалось с троими за последние пять лет. К сожалению, общие правила поведения в данной ситуации выработать довольно трудно. На всякий случай могу сказать за себя (т.е. предупреждаю вас).


  1. Дед Сергеич никогда не будет просить денег. Возможно, предмет (например, дрель или билет) или услугу (например, покормить или приютить его). Но не денег.

  2. Дед Сергеич не пользуется социальными сетями. Максимум — ретранслирует туда свои посты из ЖЖ.

  3. Дед Сергеич крайне не любит разговаривать по телефону. Если он вам позвонил — скорее всего, это не он.

  4. Электрическая почта деда Сергеича общеизвестна, и это предпочтительный способ связи с ним. При малейших сомнениях пишите туда. Если электропочту Сергеича и взломают, то он узнает об этом очень быстро.

  5. Если вам заявляют, что с Сергеичем случилась какая-то беда, то в первую очередь спросите, что на нём было надето, где он в тот момент находился и был ли он трезвым или бухим. По ответам можно с высокой степенью достоверности заподозрить обман.

Как-то так. Всем внимательности и бдительности. В комменты также приглашается тов. yalexey для рецензирования и критики.
Tags: безопасность, ликбез, мошенничество, обзор, скептическое, ссылки, телекомы, телефон
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 21 comments