Перейти к содержимому


Фотография
- - - - -

Вирус на сим карте (сбербанк, 298 руб)

Внимание!

Счетчик сообщений и начисление баллов в разделе отключены.

 

Осторожно, мошенники! Пострадавшим от WannaCry.


Сообщений в теме: 17

#1 OFF   mafores

mafores

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 02 Август 2017 - 15:41

Добрый день. Не знаю в какой раздел форума писать, напишу сюда.

 

У меня карта сбербанка, подключен мобильный банк (пополнение мобильных и карт через номер 900). Привязанный номер - МТС, телефон кнопочный GT-S3310. Несколько дней назад обнаружил в детализации по карте списания в пользу MOBIKOM-KAVKAZ за последние три месяца. Все перечисления шли на разные номера мегафона. Уведомления по смс о данных операциях на телефонах не было. Вначале списывалось по 500 рублей несколько раз в месяц, а за последний месяц каждый день и по странным суммам 10 рублей и 298 рублей. Общая сумма составила около 8тр.

 

В детализации по номеру присутствуют эти смс (с близким временем списания денег с карты). Причем вначале выполняется USSD запрос на номер 100 (наверно проверка баланса карты) потом две смс на номер 900 (видимо распоряжение на перевод и подтверждение кодом).

 

Заявление в сбербанк, полицию и мегафон написаны.

 

При регистрации заявления в мегафоне, консультанты посмотрели были ли переводы на эти мегафоновские номера, там их приличное количество, видимо не я один заражен был.

 

Предполагаю, что вирус в симке (если это возможно конечно). Потому что после обнаружения всей этой ситуации, я заблокировал банк карту и переставил симку в другой телефон (тоже кнопочный) (который до этого год не использовался). Телефон был переведен режим Offline. А на следующий день я обнаружил в детализации по этой симке еще одну попытку отправки на номер 900, в новом телефоне смс не было. Операция не прошла т.к. карта была уже заблокирована.

 

В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка. Могу прислать ее. Попробую в МТС запросить тексты сообщений в первый месяц заражения.

 

На гуглил еще упоминание о переводах в 298 рублей http://161.ru/text/n...4933830656.html и тут в конце коммент (http://bankcarding.r...oj-karty-dengi/

 

Если будет нужна какая-то информация, могу сообщить.

 


  • 0

#2 OFF   Raine

Raine

    Постоялец

  • Участники
  • Pip
  • Cообщений: 57

Отправлено 02 Август 2017 - 16:05

А вы не рассматривали вариант утечки данных вашей сбербанковской карты, скимминговым устройством например?


  • 0

#3 OFF   ska79

ska79

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 302

Отправлено 02 Август 2017 - 16:23

Предположу что либо дубликат карты сбера у злоумышленников есть или дубликат сим, либо подключен мобильный банк на номер мобиком кавказ. Случайно приложение сбербанк онлайн не установлено?



В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.
пришлите ссылку мне в ЛС. Только не открывайте её.

+ рекомендую отключить услугу быстрый платёж - вы не сможете совершать переводы отправкой смс, можно будет только пополнять баланс номера телефона подключенного к мобильному банку.


Сообщение отредактировал ska79: 02 Август 2017 - 16:19

  • 0

#4 OFF   mafores

mafores

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 02 Август 2017 - 17:50

Банк карта сейчас заблокирована, к сбербанк онлайну был подключен только этот номер МТС (проверял когда отключал быстрый платеж от этого номера после инцендента)

 

Сбербанк онлайн не устанавливал, тк как я говорил у меня телефон кнопочный старый, там не андроида или другой современной ОС.

 

Почему не рассматриваю вариант копии карты, несанкционированные транзакции только на MOBIKOM-KAVKAZ и в целом соответствуют операциям в детализации отправленным USSD и SMS900 запросам. Других подозрительных операций в детализации по карте не заметил. Попробую еще детальней просмотреть все списания.

 

Возможно да дубликат симки, но как понять, что это так не знаю.

 

В МТС отказали дать тексты входящих смс. Видимо выдадут только полиции при расследовании.

 

Сейчас в ЛС вышлю ссылку.


Посмотрел детализацию с января по сим карте, доступа в интернет не было. только смс и телефонные звонки. То есть получается это что-то другое, а не открытие ссылки из вирусной смс.


  • 0

#5 OFF   ska79

ska79

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 302

Отправлено 02 Август 2017 - 18:19

Если вы смс от банка не получали по факту, тогда значит этим методом https://blog.kaspers...epts-sms/17673/

​у вас уводили деньги, наверно


  • 0

#6 OFF   Sapfira

Sapfira

    Опытный

  • Активисты
  • PipPipPip
  • Cообщений: 305

Отправлено 02 Август 2017 - 19:33


В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.

 

До того, как начали списываться деньги, по подобным ссылкам в смс не переходили? Вирус мог попасть этим путём.


  • 0

barra36.gif

          m5854.gif

         m5850.gif


#7 OFF   mafores

mafores

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 02 Август 2017 - 19:49

Если вы смс от банка не получали по факту, тогда значит этим методом https://blog.kaspers...epts-sms/17673/

​у вас уводили деньги, наверно

 

А в таком случае как в статье написано, смс будут фиксироваться в детализации по симкарте ?

Вот так эта операция перевода выглядит

 

sms_example.png

 

 

 

 

 


В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.

 

До того, как начали списываться деньги, по подобным ссылкам в смс не переходили? Вирус мог попасть этим путём.

 

 

Приходили, как мне кажется. Но я сейчас проверил всю детализацию с января, доступа в интернет не было. То есть я по ссылкам не переходил и ничего не скачивал.


  • 0

#8 OFF   Самогонщик

Самогонщик

    Любитель Windows и Windows Mobile

  • Активисты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 973

Отправлено 02 Август 2017 - 20:12

Возможно была такая схема, раньше встречалься с ними. 

В отделение сбербанка консультант по банковским продуктам(промоутер и т.п. в разное время должность называлась по разному) вообщем те люди которые ходять с планшетами по залу. При подключение каких либо услуг через терминал, подключають вам мобильный банк на ещё один номер, после этого они уже могут пользоваться вашей картой. 


  • 0
Изображение

Нет, все-таки самая большая напасть России - дураки, указывающие дорогу.
©Гейко Ю.В. 1995, 2000, 2004, 2008 гг.

#9 OFF   ska79

ska79

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 302

Отправлено 02 Август 2017 - 20:25

Самогонщик, сейчас другой замут - всем подключают сбер онлайн и просят зайти с их сбера пк или планшета. Для чего это им надо внятных объяснений я не получил. Сказали что то типа чтоб сбер корректно подключился


  • 0

#10 OFF   mafores

mafores

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 02 Август 2017 - 20:35

хм, ну у меня карта давно и быстрый платеж и сбербанк онлайн были подключены пару лет назад. А вообще, мне кажется, номер телефона привязывается только в банкомате с помощью карты клиента. По крайне мере так мне сказали, когда я ходил заказывать перевыпуск карты и перевод ее на другой номер телефона после инцидента.


  • 0

#11 OFF   Самогонщик

Самогонщик

    Любитель Windows и Windows Mobile

  • Активисты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 973

Отправлено 02 Август 2017 - 20:45

ska79,

За подключение клиенту СБОЛа консультант получает деньги, на это есть план. Какие там ща скрипты стали я не в курсе, вообщем у человека такая работа. 


  • 0
Изображение

Нет, все-таки самая большая напасть России - дураки, указывающие дорогу.
©Гейко Ю.В. 1995, 2000, 2004, 2008 гг.

#12 OFF   MotherBoard

MotherBoard

    Мать всея бобров)))

  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 634

Отправлено 07 Август 2017 - 10:36

Возможно была такая схема, раньше встречалься с ними. 

В отделение сбербанка консультант по банковским продуктам(промоутер и т.п. в разное время должность называлась по разному) вообщем те люди которые ходять с планшетами по залу. При подключение каких либо услуг через терминал, подключають вам мобильный банк на ещё один номер, после этого они уже могут пользоваться вашей картой. 

На какой ещё один номер? Разве мобильный банк работает не с одним номером?

Всегда думала, что можно на один мобильный подключить несколько карточек, но первый раз слышу, чтобы мобильный банк работал с одной карты с несколькими телефонами


  • 0

m5260.gif

Берегитесь  шифровальщиков(Фантомас)


#13 OFF   den61

den61

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 11 Сентябрь 2017 - 20:29

Привет!

Та же самая проблема. Кнопочный тел, МТС, Сбер и списание 298р через SMS на 900.

Один перевод был совершен, когда телефон был отключен, без батареи.

Как обезопаситься? Менять sim? 


  • 0

#14 OFF   mafores

mafores

    Новичок

  • Новички
  • Cообщений: 0

Отправлено 11 Сентябрь 2017 - 20:52

Новых сведений пока нет. Перевел сберонлайн на другой номер и другой аппарат. И отключил услугу переводов через номер 900. Зараженная симка вставлена в другой телефон, в августе ночью была еще одна попытка списания. Менять зараженную симку пока не хочу, может все таки она понадобится для исследований.


  • 0

#15 OFF   ska79

ska79

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 302

Отправлено 11 Сентябрь 2017 - 22:16

den61, mafores,если у вас проблема возникает на мтс, то как вариант у мтс есть услуга (не помню её название, раньше была) суть услуги в том что можно отправлять смс из личного кабинета мтс. Возможно вы давали телефон кому то в руки, на телефон не установлен пароль. Можно попробовать скинуть \изменить пароль от личного кабинета мтс. Или отключить услугу личный помощник (точно не могу сказать есть ли такая услуга сейчас)


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных