Вирус на сим карте (сбербанк, 298 руб)

[mafores]

Добрый день. Не знаю в какой раздел форума писать, напишу сюда.

 

У меня карта сбербанка, подключен мобильный банк (пополнение мобильных и карт через номер 900). Привязанный номер - МТС, телефон кнопочный GT-S3310. Несколько дней назад обнаружил в детализации по карте списания в пользу MOBIKOM-KAVKAZ за последние три месяца. Все перечисления шли на разные номера мегафона. Уведомления по смс о данных операциях на телефонах не было. Вначале списывалось по 500 рублей несколько раз в месяц, а за последний месяц каждый день и по странным суммам 10 рублей и 298 рублей. Общая сумма составила около 8тр.

 

В детализации по номеру присутствуют эти смс (с близким временем списания денег с карты). Причем вначале выполняется USSD запрос на номер 100 (наверно проверка баланса карты) потом две смс на номер 900 (видимо распоряжение на перевод и подтверждение кодом).

 

Заявление в сбербанк, полицию и мегафон написаны.

 

При регистрации заявления в мегафоне, консультанты посмотрели были ли переводы на эти мегафоновские номера, там их приличное количество, видимо не я один заражен был.

 

Предполагаю, что вирус в симке (если это возможно конечно). Потому что после обнаружения всей этой ситуации, я заблокировал банк карту и переставил симку в другой телефон (тоже кнопочный) (который до этого год не использовался). Телефон был переведен режим Offline. А на следующий день я обнаружил в детализации по этой симке еще одну попытку отправки на номер 900, в новом телефоне смс не было. Операция не прошла т.к. карта была уже заблокирована.

 

В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка. Могу прислать ее. Попробую в МТС запросить тексты сообщений в первый месяц заражения.

 

На гуглил еще упоминание о переводах в 298 рублей http://161.ru/text/newsline/326864933830656.html и тут в конце коммент (http://bankcarding.ru/snyali-s-bankovskoj-karty-dengi/

 

Если будет нужна какая-то информация, могу сообщить.

 

[Raine]

А вы не рассматривали вариант утечки данных вашей сбербанковской карты, скимминговым устройством например?

[ska79]

Предположу что либо дубликат карты сбера у злоумышленников есть или дубликат сим, либо подключен мобильный банк на номер мобиком кавказ. Случайно приложение сбербанк онлайн не установлено?

 

 

В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.

пришлите ссылку мне в ЛС. Только не открывайте её.

+ рекомендую отключить услугу быстрый платёж - вы не сможете совершать переводы отправкой смс, можно будет только пополнять баланс номера телефона подключенного к мобильному банку.

Изменено 2 августа, 2017 пользователем ska79

[mafores]

Банк карта сейчас заблокирована, к сбербанк онлайну был подключен только этот номер МТС (проверял когда отключал быстрый платеж от этого номера после инцендента)

 

Сбербанк онлайн не устанавливал, тк как я говорил у меня телефон кнопочный старый, там не андроида или другой современной ОС.

 

Почему не рассматриваю вариант копии карты, несанкционированные транзакции только на MOBIKOM-KAVKAZ и в целом соответствуют операциям в детализации отправленным USSD и SMS900 запросам. Других подозрительных операций в детализации по карте не заметил. Попробую еще детальней просмотреть все списания.

 

Возможно да дубликат симки, но как понять, что это так не знаю.

 

В МТС отказали дать тексты входящих смс. Видимо выдадут только полиции при расследовании.

 

Сейчас в ЛС вышлю ссылку.

Посмотрел детализацию с января по сим карте, доступа в интернет не было. только смс и телефонные звонки. То есть получается это что-то другое, а не открытие ссылки из вирусной смс.

[ska79]

Если вы смс от банка не получали по факту, тогда значит этим методом https://blog.kaspersky.ru/ss7-attack-intercepts-sms/17673/

​у вас уводили деньги, наверно

[Sapfira]

 

 

В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.

 

До того, как начали списываться деньги, по подобным ссылкам в смс не переходили? Вирус мог попасть этим путём.

[mafores]

Если вы смс от банка не получали по факту, тогда значит этим методом https://blog.kaspersky.ru/ss7-attack-intercepts-sms/17673/

​у вас уводили деньги, наверно

 

А в таком случае как в статье написано, смс будут фиксироваться в детализации по симкарте ?

Вот так эта операция перевода выглядит

 

 

 

 

 

 

В телефоне сохранилась одна подозрительная смс типа вам пришла ммс. Возможно такая-же приходила как раз пару месяцев назад. VirusTotal выдает информацию, что это фишинговая ссылка.

 

До того, как начали списываться деньги, по подобным ссылкам в смс не переходили? Вирус мог попасть этим путём.

 

 

Приходили, как мне кажется. Но я сейчас проверил всю детализацию с января, доступа в интернет не было. То есть я по ссылкам не переходил и ничего не скачивал.

[Самогонщик]

Возможно была такая схема, раньше встречалься с ними. 

В отделение сбербанка консультант по банковским продуктам(промоутер и т.п. в разное время должность называлась по разному) вообщем те люди которые ходять с планшетами по залу. При подключение каких либо услуг через терминал, подключають вам мобильный банк на ещё один номер, после этого они уже могут пользоваться вашей картой. 

[ska79]

@Самогонщик, сейчас другой замут - всем подключают сбер онлайн и просят зайти с их сбера пк или планшета. Для чего это им надо внятных объяснений я не получил. Сказали что то типа чтоб сбер корректно подключился

[mafores]

хм, ну у меня карта давно и быстрый платеж и сбербанк онлайн были подключены пару лет назад. А вообще, мне кажется, номер телефона привязывается только в банкомате с помощью карты клиента. По крайне мере так мне сказали, когда я ходил заказывать перевыпуск карты и перевод ее на другой номер телефона после инцидента.

[Самогонщик]

@ska79,

За подключение клиенту СБОЛа консультант получает деньги, на это есть план. Какие там ща скрипты стали я не в курсе, вообщем у человека такая работа. 

[MotherBoard]

Возможно была такая схема, раньше встречалься с ними. 

В отделение сбербанка консультант по банковским продуктам(промоутер и т.п. в разное время должность называлась по разному) вообщем те люди которые ходять с планшетами по залу. При подключение каких либо услуг через терминал, подключають вам мобильный банк на ещё один номер, после этого они уже могут пользоваться вашей картой. 

На какой ещё один номер? Разве мобильный банк работает не с одним номером?

Всегда думала, что можно на один мобильный подключить несколько карточек, но первый раз слышу, чтобы мобильный банк работал с одной карты с несколькими телефонами

[den61]

Привет!

Та же самая проблема. Кнопочный тел, МТС, Сбер и списание 298р через SMS на 900.

Один перевод был совершен, когда телефон был отключен, без батареи.

Как обезопаситься? Менять sim? 

[mafores]

Новых сведений пока нет. Перевел сберонлайн на другой номер и другой аппарат. И отключил услугу переводов через номер 900. Зараженная симка вставлена в другой телефон, в августе ночью была еще одна попытка списания. Менять зараженную симку пока не хочу, может все таки она понадобится для исследований.

[ska79]

@den61, @mafores,если у вас проблема возникает на мтс, то как вариант у мтс есть услуга (не помню её название, раньше была) суть услуги в том что можно отправлять смс из личного кабинета мтс. Возможно вы давали телефон кому то в руки, на телефон не установлен пароль. Можно попробовать скинуть \изменить пароль от личного кабинета мтс. Или отключить услугу личный помощник (точно не могу сказать есть ли такая услуга сейчас)