Sim Swap podvod - podvod na 2fa kody

HackForum

Sim Swap podvod - podvod na 2fa kody#
Zdravím komunitu soom cz. Ako by ste zaútočili na operátora sociálnim inžinierstvom a vykonali tak sim swap podvod . (bez toho aby ste mali vnútri partáka) . Myslím že je to zaujímavá téma a mám potvrdené že Slovenský operátori na to nemajú dostatočne vyškolený personal.

ja by som to robil takto

1)podvrhnem email obete- to nieje Žiadny problém ..

2)vykonštruujem logický email o tom že mi zrejme ukradli mobil a potrebujem preniesť simku na iné čislo a email odošlem telekomunikačnej podpore..

3)teraz je možné že nastane procedúra , štandardne sa označuje ako "call back" kde operátor môže zavolať obeti a zistí že niekto chcel podviesť klienta .
4) Preto sa to rieši tak že útočník nečaká na zavolanie ale on zavolá na podporu skôr a predbehne tak support ,podvrhne mobilné číslo klienta a povie niečo v tomto zmysle "Teraz som vám posielal email pred 20min a žiadna odpoveď ! mňe ukradli mobil , majú prístup k mojím smskám a hovorom a vy absolutne nereagujete na moje emaily . blablabla support sa začne ospravedlnovať že email support má väčšiu odozvu ale ponúknu útočníkovi presun sim karty na iné číso, útočník nadiktuje číslo a útok na operátora sa podaril" simka je prevedená a pôvodná zablokovaná .

pri telefonovaní aj emaile treba vytvoriť značný nátlak a uviesť operátora do príbehu o tom ako vám zrejme ukradli mobil ale dúfate že ste ho iba stratili , a tak ďalej , všetko to treba hovoriť urgentným a razantným hlasom aby podpora vedeľa že je to vážne . a podpora vám samozrejme chce pomôcť od toho je , tak tú sim kartu jednoducho prevedie , ludia sú prirodzene zvyknutý dôverovať a bohužial málo kto preveruje skutočnosti. .

Alebo ak ste "blázen" a nebojíte sa kamier a iných stôp ktoré IRL(in real life) zanecháte a chcete vybrakovať internetové bankovníctvo , tak si vytvorte falošnú občianku obete , nakráčajte na pobočku banky pár miest za vaším mestom kde bývate a požiadajte o zmenu čísla na ktoré bude chodiť verifikačné OTP 2FA heslo , opäť pracovníci vám vyhovejú(vo väčšine prípadov) .

Treba si uvedomiť že operátori na Slovensku sú slabo vyškolený(takmer nulovo) a podvody tipu sim swap niesu na Slovensku na dennom poriadku , to znamená väčšinu ľudí ani nenapadne na tej podpore že by to mohol byť jednoducho podvod. to isté v banke , človek by tam čakal vyššiu mieru bezpečnostných procedúr ale v praxi je u nás na Slovensku takmer nulová .

ešte dodám že nieje na škodu si vyprofilovať obeť , to znamená zoberete hocijaký nástroj ktorý pracuje s OSINT dátami napríklad palantir alebo maltego a nájdete o obeti všetko čo viete , napríklad rodné číslo,adresa trvalého bydliska,meno manžela,manželky obete atd , dá sa to použiť jednak v emaile alebo pri reagovaní ako príprava na otázky ktoré môžu byť položené od podpory.ak ste totálny extrémisti a puntičkári tak je dobre vydumpovať email, prehrabať to od A až po Z (A-Z) , a pozbierať informácie ktoré by mohli byť dôležité , aj marginálne informácie sa môžu hodiť pre získanie dôvery.

Upozornenie na záver :
Tento príspevok nemá za úlohu nikomu radiť ako vykonávať hocijaký trestný čin , má slúžiť výhradne na študijné účeli , v žiadnom prípade to nemá nabádať na ostré prevedenie podvodu . Ešte dodám toto čo tú píšem je založené na praxi a je reálne smutné vedieť že na Slovensku a zrejme aj v česku nieje dobre vyškolený personál . Môžte si skúsiť demo stačí sa dohodnúť s kamarátom že sa mu pokúsite previesť simku na iné číslo a ak sa vám to podarí tak pozíva na pivo :)

môžme tu diskutovať o poznatkoch a praktikách čo by ste na podporu použili vy .

ešte posledné čo dodám je to že 2FA sa dajú vylákať aj dynamicky od samotnej obete tak že sa hráte na pracovníka banky alebo inej inštitúcie a akože vy zasielate obeti SMSkod na potvrdenie pod zámienkou toho že uvideli podozrivú aktivitu na účte , a obeť vám kod nadiktuje pod zámienkou autentifikácie klienta. Alebo potom ss7 hijack, či backdoor do androidu či využitie Zeus malwaru (na ukradnutie penazí v bankovom účte obeti) , ale sim swap podvod je technologicky nenáročný a triviálne jednoduchý a efektívny .


(odpovědět)
Bs33g444522 | 212.102.60.*5.6.2020 4:00
re: Sim Swap podvod - podvod na 2fa kody#
Nazdar, nemyslim si, ze je to take jednoduche a ze ti na to nejaky operator skoci a ci sa vobec da preniet sim ka na ine cislo..Kazdopadne mi prosim nechaj kontakt ideal nejaku aplikaciu wickr, telegram. Mal by som pre teba zaujimavu ponuku :)
(odpovědět)
nazdar | 213.232.87.*8.6.2020 15:52
re: Sim Swap podvod - podvod na 2fa kody#
Sim-Swap je legitímna procedúra ktorú rádový zamestnanci operátora vykonávajú . Sim-Swap podvod je vlastne tá istá procedúra ale vykonaná podvodníkom .
V USA a v iných krajinách musí ešte vlastník simky stlačiť a odoslať číslo "1" na mobile , u nás tento bezpečnostný prvok neexistuje .
Sim-Swap je v USA veľmi dobre známy , koniec koncov hacker joel ortez dostal 10 Rokov väzenia za ukradnutie 7M$ (vykradol niekomu crypto účet na burze pomocou sim-swap) . a týchto prípadov kde sa pomocou sim-swap útoku ukradlo veľa penazí je naozaj veľmi veľa (stačí googlit alebo to dať do YT) . sim-swap scam bol tuším na blackhat konferencii označený ako "najnebezpečnejší hack" . To čo v praxi zarába niesu zvyčajne nejaké exploity a webové útoky Ale všeobecne uvedenie v omyl obete pomocou sociálneho inžinierstva patrí jednoznačne za najziskovejšie a najnebezpečnejšie útoky , lebo útok na človeka je často krát jednoduchší a hodnotnejší ako útok na systém . Koniec koncov veľa systémov je navrhnutých tak aby ich nebolo možné technicky prelomiť , tam sa zvykne potom útočiť na najslabší článok čo je samotný človek ktorý vie vykonať úrčitú činnosť či poskytnúť dôležité informácie . Takže Soc inžinierstvo je mocný nástroj ak sa robí správne a sim-swap scam je jeden príklad ktorý ukazuje silu sociálneho inžinierstva.

Mimochodom už som ti odpísal čo sa týka toho kontaktu pod post 419podvodu .


(odpovědět)
Bs33g444522 | 185.165.241.*14.6.2020 0:20

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode