Что нового?

НОВОСТИ Как перевыпуск SIM-карты позволил угнать миллионы у компании

  • Автор темы fastestinfo
  • Дата начала


fastestinfo

Гость
На днях со мной поделились очень интересной историей, которую я хотел бы рассказать как кейс, однако без упоминания конкретики:

Поломали компанию, угнав немалые средства. Конкретика известна не вся, обстоятельства также. Поэтому и ответов на возникшие странности и вопросы пока не найдено. Тем не менее.

Известно, что "сломали как-то через VPN". Полагаю, что скорее всего был заход по социальной инженерии, через вредонос подгружается программа удаленного доступа. Либо же брут торчащего наружу клиента, либо слив учеток, инсайдер и тд - вариантов масса. Но интереснее дальше - идет последний этап: пора угонять деньги со счета компании, но тут для подтверждения транзакции нужно ввести код из смс.

Смс приходит на корпоративный номер мобильного телефона. Сама трубка лежит в офисе. И вот в пятницу вечером происходит транзакция. И до свидания несколько миллионов.

Выясняется: SIM-карту деактивировали и восстановили через оператора, показав КОПИЮ документов правообладателя. Ломали, говорят, из-за рубежа, но нашли здесь человека, который сходит в салон и провернет процедуру.

На этом вся имеющаяся информация, однако вопросов больше, чем ответов:

1) Неужели какой-то оператор может сделать восстановление SIM-карты при предоставлении копии документов другим лицом? Ну очевидная же подстава. Скорее всего, это запрещено всеми возможными внутренними правилами

2) Как именно получили первоначальный доступ - не так интересно. Вариантов масса.

3) Откуда у рандомных атакующих информация о правообладателе SIM-карты - понятно, тут может и глазик подсказать. Иногда хороший OSINT по компании приоткрывает завесу к подобного рода "тайнам".

4) Но копия документов... Это, понятно, вполне реально. Но это уже более серьезный уровень... Тут видимо заморочились и купили "пробив". Нажива то все равно покроет расходы. Но все равно удивляет.

После такого невольно задумываешься, что неплохо бы в SIEM-ке сделать alert на случай неожиданной потери мобильной сети корпоративным телефоном))

Вопросы коллегам: как бы вы расследовали подобный кейс? С чего бы начали? Возможно ли привлечь сотрудника салона оператора сотовой связи за подобные действия?

Поделитесь, пожалуйста)
 
Назад
Сверху