Was ein Angreifer tun kann, wenn er das Passwort aus den State Services / Sudo Null IT News kennt

Kürzlich einer meiner Freunde erhielt einen Anruf von einem Mitarbeiter des Bundessteuerdienstes, um einige Daten zur 3-NDFL-Erklärung für die Rückgabe von Budgetgeldern für die Behandlung zu klären. Seine Überraschung war grenzenlos: Er hat diese Erklärung nicht nur nicht abgegeben (!), sondern die Rücksendung wurde bereits geprüft und genehmigt (!!), die Rückzahlung sollte auf ein unbekanntes Konto bei der MTS Bank zurücküberwiesen werden Seinen Namen (!!!) braucht man nur, um die eigentlichen Kleinigkeiten zu klären. Eine kleine, aber lehrreiche Geschichte.

Wichtiger Haftungsausschluss

Dieser Artikel dient nicht der Beschwerde, sondern dient lediglich dazu, ähnliche Situationen für andere zu verhindern. Noch einmal, es wird nicht notwendig sein, die Konten Ihrer weniger vorbereiteten Verwandten (und auch Ihre eigenen) zur Sicherheit zu überprüfen.

Das muss man sagen derselbe Freund nicht der dümmste Mensch auf Erden, sehr nah an der IT, er hatte ein sehr komplexes und einzigartiges (zumindest schien es so) Passwort von den Staatsdiensten, E-Mails und SMS wurden regelmäßig überprüft, er erlag nicht der Verkabelung von Betrügern von ” Banken”, jedoch wurde die Zwei-Faktor-Authentifizierung aufgrund bestimmter Umstände bei einem hastigen Umzug ins Ausland der Russischen Föderation aus Gründen der Bequemlichkeit und der möglichen Nichtverfügbarkeit eingehender SMS deaktiviert. Insgesamt haben wir: Der Angreifer kannte die richtige Login/Passwort-Kombination von den Staatsdiensten (woher ist noch nicht klar), das Zwei-Faktor-System wurde auf dem Konto deaktiviert. Ja, es scheint, dass er selbst einen kurzen Rock angezogen hat, aber die Situation implizierte keinen gesunden Menschenverstand.

Die Geschichte begann mit der Tatsache, dass in einer tiefen Nacht ein Angreifer in die Staatsdienste eindringt und die Benachrichtigungen über den Eintritt und die Aktionen im persönlichen Konto deaktiviert. Nun, dann haben bereits mehrere Wanderungen zu verschiedenen Diensten begonnen, bei denen ESIA Zugriff gewährt, sich gleichzeitig bei Dutzenden von Diensten anmeldet und eine riesige Menge persönlicher Daten erhält, einschließlich finanzieller:

Genehmigungen für öffentliche Dienstleistungen

Zwei Punkte sind hier interessant: der Zugang zur Website des Bundessteuerdienstes (nalog.ru) und die Autorisierung im MTS-Zahlungsgateway. Wie es dem Angreifer gelang, ein ganzes Konto bei der MTS Bank zu eröffnen, ist noch unklar. Ich vermute, dass durch die Registrierung von eSim (mit Hilfe derselben staatlichen Dienste) automatisch ein Konto in MTS-Money \ Bank eröffnet wird, dies ist jedoch noch in Klärungsprozess. Bonitätsanfragen gingen offenbar ein, um eine Liste der aktuell aktiven Konten bei Banken zu erhalten, um Informationen an „Kollegen“ im Shop für spätere Anrufe zu übermitteln.

Nun, weiter unten in der Liste gibt es viele zusätzliche Berechtigungen, zum Beispiel in der mos.ru-Schleife:

Liste der Aktionen in der mos.ru-Schaltung

Aber das ist eine andere Geschichte. Kommen wir zurück zu unseren Erklärungen.

Durch das tatsächliche Einloggen auf der Website des Bundessteuerdienstes wurde eine Erklärung erstellt, um einen Steuerabzug für die Behandlung zu erhalten, angeblich für eine Knieoperation im Jahr 2021. Sehr überzeugend, aber der Erklärung wurden fiktive Dokumente (Behandlungsvertrag, Kostenvoranschlag, Lizenz etc.) beigefügt.

Zeiten dokumentierenDokument zweiDokument drei

Bei einer oberflächlichen Prüfung werfen die Dokumente keine Fragen auf, alle Details kämpfen mit echten Daten (offensichtlich aus denselben öffentlichen Diensten gezogen), einige der Dokumente können leicht nach einer Probe gegoogelt werden oder sind allgemein öffentlich. Die Klinik ist echt, die Preise sind relevant, der Vertrag ist völlig identisch mit dem natürlichen. Es gibt ein paar kleine Macken, wie die seltsame E-Mail der Organisation, aber der durchschnittliche Büroangestellte wird sich wahrscheinlich nicht darum kümmern. Außerdem wurden absolut reale Informationen über das für 2021 erhaltene Einkommen, einschließlich der gezahlten persönlichen Einkommensteuer, in die Erklärung aufgenommen. All dies wurde wie üblich von denselben staatlichen Diensten bezogen. Das heißt, insgesamt sah alles aus Sicht der Rechtsgrundlage des Vorsteuerabzugs äußerst plausibel und richtig aus. Die Höhe der Rückerstattung sollte ~15.000 Rubel betragen. Die Details für den Erhalt einer Rückerstattung wurden in der MTS-Bank mit dem vollständigen Namen des Kontoinhabers angegeben. Und alles scheint in Ordnung zu sein, aber in der Erklärung wurde ein kleiner formeller Fehler gemacht, der einen Mitarbeiter des Bundessteuerdienstes veranlasste, um Klärung zu bitten. Komisch, dass sich die Person zum Zeitpunkt der „Operation“ auf einer anderen Hemisphäre befand, man kann nur froh sein, dass der Angreifer keinen Zugriff auf die Grenzkontrolldatenbank hatte.

Details des “unverständlichen” Kontos bei der MTS-Bank

Unabhängig davon möchte ich darauf hinweisen, dass zum Versenden der Erklärung eine ES erforderlich ist, die auf den Servern des Föderalen Steuerdienstes erstellt und gespeichert wird (die von ihnen empfohlene Methode). Der Angreifer kannte das Passwort für das zuvor ausgestellte Zertifikat nicht, daher wurde das vorherige Zertifikat ohne große Reue widerrufen und ein neues mit einem neuen Passwort direkt im persönlichen Konto generiert. Und eine fiktive Erklärung wurde mit einem neu ausgestellten Zertifikat unterzeichnet. Das alles dauert etwa 10-15 Minuten. Es gab diesbezüglich keine Bestätigungen und / oder Benachrichtigungen von der Website nalog.ru sowie von anderen Diensten. Das ist natürlich ein Fiasko. Die Erklärung wurde erfolgreich erstellt, unterschrieben und versendet.

Widerruf des Zertifikats auf der Website des Föderalen Steuerdienstes

Fazit: Es gab ein komplettes Leak von persönlichen Daten, bei vielen Sekundärdiensten, die der Angreifer im industriellen Maßstab erbte, gab es einen fast erfolgreichen Versuch des Finanzbetrugs. Und das nur auf den ersten Blick. Der Mitarbeiter des Föderalen Steuerdienstes schickte die unglückliche Erklärung zur Korrektur und Rücksendung in die richtige Richtung. Er beklagte auch, dass dies nicht die ersten zehn ähnlichen Fälle in den letzten Monaten seien und es möglich sei, sich bei der Polizei über das Sportlotto zu beschweren, aber in der Praxis würde niemand diese Aussagen ernsthaft in Betracht ziehen. Die Bewerbung wurde jedoch weiterhin über die elektronische Rezeption eingereicht, hauptsächlich aus Interessegründen. Ich muss sagen, dass dies in den Provinzen geschieht. Über das Ausmaß der Gräueltaten in großen Gebieten der Russischen Föderation kann man nur raten.

Hier endet die Geschichte. Alle Passwörter wurden erfolgreich aktualisiert, Anmeldebestätigungen und Benachrichtigungen sind verbunden, Spuren betrügerischer Aktivitäten sind sichtbar. Es wird immer noch versucht, bei MTS und seiner Bank die Einzelheiten einer Kontoeröffnung ohne Wissen des Inhabers des Passes dieses Kontos in Erfahrung zu bringen.

Im Moment ist ein vollständig verifiziertes Konto bei den staatlichen Diensten der Schlüssel, der viele Türen öffnet, es scheint sogar zu viel. Die Tatsache, dass dieser Schlüssel erhalten und verwendet werden kann einfach Eine Kombination aus Login und Passwort zu kennen, ist ziemlich deprimierend. Bei den Staatsdiensten Zwei-Faktor-Authentifizierung / Anmeldung per EU ist ein Kennwort nicht zwingend erforderlich und Anmeldebenachrichtigungen können Sie abschalten. Staatliche Dienste schienen Benutzeragenten von Geräten / Adressen, von denen sich zuvor niemand in das Konto eingeloggt hatte, nicht verdächtig zu sein (z. B. iOS, der Safari-Browser oder Windows 7). Und wenn der Eingang verdächtig erscheint, werden Sie aufgefordert, Ihre Passnummer oder andere leicht zugängliche (wenn Sie an den richtigen Stellen suchen) Informationen einzugeben. Ich spreche nicht davon, wie einfach und unkompliziert Drittanbieterdienste integriert werden können, die eingehenden Genehmigungsanfragen der staatlichen Dienste vertrauen und einen nahezu vollständigen Zugriff auf rechtlich bedeutsame Vorgänge ermöglichen. Ohne zusätzliche Bestätigung per SMS oder Mail. Hier stimmt eindeutig etwas nicht. Bei einer amerikanischen Bank müssen Sie beim Versuch, eine Karte nach einer verdächtigen Zahlung zu entsperren, so tiefgründige und knifflige Fragen beantworten (nur per Telefon verfügbar), dass 95 % der Amateurdiebe aussortiert werden. Öffentliche Dienste haben in puncto Sicherheit eindeutig Raum für Wachstum.

Ich hoffe, dass diese Geschichte jemanden dazu bringt, seine Passwörter zu ändern, Zwei-Faktor-Authentifizierung einzuschalten und die Regeln der Netzwerksicherheit nicht zu vergessen.

PS Ich wäre dankbar für zusätzliche Informationen darüber, auf welche anderen kritischen Dienste zugegriffen werden könnte und was genau doppelt überprüft werden sollte.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *