Развод на деньги - пытаюсь понять

Три кружочка с цифрами появляются когда надо подтвердить вход на новом устройстве. Но только если, естественно, есть и логин и пароль одновременно. 2fa у нее значит точно не была установлена.
А кошелек (сид фразу) эта мадама хранила в почте своей, с письмом "самой себе, чтобы не забыть", вероятно речь про это, а не доступ к какой-то бирже. Сейчас почту можно подключить к Gemini и она сама скажет, где и какие документы есть в почте твоей, очень удобно, но если это попадает к злоумышленнику - то ппц. Поэтому только условный bitwarden, 1password, LastPass итд для паролей, 2fa аутентификатор если паранойя и естественно смотреть и самое главное читать, что пишется в попапах на устройстве с которого простят верифицировать вход.

Вот из Беларуси

Итак. В начале сентября 35-летнему белорусу позвонили из компании, которая обслуживает домофоны, — якобы в его доме будут менять систему. На мобильный телефон мужчины поступило сообщение с новым кодом от домофона, который он любезно назвал. Данный разговор был первой ступенью этой мошеннической схемы.
Дальше подключились «сотрудники финансовой милиции». Уверенным тоном они заявили, что на имя мужчины уже оформили кредит, деньги вывели, а самого его могут привлечь по статьям УК. Чтобы «не мешать расследованию», потребовали расписку о неразглашении. Следом позвонил «банкир» — уточнял суммы на счетах и убеждал «декларировать» средства. Жена мужчины, услышав разговоры супруга, заподозрила неладное и позвонила в милицию. Но когда тот уже направлялся в райотдел, аферисты снова вышли на связь и убедили: никуда ехать не нужно, все это часть плана, чтобы обезопасить его деньги. В итоге мужчина снял два вклада и сам перевел их на счета преступников. Так он потерял почти 200 тысяч рублей (более 60 тысяч долларов).

Ну как? Ну как? Чисто социальная инженерия. Причем на многих ресурсах официалы из МВД постоянно предупреждают, даже рассылают СМС - милиция по телефону и через мессенджеры не проводит никаких расследований. Будете нужны - либо придут к вам, либо вызовут повесткой. Если кто-то чего-то от вас хочет по телефону/мессенджеры это развод. Не ведитесь. И все равно находятся лошары... Лох это судьба.

Автор того поста в Фейсбуке (Наталья Легкая) в одном из следующих постов написала немного больше деталей:

«Мой случай.
Атака через подтверждение входа (social engineering). Присылают ссылку на «корпоративный звонок» и говорят: «Сейчас придёт код, продиктуйте». Думаешь, что подключаешься к встрече, а на деле подтверждаешь вход мошенников в свой
Google-аккаунт. Дальше у них все: почта, документы, доступы. Такие схемы работают только если пароль уже у мошенников. Обычно он «утекает» из старых аккаунтов (например, Mail.ru или других сервисов, где вы регистрировались 10 лет назад). Если тогда у вас был один и тот же пароль для всего — это реальная дыра в безопасности.»

У нас компания нас в тонусе держит - ИТ регулярно рассылаем нам тренировочный фишинг и если попался - тебе укоризненно говорят, что нельзя же так ... А если сразу сообщил, куда следует - тебе шлют поздравления. Немного достает, но хорошо приучает не верить никаким "пожалуйста, подтвердите правильность ваших деталей счета на сайте отдела кадров".

Да все хранят пароли и сид-фразы на гугл-диске, а где же ещё их хранить?

Логины-пароли от всех сайтов хранятся в гугл-паролях, а где же ещё? В том числе от ласт-пасс, который сам по себе абсолютно 🫆 хранилище всех паролей)

И понять почему Дуров не закрывает такие канады
t.me
данные украинской Дии слитые.

вначале надо зайти на тот канал
LAC-Team

Вообще не обязательно знать все схемы мошенников. Чтобы отсечь 99% попыток развода, достаточно запомнить всего лишь одно простое правило:
неизвестному звонарю или писарю не сообщать никаких данных или кодов, кем бы он не представлялся - хоть папой римским.
Отрепетировать, чтобы было на автомате: как только у вас просят какие-то циферки - это табу.

У меня на днях на мыло пришел запрос от Трелло. Я увидел заглавную строку и даже заходить не стал в письмо, сразу удалил. Какое нахер Трелло, я им не пользуюсь.

Возможно, это популярный в наши дни способ "разгона" аккаунта самой Натальи. а) Все узнали, что она делает маркетинговые стратегии, да еще с кучей перепостов. б) Некоторые умудряются на жалостливых историях из жизни дойти до приличных доходов от монетизации в соцсетях - формально не прося денег.

Когда Гугл делает двухфакторную аутентификацию на Андроиде, он показывает три двухзначных числа и только выбрав правильное аутентификация проходится. Скорее всего, это они и имела ввиду под "нажмите на циферки". Она приняла окно аутентификации, которое ей показал Гугл на Андроиде, за СМС и нажала на то число, которое ей сказали (из 2-факторной сессии).

Расскажу про самую элегантную схему, что я видел в последние годы: по ящикам рассылали поддельные квитанции по квартплате, где реквизиты, понятное дело, ведут не на ГУК, ТСЖ и прочее, а на счёт мошенников. И я помню, я когда платил за квартиру, обнаружил, что в личном кабинете "Сбербанка", через который я давно уже плачу, исчезли привычные строки, где я мог провести оплату; и пришлось вводить реквизиты вручную с квитанции. Помню, о разводе узнал сутки спустя и волновался, что не туда перевёл, но всё обошлось. Но интересно как совпало, что в личном кабинете исчезает строка оплаты - и тут же мошенники этим пользуются! Даже не знаю, где тут причина, а где следствие... Либо утечка, либо сговор.

Если телефон на андроиде залогинен в google аккаунт, и ты пытаешься параллельно залогиниться в тот же аккаунт на другом телефоне - на первом телефоне появится всплывающее окно подтверждения, в котором надо просто нажать да/нет. Никаких кодов там не будет.
Так что этот момент вполне правдоподобен. Если в это время девушка пыталась в google meet подключиться, то могла подумать, что это от него уведомление.

"двойная", "тройная" или любая авторизация она для пользователья, что бы ему жизнь осложнить.
У меня как то телеграм акк увели при включенной двойной авторизации, просто без какого либо кода или запроса.... в последнюю секунду успел поменять пароль, но еще час вычищал полторы тысячи групп по крипте куда успели заспамить с моего акка...так же спотифай уводили, тоже без какого либо подтверждения, но если мне надо перелогинться-так гиморороя-выше крыши...

Эти "циферки" явно были замаскированы под код авторизации для доступа Google met. Введите код доступа, чтобы присоединится к звонку. После чего код ушел куда надо. Отсюда же и ответ на вопрос - откуда мошенники знали пароль. Все просто. Ссылка была не конференцию Google Met, а на что-то под него мимкрирующее, куда жертва и "залогинилась" введя свои настоящие креды от гугл аккаунта. Опять же, формат встречи-доклада объясняет почем жертва не заметила входа в ее аккаунт с нового устройства - в этот момент она была сфокусирована на презентации.
Уровень подготовки действительно впечатляет. Мошенники явно не случайно нацелились на жертву.

С криптокошельком же.. людям свойственно ставить один пароль на все ресурсы. Иногда они меняют в нем буквально один (чаще всего последний) символ. И можно сколько угодно рассказывать про парольные менеджеры, азы информационной безопасности и прочее. Увы, практически не помогает.

Еще, КМК, очень важно иметь раздельные акаунты. Например, мой, который привязан к некоторым банковским акаунтам и т.п., не светится так просто. Тот, с которым я выхожу в мир, там, gmail, всякие ютубы и пр., не ведет никуда, где я мог бы потерять деньги или что-то важное. Пока четырех разных мне хватает. Ну, и у меня есть второй номер телефона, тоже для таких функций. Этому меня научил split DNS 😄

commission.europa.eu

Меры включают запрет:
[...]
на бизнес-услуги, прямо или косвенно, такие как бухгалтерский учет, аудит, аудит уставного капитала, бухгалтерский и налоговый консалтинг, ИТ-консалтинг, юридические консультации, архитектурные услуги и проектирование, управленческие консультации, связи с общественностью, маркетинговые исследования и опрос общественного мнения, техническое тестирование и анализ, реклама и рейтинговые услуги;
[...]

Немного другая тактика разводов. Маме позвонил курьер из аптеки и сказал что надо уточнить по заказу. Так как мама старенькая мы ей иногда заказываем с доставкой ее это не сильно насторожило. Дальше технические детали - ой тут адрес неправильный вам надо сообщить три цифры.

Мои родители для себя приняли решение уйти в цифровую несознанку. Отказались от пластиковых карт, все покупки в оффлайне за кэш, за пенсией ходят ножками, папа вернулся на кнопочный телефон. Говорят, что им так спокойнее.

Мошенники очень злые были, что за весь этот цирк им досталась сумма всего лишь с тремя нулями. Вот и пошли кредиты оформлять и в прочие тяжкие. Тяжела и неказиста жизнь простого мошенника.

Предупредил маму еще раз. Наверное, десятый за год. В этом деле много не бывает.

Это привет всем, кто использует Google Authenticator, а не стороннее OpenSource решение с шифрованием. У знакомого через расширение в браузере или через уязвимость подмены номера SS7 смогли авторизовать новое устройство. Далее Google услужливо подтянул все TOTP (одноразовые пароли по времени) на новое устройство. После злоумышленники спокойно авторизовались на всех криптобиржах и стянули более 10 000$. Всё это делалось, пока знакомый мирно спал.

Если мошенники заставили еще и презентацию готовить, значит, точно люди серьезные.

Схема как раз более или менее понятна, и это значит что у злоумышленников был и логика и пароль, а "цифирки" на телефоне это уже мелочи.
Я как раз вчера занимался настройкой нового телефона жене, и в очередной раз понял как много завязано на гугл-аккаунт.

Как говорится, просто оставлю это здесь. Может, кому-то это история поможет сберечь нервы и деньги (или их стареньким родителям).

Пару недель назад мошенники попробовали (почти удачно) развести на деньги мою пожилую маму. Честно говоря, даже я была в шоке, насколько это сейчас проработанный бизнес.

Началось все с полностью безобидного звонка на тему установки электросчетчика в их доме. Звонивший назвал имя и фамилию мамы + у мамы в доме пару месяцев назад был разговор, что, возможно, будут менять счетчики, поэтому история сразу же стала для мамы выглядеть очень правдоподобной.

Далее звонивший сказал, что счетчики можно будет установить бесплатно, но нужно оставить заявку. Спросил точный адрес, потом сказал, что сейчас на ваш телефон придет смс с номером заявки, которую нужно продиктовать ему. Пришла смс с номером со стандартной припиской, что НИКОМУ и НИКОГДА эти цифры не передавайте. Мама спросила у звонившего, как же так, написано ж никому не говорить, на что тот ей ответил: ну вы же знаете, что это просто номер заявки, чего вам бояться? (Действительно, чего?) Мама ему сообщила эти цифры.

Дальше начался вообще цирк с конями. Звонок моментально прервался страшным сообщением, что типа Роскомнадзор получил сигнал, что страшные тайные цифры, которые НИКОМУ НЕЛЬЗЯ ПЕРЕДАВАТЬ, были переданы третьему лицу. Ждите звонка от Роскомнадзора.

За минуту позвонила женщина «из Роскомнадзора». Сказала, что эти цифры дают право мошенникам менять настройки телефонного номера и, например, перенаправить все смс на другой номер (интересно, что это, скорее всего, было правдой). Теперь кто угодно может зайти за маму на разные сервисы и в ее банковские приложения и делать там, что ему захочется. Например, взять кредит или выписать на себя доверенность. «О! - сказала эта женщина, - я как раз вижу, что у вас на госуслугах появилась новая доверенность пару минут назад. Это вы ее создали?» Перепуганная мама сказала, что нет, и женщина переслала ей типа скрин доверенности. Вот тут, пожалуй, для меня был главный пугающий момент этой истории - в этой псевдо-доверенности были указаны все мамины паспортные данные. Т.е. без сомнения маме позвонили не просто так, а потому что все ее данные изначально у мошенников были, и потому вся эта авантюра имела большой шанс на успех.

Понятно, что мама перепугалась уже очень сильно. К тому же «доверенность» была выдана на человека с российским паспортом, но якобы родившимся в Харькове и получившим российский паспорт в 2022 году.

«Роском-тетя» не преминула обратить на это мамино внимание. Сказала, что скорее всего, это все не просто так. Вот он сейчас перечислит ваши деньги на ВСУ, и вы сядете по экстремистской статье. Я должна передать всю эту историю в ФСБ. Ждите от них звонка.

Еще через пару минут позвонило «ФСБ». Сказало, что да, ми хорошо знаем фамилию этого харьковчанина. Это всем известный преступник и террорист, находится в розыске. Вам срочно нужно обезопасить ваши деньги и перевести их на «безопасный счет». К счастью, в этот момент разговора домой вернулся мой папа, накричал на маму и на того «фсбешника» и потащил маму в банк блокировать счета и разбираться с доверенностями, если какие-то там где-то фигурируют.

Я потом еще заставила маму разобраться, что это была за загадочная смс, с которой все началось. Выглядело так, что кто-то пробовал зайти в ее кабинет на портале МТС и смс была нужна для подтверждения входа. Мама с папой потом тоже подключились к кабинету, вроде как пересмотрели все настройки, поставили пароли и не нашли признаков, чтобы кто-то там что-то менял с нехорошими намерениями.

Такая вот история. Напоследок скажу, что прямо в мамином окружение несколько людей принимали очень похожие звонки с разными результатами. Кто-то сразу не поверил и послал, а одна женщина все свои деньги отдала (ее больше недели обрабатывали и высосали все, что можно). Мама была под большим впечатлением, насколько это массовое явление.

Обычный приём мошенников, рассчитанный на легковерных, в том, что после клика по ссылке в СМС идёт звонок от якобы правоохранителей с утверждением, что вы поучаствовали в деятельности мошенников, потому надо спасать ваши деньги. Переводить на безопасный счёт, отдавать особому курьеру и тп.

Как вариант, клик может вести на сайт, где установлен вирус либо запустить вирус напрямую.

Возможно, вирус похитил доступ к гуглу. Но вход в криптокошелек? Как?

Обычно, чтобы зайти в простое банковское приложение нужно пройти идентификацию в несколько шагов. То есть, вводить определённые данные ручками. У неё этот криптокошелек всегда открыт был?

Ставлю сотку.

100500%, как и во всех подобных историях.
Там наверняка еще была целая цепь подробностей, благодаря которым стал возможен этот развод.

P.S. и что еще примечательно и типично для всех подобных историй- буквально пара предложений по сути того как именно произошёл развод. Ну то есть вообще буквально пара фраз что именно произошло.
Зато и до, и после- куча подробностей с эмоциями про эту компанию, про то как она потом начала бегать, страдать и т.д, много эмоционального текста.

То есть мордорские клиенты? Продолжаем работать с военными преступниками находясь в ЕС?
Ну тогда ещё мало с неё срезали. Жаль.
Стоит ещё проверить остальные её доходы на соответствие местному законодательству.

Сид фразы достаточно для некоторых кошельков.

Чтобы не потерять сид фразу, отправила ее на Гугл-почту, например.

Что то сильно не договаривает эта мадам. Дело в том, что начиная с детского садика учат никогда не хранить парооли и сид фразы в цифровом виде. Потому что все же знают, тот у кого есть сид фразы владелец кошелька. По всей видимости мошенники сбросили пароль и она им подтвердила когд для сброса. А на почте были кроме прочего коды доступа к крипто кошельку.

Возможно запрос был на восстановление пароля...

Вот здесь собака порылась

Так, чисто в порядке бреда. Злоумышленники знали пароль (увели раньше). Но чтобы залогиниться - нужно было подтверждение с залогиненного устройства. Гугль спрашивает "это вы" и предлагает три цифры на выбор, нужно нажать правильную. То есть условно: "нажмите 42", она и нажала.

Что касается криптокошелька - вполне может быть, что где-то в открытую хранила сид-фразу. Сид-фраза - это и есть кошелёк. 12 или 24 слова, которые, если утекли - кошелёк уже не твой.