Na rynku usług cyberprzestępczych pojawiła się nowa usługa. Możliwość zaatakowania ofiary poprzez ciągłe dzwonienie na określony numer telefonu. Za godzinę ciągłego i uporczywego telefonowania zapłacimy 5 dolarów, natomiast za 40 dolarów możemy wykupić pakiet, w którym przez cały dzień ofiara jest bombardowana nowymi połączeniami. Oczywiście każde połączenie jest nawiązywane z innego numeru przychodzącego by nie można było zablokować określonych numerów. Oczywiście oferowane są konkretne zniżki dla stałych Klientów :]
Oprócz oczywiście uprzykrzania komuś życia poprzez tego typu niewinny żart warto przypomnieć, że tego typu praktyki są wykorzystywane w momencie gdy konto bankowe ofiary jest okradane z pieniędzy. Odcięci od możliwości wykonania połączenia, mamy mocno utrudniony dostęp do uzyskania informacji na temat tego co dzieje się na naszym koncie i ewentualne podjęcie odpowiednich działań blokujących. W ten sposób cyberprzestępcy wykorzystują tego typu usługi do zwiększenia skuteczności swoich działań. Ciekaw jestem kolejnych interesujących usług ;]
5 komentarzy do
28 grudnia, 2011 o godzinie 07:01
Telephone DoS był już znany od jakiegoś czasu. Aż się zdziwiłem, że ktoś dopiero teraz wpadł na pomysł oskryptowania sobie spoofingu CallerID i sprzedawania takiej usługi.
Co do kolejnych interesujących usług – raczej w ramach ciekawostki – zagoogluj sobie za „distributed denial of dollars” ;>
28 grudnia, 2011 o godzinie 08:55
p____h: Kilka lat temu coś takiego było w Polsce, ale z przekazami pocztowymi na konto pewnego Radia.
28 grudnia, 2011 o godzinie 10:16
Co do konta w banku, to chyba możemy wtedy zadzwonić z innego telefonu albo np zalogować się przez www i jeżeli trzeba szybko działać, to wyłączyć kanał dostępu przez www – w lepszych bankach mamy taką możliwość bez problemu do realizacji.
28 grudnia, 2011 o godzinie 11:45
@dotnokato:
Wygooglowałem – rzeczywiście, ale wygląda na to, że na taki „atak” podatne były wszystkie organizacje, które ustaliły, że będą pokrywać koszt dostarczenia przekazu.
@xbartx:
TDoS to raczej efekt końcowy ataku – powiedziałbym, że nawet jest to w pewnym sensie tylko dodatek. Konto z poziomu WWW jest już dawno skompromitowane (i przez nie wysłany jest właśnie przelew). Co do dzwonienia z innego numeru – to raczej działa w drugą stronę. Jeśli bank widzi, że po długim czasie nieaktywności dokonywany jest jakiś przelew, lub następuje próba przelania pieniędzy na jakieś egzotyczne konto – to zwykle próbuje telefonicznie upewnić się, czy taką transakcje zlecił rzeczywiście właściciel konta. A skoro linia telefoniczna jest ciągle zajęta [czyt. blokowana przez atakującego] – to bank nie ma szansy tego zweryfikować. I w tym momencie pojawia się odwieczny problem usability vs security. Czy pozwolić na zrealizowanie dziwnego przelewu (chociaż nie można potwierdzić go bezpośrednio u właściciela konta), czy może taki przelew anulować (i jeśli okaże się, że został on zlecony rzeczywiście przez właściciela konta – to zdobyć niezadowolonego klienta, któremu z pewnością nie będzie wesoło, że bank anulował jego transakcję). Mówiąc w skrócie, TDoS ma tylko umocnić w przekonaniu atakującego, że właściciel konta nie zdaje sobie sprawy, że z jego banku znikają pieniążki.
29 grudnia, 2011 o godzinie 09:39
@p____h:
Dobra tylko o jakich bankach mówimy? Jeżeli o polskich to tutaj musimy się bardziej wysilić i akurat blokowanie telefonu jest najmniej komuś potrzebne. Praktycznie w każdym banku mam potwierdzenie przelewu dodatkowych kodem z karty kodów, tokena lub sms. Także atakujący musi zdobyć login+hasło i dodatkowo dostęp do kodów.
Poza tym w tym artykule stoi:
„Odcięci od możliwości wykonania połączenia, mamy mocno utrudniony dostęp do uzyskania informacji na temat tego co dzieje się na naszym koncie i ewentualne podjęcie odpowiednich działań blokujących.”
nie wiem co za problem wziąć inny telefon i zadzwonić do swojego banku (o ile domyślamy się o co chodzi).