Мошенничество с USSD-кодами: как злоумышленники воруют деньги через * и #

Мошенничество с USSD-кодами: как злоумышленники воруют деньги через * и #

Технологии мобильной связи открывают перед пользователями массу удобных возможностей, однако вместе с тем создают и новые риски. Одной из потенциально опасных зон является использование USSD-кодов, которые обычно начинаются со звёздочки (*) и заканчиваются решёткой (#). Многие люди без опасений набирают подобные комбинации, не задумываясь о возможных последствиях. В этой статье мы разберём, что такое USSD-коды, какие существуют реальные примеры мошенничества в этой сфере и почему так важно соблюдать осторожность при их использовании.

Для большинства владельцев мобильных телефонов USSD-коды ассоциируются лишь с проверкой баланса или подключением услуг оператора. Однако уже не первый год злоумышленники активно используют USSD для осуществления разных схем мошенничества. Задача данной статьи – показать, насколько уязвимой может быть эта технология, а также дать ряд рекомендаций, которые помогут обезопасить себя и своих близких от обмана.

Что такое USSD

USSD (Unstructured Supplementary Service Data) – это протокол, используемый в сетях GSM. Он даёт возможность мобильным устройствам взаимодействовать с сервером оператора в режиме реального времени путём обмена краткими сообщениями. Типичные примеры применения USSD – запросы баланса (*100#), активация или деактивация тарифных опций, перевод денег с лицевого счёта и многое другое.

Когда пользователь набирает определённую USSD-команду, телефон отправляет запрос оператору, а в ответ получает сообщение с нужными данными. Процесс происходит мгновенно, а результат выводится прямо на экран. Это быстро и, на первый взгляд, безопасно. Однако у каждого механизма есть свои уязвимости. Если злоумышленник найдёт способ перехватить запрос или заставить пользователя ввести «вредоносную» комбинацию, это может привести к финансовым или репутационным потерям.

Реальные примеры мошенничества

Несмотря на относительно низкую осведомлённость о подобных схемах среди широкой аудитории, случаев атак и обмана с применением USSD-кодов достаточно много. Рассмотрим несколько примеров, которые подтверждают, что опасность вовсе не теоретическая.

1. Автоматический вызов кода для сброса телефона (Android-уязвимoсть 2012 года)

В 2012 году была обнаружена серьёзная уязвимость в некоторых моделях смартфонов Samsung на базе Android. Через специально сформированную ссылку в браузере злоумышленник мог активировать USSD-код *2767*3855#, который полностью сбрасывал телефон до заводских настроек, а в определённых вариантах даже удалял все пользовательские данные. Достаточно было, чтобы владелец смартфона просто перешёл по вредоносной ссылке. В ряде случаев код срабатывал моментально, без дополнительных подтверждений со стороны пользователя. Этот пример наглядно показывает, что USSD-коды могут использоваться не только для финансовых махинаций, но и для причинения прямого ущерба владельцу устройства.

2. Фишинговые сообщения и кража средств

Одно из распространённых направлений мошенничества – отправка фишинговых SMS или сообщений в мессенджерах, где пользователя просят набрать некий «специальный» USSD-код. Мошенники могут убеждать, что эта команда активирует «скидку», «проверку SIM-карты» или «новый тариф со сверхвыгодными условиями». На самом деле, комбинация может списывать средства со счёта абонента или переводить их на номер злоумышленника.

К примеру, зарегистрированы случаи, когда люди получали SMS с текстом вроде: «Для активации бесплатного пакета интернета наберите *123*XXX#». На самом деле, под комбинацией XXX может скрываться номер, куда будет перечислена определённая сумма. Человек, введя USSD-код, думает, что получит «подарок», а по факту теряет деньги.

3. Подмена кода в «советах» на форумах и в соцсетях

Иногда атакующие пользуются доверчивостью пользователей, размещая на форумах и в социальных сетях «лайфхаки» и «секретные коды». Люди, увидев такой совет, пробуют ввести код в надежде на какие-то уникальные возможности, например «увеличить скорость интернета», «получить бесплатные минуты» или «обойти ограничение тарифа». На деле это могут быть USSD-запросы, позволяющие злоумышленнику получить доступ к вашему счёту или настройкам SIM-карты.

Так, на некоторых ресурсах встречались публикации с «горячими советами», вроде: «Наберите *123*номер_телефона#, и получите бонус» (без уточнения деталей). Если вы введёте этот код, можете случайно согласиться на перевод средств со своего баланса. При этом оператор получит команду с вашего телефона и честно выполнит её, ведь визуально всё выглядит как легитимный запрос от владельца номера.

4. Автоматические подписки и платные услуги

В некоторых схемах злоумышленники используют скрытые USSD-запросы для подключения платных подписок или услуг на ваш номер без вашего явного согласия. Это может произойти через вредоносные приложения, которые получают доступ к номеронабирателю и автоматически отправляют нужные коды. Пользователь по итогу обнаруживает у себя на счёте регулярные списания за «подписку», о которой ничего не знает.

Подобные случаи зафиксированы в различных странах, где операторы позволяют активировать развлекательные сервисы (музыку, игры, подписки на контент) через короткие USSD-команды. Мошенник распространяет фальшивое приложение, внутри которого скрыт функционал отправки команды на подключение этой услуги. Итог – пользователь, не зная об этом, начинает платить за ненужный ему сервис.

Почему возникают такие уязвимости

Казалось бы, операторы связи и производители телефонов должны тщательно защищать инфраструктуру USSD. Отчасти так и происходит: большинство простых операционных систем и операторских серверов имеют базовую защиту от неправильных комбинаций. Однако есть ряд причин, по которым мошенникам всё же удаётся эксплуатировать уязвимости:

  • Широкая функциональность USSD. Протокол изначально задумывался как универсальный инструмент для взаимодействия с оператором, поэтому он обладает довольно обширными возможностями, среди которых есть и опасные комбинации.
  • Недостаток информированности пользователей. Мало кто задумывается, что такая «команда» может повлечь за собой потерю денег или утечку данных.
  • Простота механизма. Для запуска команды достаточно набрать несколько символов и нажать вызов. Ни паролей, ни специальных подтверждений оператор часто не требует.
  • Злоупотребление доверием. Мошенники могут убеждать, что это «официальный» код оператора или новая услуга, используя социальную инженерию и фейковые SMS.

Как защититься от мошенничества с USSD-кодами

Хорошая новость в том, что есть несколько простых и эффективных способов обезопасить себя. Достаточно руководствоваться здравым смыслом и элементарными правилами безопасности.

  • Никогда не набирайте коды из непроверенных источников. Даже если звонящий представляется сотрудником оператора или технической поддержки, уточните назначение комбинации и проверьте её через официальный сайт или контакт-центр.
  • Используйте надёжные антивирусные приложения. Некоторые современные антивирусы и защитные программы умеют контролировать доступ к номеронабирателю и отслеживать подозрительную активность.
  • Внимательно читайте всплывающие сообщения. При вводе некоторых USSD-кодов могут появляться диалоговые окна с информацией. Не нажимайте «ОК» автоматически, убедитесь, что понимаете суть сообщения.
  • Ограничивайте доступ приложениям. Если ваша операционная система позволяет, контролируйте, какие приложения могут инициировать вызовы USSD. Отключайте эту функцию для ПО, которому не доверяете.
  • Будьте аккуратны с получением ссылок. Если в SMS или в мессенджере вам пришла ссылка, ведущая якобы на страницу оператора, лучше вручную набрать адрес сайта в браузере или воспользоваться официальным приложением.
  • Проверяйте счета и подписки. Регулярно смотрите детализацию расходов на связь. Если заметили неизвестные списания, сразу свяжитесь с оператором.

Предупреждение от официальных лиц

Заместитель министра цифрового развития Вологодской области Ахметжан Махмутов обращает внимание  на ещё один распространённый метод обмана: злоумышленники, выдавая себя за сотрудников оператора или представителей технической службы, просят абонентов набрать USSD-коды под видом «проверки связи». На практике это могут быть команды *21*номер# (переадресация звонков или SMS) или *43# (перехват вызовов). Если человек вводит такие комбинации, мошенники могут получить доступ к конфиденциальным данным и даже перехватывать банковские коды подтверждения, чтобы украсть деньги.

Махмутов подчёркивает, что операторы никогда не требуют вводить подобные USSD-коды для тестирования или проверки связи. Если вам поступил такой запрос, с высокой вероятностью это мошенники. В подобных случаях необходимо немедленно прекратить разговор и связаться с реальной службой поддержки оператора, чтобы сообщить о попытке обмана.

Дополнительные меры безопасности, рекомендованные специалистами:

  • Проверять назначение USSD-кодов через официальный сайт оператора или службу поддержки.
  • Отключать переадресацию в настройках телефона, если вы ей не пользуетесь постоянно.
  • Устанавливать PIN-код на SIM-карту – это усложнит задачу мошенникам, если они завладеют вашим устройством или SIM.
  • Использовать «Второй номер» для получения банковских SMS, чтобы коды подтверждения оставались изолированными от основного номера.
  • Устанавливать антиспам-приложения (хотя стоит помнить, что мошенники часто меняют номера, поэтому полагаться только на такие программы нельзя).
  • Применять критическое мышление: не бойтесь задавать вопросы, уточнять у оператора и перепроверять любую сомнительную информацию.

Роль операторов в предотвращении мошенничества

Сами операторы связи также заинтересованы в сохранении доверия клиентов и борьбе с мошенничеством. Они внедряют различные защитные механизмы: например, требуют подтверждения некоторых действий через SMS-код, ограничивают доступ приложениям к USSD-запросам высокого риска, блокируют очевидно вредоносные комбинации. Однако эффективность таких мер зависит ещё и от технических возможностей, а также от уровня «продвинутости» атаки.

В некоторых странах мобильные операторы совместно с финансовыми учреждениями запустили системы оповещений в режиме реального времени: если зафиксирован подозрительный перевод денег при помощи USSD, оператор может остановить транзакцию и запросить дополнительное подтверждение. Но пока что такие меры применяются далеко не везде, и злоумышленники продолжают искать лазейки.

Советы для тех, кто уже столкнулся с мошенничеством

Если вы обнаружили, что с вашего счёта были списаны средства после ввода непонятного кода или установки подозрительного приложения, постарайтесь действовать быстро:

  • Свяжитесь с оператором связи. Объясните ситуацию и попросите заблокировать все платные подписки или переводы, которые не подтверждались лично вами.
  • Смените пароли. Если у вас есть личный кабинет на сайте оператора, сразу измените пароль, чтобы исключить несанкционированный доступ.
  • Проверьте устройство на вирусы. Установите или обновите антивирус , чтобы выявить и удалить вредоносные программы, которые могут автоматически отправлять USSD-запросы.
  • Отключите все переадресации. Зайдите в настройки телефона или воспользуйтесь операторскими командами для отмены переадресации, если она была непреднамеренно установлена.
  • Обратитесь в правоохранительные органы. В случае значительных финансовых потерь стоит подать заявление, чтобы увеличить шансы найти виновных и вернуть деньги. Нередко операторы предоставляют детализацию вызовов и SMS в качестве доказательной базы.

Заключение

Мошенничество с USSD-кодами – не просто редкая «страшилка», а реальная угроза , которая может коснуться каждого владельца мобильного телефона. Несмотря на кажущуюся безопасность этих коротких команд, они позволяют выполнять широкий спектр действий на стороне оператора: от смены настроек SIM-карты до перевода денежных средств. Злоумышленники используют доверие и неосведомлённость пользователей, размещают фальшивые коды в социальных сетях, рассылают обманные сообщения и пытаются всячески вынудить абонента набрать ту или иную комбинацию.

Чтобы уберечь себя от потерь, не поддавайтесь на уловки – всегда перепроверяйте информацию и помните, что оператор обычно не рассылает «секретные коды» через сомнительные каналы. Если у вас появились сомнения, лучше уточнить в службе поддержки, чем рисковать своими финансами или безопасностью данных. При должном внимании и соблюдении простых правил безопасного использования мобильной связи, вы сможете избежать большинства неприятностей, связанных с USSD-мошенничеством.

USSD мошенничество смартфон сервисные коды обман
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга


Дэни Хайперосов

Блог об OSINT, электронике и различных хакерских инструментах