Технологии мобильной связи открывают перед пользователями массу удобных возможностей, однако вместе с тем создают и новые риски. Одной из потенциально опасных зон является использование USSD-кодов, которые обычно начинаются со звёздочки (*) и заканчиваются решёткой (#). Многие люди без опасений набирают подобные комбинации, не задумываясь о возможных последствиях. В этой статье мы разберём, что такое USSD-коды, какие существуют реальные примеры мошенничества в этой сфере и почему так важно соблюдать осторожность при их использовании.
Для большинства владельцев мобильных телефонов USSD-коды ассоциируются лишь с проверкой баланса или подключением услуг оператора. Однако уже не первый год злоумышленники активно используют USSD для осуществления разных схем мошенничества. Задача данной статьи – показать, насколько уязвимой может быть эта технология, а также дать ряд рекомендаций, которые помогут обезопасить себя и своих близких от обмана.
Что такое USSD
USSD (Unstructured Supplementary Service Data) – это протокол, используемый в сетях GSM. Он даёт возможность мобильным устройствам взаимодействовать с сервером оператора в режиме реального времени путём обмена краткими сообщениями. Типичные примеры применения USSD – запросы баланса (*100#), активация или деактивация тарифных опций, перевод денег с лицевого счёта и многое другое.
Когда пользователь набирает определённую USSD-команду, телефон отправляет запрос оператору, а в ответ получает сообщение с нужными данными. Процесс происходит мгновенно, а результат выводится прямо на экран. Это быстро и, на первый взгляд, безопасно. Однако у каждого механизма есть свои уязвимости. Если злоумышленник найдёт способ перехватить запрос или заставить пользователя ввести «вредоносную» комбинацию, это может привести к финансовым или репутационным потерям.
Реальные примеры мошенничества
Несмотря на относительно низкую осведомлённость о подобных схемах среди широкой аудитории, случаев атак и обмана с применением USSD-кодов достаточно много. Рассмотрим несколько примеров, которые подтверждают, что опасность вовсе не теоретическая.
1. Автоматический вызов кода для сброса телефона (Android-уязвимoсть 2012 года)
В 2012 году была обнаружена серьёзная уязвимость в некоторых моделях смартфонов Samsung на базе Android. Через специально сформированную ссылку в браузере злоумышленник мог активировать USSD-код *2767*3855#, который полностью сбрасывал телефон до заводских настроек, а в определённых вариантах даже удалял все пользовательские данные. Достаточно было, чтобы владелец смартфона просто перешёл по вредоносной ссылке. В ряде случаев код срабатывал моментально, без дополнительных подтверждений со стороны пользователя. Этот пример наглядно показывает, что USSD-коды могут использоваться не только для финансовых махинаций, но и для причинения прямого ущерба владельцу устройства.
2. Фишинговые сообщения и кража средств
Одно из распространённых направлений мошенничества – отправка фишинговых SMS или сообщений в мессенджерах, где пользователя просят набрать некий «специальный» USSD-код. Мошенники могут убеждать, что эта команда активирует «скидку», «проверку SIM-карты» или «новый тариф со сверхвыгодными условиями». На самом деле, комбинация может списывать средства со счёта абонента или переводить их на номер злоумышленника.
К примеру, зарегистрированы случаи, когда люди получали SMS с текстом вроде: «Для активации бесплатного пакета интернета наберите *123*XXX#». На самом деле, под комбинацией XXX может скрываться номер, куда будет перечислена определённая сумма. Человек, введя USSD-код, думает, что получит «подарок», а по факту теряет деньги.
3. Подмена кода в «советах» на форумах и в соцсетях
Иногда атакующие пользуются доверчивостью пользователей, размещая на форумах и в социальных сетях «лайфхаки» и «секретные коды». Люди, увидев такой совет, пробуют ввести код в надежде на какие-то уникальные возможности, например «увеличить скорость интернета», «получить бесплатные минуты» или «обойти ограничение тарифа». На деле это могут быть USSD-запросы, позволяющие злоумышленнику получить доступ к вашему счёту или настройкам SIM-карты.
Так, на некоторых ресурсах встречались публикации с «горячими советами», вроде: «Наберите *123*номер_телефона#, и получите бонус» (без уточнения деталей). Если вы введёте этот код, можете случайно согласиться на перевод средств со своего баланса. При этом оператор получит команду с вашего телефона и честно выполнит её, ведь визуально всё выглядит как легитимный запрос от владельца номера.
4. Автоматические подписки и платные услуги
В некоторых схемах злоумышленники используют скрытые USSD-запросы для подключения платных подписок или услуг на ваш номер без вашего явного согласия. Это может произойти через вредоносные приложения, которые получают доступ к номеронабирателю и автоматически отправляют нужные коды. Пользователь по итогу обнаруживает у себя на счёте регулярные списания за «подписку», о которой ничего не знает.
Подобные случаи зафиксированы в различных странах, где операторы позволяют активировать развлекательные сервисы (музыку, игры, подписки на контент) через короткие USSD-команды. Мошенник распространяет фальшивое приложение, внутри которого скрыт функционал отправки команды на подключение этой услуги. Итог – пользователь, не зная об этом, начинает платить за ненужный ему сервис.
Почему возникают такие уязвимости
Казалось бы, операторы связи и производители телефонов должны тщательно защищать инфраструктуру USSD. Отчасти так и происходит: большинство простых операционных систем и операторских серверов имеют базовую защиту от неправильных комбинаций. Однако есть ряд причин, по которым мошенникам всё же удаётся эксплуатировать уязвимости:
- Широкая функциональность USSD. Протокол изначально задумывался как универсальный инструмент для взаимодействия с оператором, поэтому он обладает довольно обширными возможностями, среди которых есть и опасные комбинации.
- Недостаток информированности пользователей. Мало кто задумывается, что такая «команда» может повлечь за собой потерю денег или утечку данных.
- Простота механизма. Для запуска команды достаточно набрать несколько символов и нажать вызов. Ни паролей, ни специальных подтверждений оператор часто не требует.
- Злоупотребление доверием. Мошенники могут убеждать, что это «официальный» код оператора или новая услуга, используя социальную инженерию и фейковые SMS.
Как защититься от мошенничества с USSD-кодами
Хорошая новость в том, что есть несколько простых и эффективных способов обезопасить себя. Достаточно руководствоваться здравым смыслом и элементарными правилами безопасности.
- Никогда не набирайте коды из непроверенных источников. Даже если звонящий представляется сотрудником оператора или технической поддержки, уточните назначение комбинации и проверьте её через официальный сайт или контакт-центр.
- Используйте надёжные антивирусные приложения. Некоторые современные антивирусы и защитные программы умеют контролировать доступ к номеронабирателю и отслеживать подозрительную активность.
- Внимательно читайте всплывающие сообщения. При вводе некоторых USSD-кодов могут появляться диалоговые окна с информацией. Не нажимайте «ОК» автоматически, убедитесь, что понимаете суть сообщения.
- Ограничивайте доступ приложениям. Если ваша операционная система позволяет, контролируйте, какие приложения могут инициировать вызовы USSD. Отключайте эту функцию для ПО, которому не доверяете.
- Будьте аккуратны с получением ссылок. Если в SMS или в мессенджере вам пришла ссылка, ведущая якобы на страницу оператора, лучше вручную набрать адрес сайта в браузере или воспользоваться официальным приложением.
- Проверяйте счета и подписки. Регулярно смотрите детализацию расходов на связь. Если заметили неизвестные списания, сразу свяжитесь с оператором.
Предупреждение от официальных лиц
Заместитель министра цифрового развития Вологодской области Ахметжан Махмутов обращает внимание на ещё один распространённый метод обмана: злоумышленники, выдавая себя за сотрудников оператора или представителей технической службы, просят абонентов набрать USSD-коды под видом «проверки связи». На практике это могут быть команды *21*номер# (переадресация звонков или SMS) или *43# (перехват вызовов). Если человек вводит такие комбинации, мошенники могут получить доступ к конфиденциальным данным и даже перехватывать банковские коды подтверждения, чтобы украсть деньги.
Махмутов подчёркивает, что операторы никогда не требуют вводить подобные USSD-коды для тестирования или проверки связи. Если вам поступил такой запрос, с высокой вероятностью это мошенники. В подобных случаях необходимо немедленно прекратить разговор и связаться с реальной службой поддержки оператора, чтобы сообщить о попытке обмана.
Дополнительные меры безопасности, рекомендованные специалистами:
- Проверять назначение USSD-кодов через официальный сайт оператора или службу поддержки.
- Отключать переадресацию в настройках телефона, если вы ей не пользуетесь постоянно.
- Устанавливать PIN-код на SIM-карту – это усложнит задачу мошенникам, если они завладеют вашим устройством или SIM.
- Использовать «Второй номер» для получения банковских SMS, чтобы коды подтверждения оставались изолированными от основного номера.
- Устанавливать антиспам-приложения (хотя стоит помнить, что мошенники часто меняют номера, поэтому полагаться только на такие программы нельзя).
- Применять критическое мышление: не бойтесь задавать вопросы, уточнять у оператора и перепроверять любую сомнительную информацию.
Роль операторов в предотвращении мошенничества
Сами операторы связи также заинтересованы в сохранении доверия клиентов и борьбе с мошенничеством. Они внедряют различные защитные механизмы: например, требуют подтверждения некоторых действий через SMS-код, ограничивают доступ приложениям к USSD-запросам высокого риска, блокируют очевидно вредоносные комбинации. Однако эффективность таких мер зависит ещё и от технических возможностей, а также от уровня «продвинутости» атаки.
В некоторых странах мобильные операторы совместно с финансовыми учреждениями запустили системы оповещений в режиме реального времени: если зафиксирован подозрительный перевод денег при помощи USSD, оператор может остановить транзакцию и запросить дополнительное подтверждение. Но пока что такие меры применяются далеко не везде, и злоумышленники продолжают искать лазейки.
Советы для тех, кто уже столкнулся с мошенничеством
Если вы обнаружили, что с вашего счёта были списаны средства после ввода непонятного кода или установки подозрительного приложения, постарайтесь действовать быстро:
- Свяжитесь с оператором связи. Объясните ситуацию и попросите заблокировать все платные подписки или переводы, которые не подтверждались лично вами.
- Смените пароли. Если у вас есть личный кабинет на сайте оператора, сразу измените пароль, чтобы исключить несанкционированный доступ.
- Проверьте устройство на вирусы. Установите или обновите антивирус , чтобы выявить и удалить вредоносные программы, которые могут автоматически отправлять USSD-запросы.
- Отключите все переадресации. Зайдите в настройки телефона или воспользуйтесь операторскими командами для отмены переадресации, если она была непреднамеренно установлена.
- Обратитесь в правоохранительные органы. В случае значительных финансовых потерь стоит подать заявление, чтобы увеличить шансы найти виновных и вернуть деньги. Нередко операторы предоставляют детализацию вызовов и SMS в качестве доказательной базы.
Заключение
Мошенничество с USSD-кодами – не просто редкая «страшилка», а реальная угроза , которая может коснуться каждого владельца мобильного телефона. Несмотря на кажущуюся безопасность этих коротких команд, они позволяют выполнять широкий спектр действий на стороне оператора: от смены настроек SIM-карты до перевода денежных средств. Злоумышленники используют доверие и неосведомлённость пользователей, размещают фальшивые коды в социальных сетях, рассылают обманные сообщения и пытаются всячески вынудить абонента набрать ту или иную комбинацию.
Чтобы уберечь себя от потерь, не поддавайтесь на уловки – всегда перепроверяйте информацию и помните, что оператор обычно не рассылает «секретные коды» через сомнительные каналы. Если у вас появились сомнения, лучше уточнить в службе поддержки, чем рисковать своими финансами или безопасностью данных. При должном внимании и соблюдении простых правил безопасного использования мобильной связи, вы сможете избежать большинства неприятностей, связанных с USSD-мошенничеством.