Журналист на пенсии разбирает старые ноутбуки и находит кое-что интересное⁠ (5 фото)

или как в 2016 году клонировали SIM-карты промышленными методами, пока все обсуждали фишинговые письма

Я на пенсии уже три года. Из них два с половиной убил на то, чтобы разобрать гараж, починить смеситель и наконец дочитать Пелевина. В прошлом месяце добрался до стопки старых ноутбуков - тех самых, которые «выбросить жалко, а включать незачем».

Один не включился вообще. Второй завёлся с третьей попытки, показал рабочий стол XP и тут же умер. Третий - неожиданно - загрузился нормально. Windows 7, пыль в вентиляторе, Skype 7.x, который давно не существует, и папка «Рабочее» на рабочем столе с файлами датированными 2016 годом.

Я работал на городском ТВ. Потом в паре онлайн-изданий. Делал городские репортажи - ЖКХ, дороги, заводы, иногда что-то поинтереснее. В 2016-м один знакомый - назову его Режиссёр, он снимал для нас сюжеты - скинул мне материал. Сказал: «анонимом опубликуешь? только меня не сдавай». Я тогда не опубликовал. Тема была сложная, доказательной базы мало, редакция не взяла.

Теперь доказательная база никому особо не нужна. Срок давности вышел. А материал - вот он, в папке «Рабочее».

Читаю и понимаю: это был репортаж, который я зря не написал.

Небольшая оговорка перед началом. Я журналист, а не технарь. В телекоме и информационной безопасности разбираюсь примерно на уровне «читал статьи». Поэтому при подготовке этого текста пользовался ИИ - скармливал ему переписки и скриншоты, просил объяснить что происходит, проверял термины, уточнял механику. Технические куски в этой статье - результат этой работы. Если где-то ошибся в деталях - поправьте в комментариях, буду только рад.

Что нашлось в папке

Несколько текстовых файлов. Экспорт переписки из Skype - судя по формату, кто-то сделал это вручную, копированием. И несколько скриншотов. На скриншотах - окна какой-то внутренней программы. Таблицы. Строки данных.

Я тогда не очень понял, что именно на них. Теперь понимаю - после того как скормил всё это ИИ и получил обстоятельное объяснение.

На скриншотах - внутренняя биллинговая система крупного казахстанского оператора связи. Система называется USI. В каждом окне - три строки:

• IMSI - уникальный идентификатор SIM-карты в сети оператора
• Ki - 128-битный криптографический ключ аутентификации
• SER_NB - серийный номер физической карты

Статус карт: «Активен». Тарифный план: корпоративный. Зона: Ас0**** и А*****ая область.

Скриншоты сделаны прямо с экрана монитора. Видно отражение в стекле. Камера - судя по качеству - телефон с матрицей 1.3 мегапикселя. Но цифры читаются.

Это не утечка из базы данных. Кто-то сидел на рабочем месте, открывал карточку за карточкой и фотографировал экран на телефон. Чтобы не оставить следов в логах системы.

Транснациональная история

Первое, что бросается в глаза - она не локальная.

Данные похищались в Казахстане. Инсайдеры работали внутри казахстанских операторов связи - Kcell и Алтел. Фотографировали экраны рабочих компьютеров и пересылали снимки.

Исполнители - судя по всему - находились в России.

Между ними: мессенджер, зашифрованные каналы и несколько часовых поясов. Никакого физического контакта. Никакой единой юрисдикции. Именно это делало схему практически неуязвимой: казахстанские правоохранители видели только инсайдера, российские - только технарей, а связь между ними существовала только в виде переписки, которую никто в тот момент не читал.

Кроме меня - но я тогда не написал.

Что такое IMSI и Ki и почему это важно

Технический блок - можно пропустить, если доверяете выводам.

Каждая SIM-карта - это по сути маленький компьютер с двумя секретами. Первый - IMSI, это как номер паспорта: по нему сеть вас находит. Второй - Ki, криптографический ключ: он доказывает сети, что карта настоящая. Ki никогда не передаётся по эфиру - хранится на карте и в базе оператора, и только они двое знают, что он совпадает.

Если у вас есть оба - IMSI и Ki - вы можете изготовить физическую копию SIM-карты. Берёте чистую заготовку («болванку» с мультисим-прошивкой), через программатор - программы типа Woron_Scan или Phoenix - прописываете туда оба значения. Всё. С точки зрения сети оператора, эта болванка и есть настоящая карта.

Для обычного человека это означает «бесплатно звонить». Но в данном случае речь шла не об этом.

Корпоративные счета и «спящие» деньги

Целевые карты в этой истории - не симки физических лиц. Корпоративные номера, привязанные к счетам с крупными остатками. Компании держат там деньги для оплаты связи, мобильных платежей сотрудников, иногда просто как оборотный резерв.

На корпоративных тарифах по умолчанию отключено всё, что позволяет тратить деньги:

• роуминг - выключен
• платные сервисы - выключены

Клонированная карта сама по себе бесполезна. Нужно было ещё включить роуминг и платные услуги.

И вот тут начинается то, что называют социальной инженерией.

Социальная инженерия: старейшее оружие

Через чат техподдержки или по телефону пишет «сотрудник компании». Говорит, что в командировке. Документов нет, подтвердить стандартным способом не может. Зато знает все данные номера. Оператор проверяет: данные совпадают, локация правдоподобная. Никто не смотрит, что час назад этот номер был за четыре тысячи километров.

Роуминг включён.

Дальше - особенность GSM-сетей, которая существует с 1990-х. В сети действует принцип: кто последним зарегистрировался - тот и хозяин. Клонированная карта регистрируется в роуминге в другой сети. Оригинал продолжает работать дома. Сети несинхронны. Оба телефона некоторое время работают одновременно.

В этом окне восстанавливается доступ к личному кабинету оператора - через стандартный SMS-recovery. Включаются платные услуги. Деньги выводятся.

А теперь про масштаб - вот где всё становится интересным

В переписке, которую я нашёл, человек - назову его Техник - описывает не разовую операцию. Он описывает производственный процесс.

Вот что было в его инфраструктуре:

• 20-30 голосовых GSM-модемов. Каждый обслуживает до 10 SIM-карт через мультисим. Итого одновременно в работе до 300 карт.
• Автоматизация на Perl и Python, всё крутится на FreeBSD. К 2016-му инструментарий активно обновлялся - судя по отдельным упоминаниям в переписке.
• Отдельная веб-панель для «социальных инженеров» - операторов, которые пишут в поддержку. Свой интерфейс, свои задачи, свой чат.
• Старший смены - человек, который проверяет логи перед запуском вывода.

Процесс выглядел так:

1. Инсайдер у оператора в Казахстане фотографирует экран с IMSI и Ki
2. Данные передаются в Россию, заливаются на болванки
3. Карты ставятся в модемную ферму
4. Оператор панели выбирает карту - нажимает кнопку
5. Социальный инженер получает задачу - пишет в поддержку казахстанского оператора
6. Роуминг включён
7. Старший смены проверяет логи
8. Запускается вывод

Роуминг включали массово, но размазывали по времени - никто из социальных инженеров не работал с одним оператором чаще раза в три недели. Чтобы не создавать паттерн.

Когда пул карт готов - весь отдел одновременно восстанавливает кабинеты и подтверждает операции. Час, максимум два - деньги списаны. К моменту, когда оператор начинает что-то подозревать, операция уже закончена.

Финансовый отдел

Для тех, кто следит за деньгами, а не за технологиями.

Деньги уходили на WebMoney-кошельки - WMZ и WMR. Дальше через обменники (Roboxchange, 1000bucks) прогонялись по цепочке: WM - Qiwi - Яндекс.Деньги.

Потом подключались «инкассаторы».

Средства выводились на карты дропов - людей, которые продали паспортные данные за 500-1000 тенге. Студенты, случайные люди. Через месяц следствие приходило к ним. А они говорили, что делали карту «для знакомого» и уже не помнят для кого.

Дроповод - человек, поставляющий такие карты - формально никак не связан с основной цепочкой. Просто поставщик услуги.

Карты после снятия денег уничтожались.

Вся цепочка - от снимка экрана в Казахстане до наличных в кармане - занимала несколько дней. Следственные действия по каждому звену требовали запросов в разные юрисдикции, к разным провайдерам, с разными сроками ответа. К тому моменту, когда запросы возвращались, цепочки уже не существовало.

Важная оговорка: симки - это только одна из схем

В той же переписке всплывают совершенно другие темы - и вот тут я поймал себя на том, что читаю уже не как журналист, а как человек, которому слегка не по себе.

Несанкционированный доступ к банковским системам. Межбанковские переводы. Суммы с очень внушительным количеством нулей. Счета в европейских банках. И - отдельной строкой, со скриншотами, которые я пока не готов показывать - что-то очень похожее на следы работы внутри процессинговой системы одного из банков. Не снаружи. Изнутри.

Это другие истории с другой механикой. Часть из них выглядит как реальные операции. Часть - как торговля воздухом, которой в этой среде тоже хватало. Разобраться, где что - отдельная работа.

Симки на этом фоне выглядят почти элегантно: технически чистая схема, чёткая логистика, работала как бизнес. Остальное - сложнее, темнее и, честно говоря, страшнее.

Про остальное - в следующих частях.

Кто это делал

Сразу скажу: я не знаю, кто это конкретно. У меня есть переписка, скриншоты и косвенные признаки. Этого достаточно для портрета, но не для имени.

Человек, которого я вижу как технический центр этой истории, - не случайный персонаж. В 2016 году ему было около тридцати с небольшим. За плечами - технический стек и бэкграунд такого масштаба, что у любого профессионала в этой области поднялась бы бровь. Годами наработанная экспертиза в реальных промышленных системах, причём на разных уровнях - от железа до прикладного. Но что меня удивило больше - он явно умел организовывать людей. Выстроить процесс с разделением ролей, сменами, логами и отдельными каналами коммуникации может не каждый технарь. Это уже управленческий опыт. Плюс там же прослеживается понимание того, как работают люди внутри систем и где у них слабые места - то, что называют социальной инженерией в широком смысле.

Что-то в переписке намекает на то, что 2016 год был для него далеко не первым опытом подобного рода. Есть ощущение - и ИИ, которому я скармливал материалы, это подтвердил в своём анализе - что к этому времени у человека уже была история. Возможно, связанная с платёжными системами ещё в 2008-2009 годах, когда такие вещи вообще никто не отслеживал всерьёз. Возможно, не только финансовая.

Один фрагмент переписки запомнился. Техник объясняет партнёру, почему «новый протокол не ломается» и предполагает, что оператор «может ещё на v1 сидит». Это не гугл. Это человек, который понимает эволюцию стандартов GSM-аутентификации - и делает практические выводы о том, какая версия протокола развёрнута у конкретного оператора в Казахстане прямо сейчас.

Пока эта переписка шла, он, судя по всему, параллельно занимался совершенно легальными вещами. Двойная жизнь - не метафора. Просто факт.

Почему это важно сейчас

Сегодня в новостях регулярно появляются истории про мошенников, которые звонят с подменных номеров. Государство блокирует Telegram, вводит идентификацию в мессенджерах, запускает горячие линии и отчитывается о задержанных «колл-центрах». Это подаётся как борьба с современной угрозой.

Но схема с клонированием SIM работала за десять лет до этих новостей. Была организована как производство. Пересекала границы. И была на несколько порядков сложнее технически, чем всё, про что пишут сейчас.

Пока общество обсуждало «нигерийские письма» и фишинговые рассылки, кто-то уже строил нелегальный IT-бизнес с воркфлоу, KPI, старшим смены и транснациональной цепочкой поставок.

И вот что меня беспокоит по-настоящему - не как журналиста, а просто как человека, который прочитал эти переписки. Всё, о чём я написал выше - это 2016 год. Восемь лет назад. Это то, что уже случилось, задокументировано и лежит у меня в папке «Рабочее».

Вопрос не в том, работала ли тогда такая схема. Работала.

Вопрос в том: а что работает сейчас? Пока Роскомнадзор воюет с мессенджерами, пока депутаты обсуждают блокировки, пока силовые структуры рапортуют о раскрытых колл-центрах - люди с таким бэкграундом не стоят на месте. Они не пользуются теми инструментами, которые блокируют. Они уже на другом уровне. На каком именно - я не знаю. Но судя по тому, какой разрыв был между реальностью 2016 года и тем, что тогда обсуждалось публично, - разрыв сегодня не меньше.

Блокировка мессенджера не останавливает человека, который в 2016-м гонял деньги через WebMoney - Qiwi - дропы быстрее, чем следствие успевало сформулировать запрос в другую юрисдикцию.

Делали это люди с образованием и навыками. Не потому что им нечего было есть. А потому что могли. И скорее всего - продолжают.

Что дальше

Следующая часть - про другой слой тех же переписок. Там про банки и про людей, которые торгуют банковскими «инструментами» - реальными и выдуманными. Про то, как отличить одно от другого и почему это не всегда очевидно даже специалистам.

И - отдельно - про скриншоты из процессинговой системы, которые я упомянул выше. Там есть на что посмотреть.

Работал в региональных изданиях с 1991 по 2021 год. На пенсии. Разбирает архивы.

Все имена изменены или опущены. Переписки датированы 2016 годом. Срок давности по соответствующим статьям истёк.

Технические куски подготовлены с помощью ИИ на основе материалов из архива. Скриншоты из оригинального архива. Личные данные, никнеймы и идентифицирующая информация замазаны.

Отдельно - для тех, кто захочет поспорить. Всё описанное выше - моя интерпретация текстовых файлов и скриншотов, найденных на старом ноутбуке. Технический анализ выполнен ИИ, который, как известно, иногда галлюцинирует. Я не криминалист, не специалист по информационной безопасности и не следователь. Вполне допускаю, что часть моих выводов ошибочна, а часть материалов может оказаться не тем, чем выглядит. Это журналистский текст на основе архивных данных, а не обвинительное заключение. Если вы узнали себя или своих знакомых - это совпадение, потому что никаких реальных имён здесь нет. Если хотите поправить по технической части - комментарии открыты, буду только рад.