Помогите советом, взломали телефон (ДиД)

написал vintage, 2023-09-07, 09:56 (443 дней назад)

Вчера вечером едва начав свой творческий ужин, на телефон посыпались СМС-ки (обычные) больше 100 шт со всякими кодами активации для подтверждения какrих-то заявок, на получение кредитов наличными, для входа в личный кабинет и пр.
Параллельно зашли в мой ватсап и разослали нескольким десяткам людей из моих контактов сообщения о просьбе перевести 28 тыс на карту некоему человеку,, поскольку моя карта дескать заблокирована, а деньги нужны срочно. Один друг даже готов был перевести деньги, но сообразил в конце. Т.е. с ним была переписка, и даже слушали его голосовые сообщения.

К телефону не привязана никакая банковская карта ,у меня их вообще нет. Телефон - c iOS. Оформлен на жену. Мой паспорт давно не действителен (не заменил вовремя). Да и копии паспорта не давал почти никогда.
Никаких левых приложений кроме Я-карт, ватсапа и телеграм не установлено.

Я сначала думал, что просто взломали ватсап, но теперь понимаю, что они регистрировались на разных сервисах ,им приходили коды по СМС (и сообщалось, что его называть никому не нужно, поскольку это мошенники) ,и получается, они видели эти коды!
Ну вот например, последняя СМС:
___________________________
По заявке 4504 одобрена сумма 39000 руб mnyx.ru/6MLalya
___________________________

Или вот, из OTKRITIE:
___________________________
Подтвердите номер телефона по заявке на кредит наличными Никому НЕ ГОВОРИТЕ код 0516, его спрашивают только МОШЕННИКИ
__________________________

Меня больше всего беспокоят кредиты. Я знаю, что лет 10 назад можно было по копии паспорта через интернет получить кредит.
Но неужели можно так просто получить даже без копии паспорта? Но возможно, она у них есть. И я знаю, что этим занимались в своё время менты через своих людей в банках.
Короче ,идти в ментовку? НО боюсь они посмеются просто...

по сходной тематике вот +

написал VL, 2023-09-07, 10:06 (443 дней назад) @ vintage

Сюжетов таких полно. А он так и не разобрался в механизме

написал Limping ⌂, 2023-09-07, 10:53 (443 дней назад) @ VL

мошенничества:
это благодаря дубликату симки сделали или просто без телефона?

я так понял, без телефона, просто левое оформление

написал VL, 2023-09-07, 11:03 (443 дней назад) @ Limping

карт нет, паспорта нет, о чём вообще можно беспокоиться ?

написал Выпить @, 2023-09-07, 10:34 (443 дней назад) @ vintage

дадже на сво не заберут, вы не существуете ...

От МТС банка приходило смс. А там по телефону просто оформить карту.

написал vintage, 2023-09-07, 10:38 (443 дней назад) @ Выпить

так СМС ВАМ приходит, только ВЫ его видите

написал Выпить @, 2023-09-07, 10:41 (443 дней назад) @ vintage

если никуда дальше не передаете то и код никто этот не узнает.
И даже если у вас там телефон взломали и куда -то коды пересылаются вредоносным ПО , с недействительным паспортом ни один банк никакой кредит не оформит

Ощущение что мой телефон просто удалённо просматривали

написал vintage, 2023-09-07, 10:45 (443 дней назад) @ Выпить

Иначе как велась переписка по ватсапу, и даже голосовые сообщения прослушивали!

в настройках вацапа посмотрите привязанные устройства.

написал Poul @, 2023-09-07, 10:55 (443 дней назад) @ vintage

скорей с какого компа писали через вацап web. ну или троян в телефоне.

троян на IOS маловероятен

написал Stas, 2023-09-07, 10:56 (443 дней назад) @ Poul

Особенно если последние обновления iOS

написал Limping ⌂, 2023-09-07, 11:12 (443 дней назад) @ Stas

И если девайс свежее iPhone 11.

Велась через привязанный компьютер, там и прослушивали

написал Limping ⌂, 2023-09-07, 11:11 (443 дней назад) @ vintage

а как удалось приязать другой комп?

написал vintage, 2023-09-07, 11:15 (443 дней назад) @ Limping

В этом году у WA меняется механизм привязки

написал Limping ⌂, 2023-09-07, 11:41 (443 дней назад) @ vintage

Раньше десктопный работал только при условии активнрго клиента на телефоне, а теперь работает независимо от телефона, он может быть хоть выключен хоть вне сети.

Не могу сходу найти свежие публикации о работе троянов. Думаю через годик прочитаем.

Всплески подделок сайтов торговых площадок наблюдаются в сезоны массового шопинга, например перед праздниками. По словам ИБ‑исследователей, ссылки на поддельные сайты чаще всего присылали пользователям в WhatsApp. Ранее компания BI.ZONE уже выявляла случаи мошенничества через этот мессенджер.
https://habr.com/ru/news/757928/

не факт

написал Газзель!!! @, 2023-09-07, 11:00 (443 дней назад) @ Выпить

Первым делом идти к оператору и менять SIM-карту

написал Limping ⌂, 2023-09-07, 10:43 (443 дней назад) @ vintage

iOS тут непричём.

Согласен, а лучше - оператора

написал vintage, 2023-09-07, 10:46 (443 дней назад) @ Limping

WA стоит где-то, кроме как на телефоне?

написал Stas, 2023-09-07, 10:51 (443 дней назад) @ vintage

в "связанных устройствах" что?

Re: WA стоит где-то, кроме как на телефоне?

написал vintage, 2023-09-07, 10:53 (443 дней назад) @ Stas

на компе, но не приложении, а через Firefox. Интернет по кабелю.

Т.е. в списке ничего нового не появилось?

написал Stas, 2023-09-07, 10:55 (443 дней назад) @ vintage

скорее всего, как-то к WA подключились. И не более того.
А в сервисы тыкаются в надежде, что где-то уведомление в WA придёт

Да через комп и подключились

написал Limping ⌂, 2023-09-07, 10:58 (443 дней назад) @ Stas

wa из всех мессенджеров самый кривой и дырявый

написал Stas, 2023-09-07, 11:08 (443 дней назад) @ Limping

Самый популярный, с привязкой банковских сервисов

написал Limping ⌂, 2023-09-07, 11:10 (443 дней назад) @ Stas

Завести переписку в Jami - и никто ничего там ломать не будет, просто в силу эффекта неуловимого Джо :-D

да, побочный эффект "удобства"

написал Stas, 2023-09-07, 11:13 (443 дней назад) @ Limping

Так а в списке сессий что?

написал Limping ⌂, 2023-09-07, 10:57 (443 дней назад) @ vintage

>Параллельно зашли в мой ватсап и разослали нескольким десяткам людей из моих контактов сообщения о просьбе перевести 28 тыс на карту некоему человеку

Явно же это сделали из левой сессии.

> на компе, но не приложении, а через Firefox. Интернет по кабелю.

Если других сессий нет - то возможно, проблема только в шпионском софте на этом компе.

--
"Главный победитель в этом ситуации — Трамп." (c)

не знаю, удалил WA уже

написал vintage, 2023-09-07, 11:02 (443 дней назад) @ Limping

Удалили просто приложение с телефона, или всю учётную запись WA?

написал Limping ⌂, 2023-09-07, 11:06 (443 дней назад) @ vintage

Проверяйте ПК каким-то приличным антивирусом.
Но если своими руками там ставили левый софт, то антивирус может и не найти.

только приложение. К компу доступа никто не имел.

написал vintage, 2023-09-07, 11:10 (443 дней назад) @ Limping

То-есть ваша учётная запись WA пока работает?!

написал Limping ⌂, 2023-09-07, 11:12 (443 дней назад) @ vintage

Можете с другого телефона проверить: на ваш номер до сих пор отправляются сообщения?

выходит что да

написал vintage, 2023-09-07, 11:14 (443 дней назад) @ Limping

а на компе, в браузере, как давно WA запущен?

написал Stas, 2023-09-07, 11:09 (443 дней назад) @ vintage

А с какого сайта?

ну день-два, не помню

написал vintage, 2023-09-07, 11:13 (443 дней назад) @ Stas

М-да, вот всё и выяснилось.

написал Limping ⌂, 2023-09-07, 11:14 (443 дней назад) @ vintage

можно подробнее?

написал vintage, 2023-09-07, 11:15 (443 дней назад) @ Limping

Это сообщение только что увидел

написал Limping ⌂, 2023-09-08, 07:56 (442 дней назад) @ vintage

Если на ПК эта учётка WhatsApp была прописана день-два назад, то и утечка была сразу после этого.
Надо искать трояна на этом ПК.

и, скорее всего, запущена с левого сайта

написал Stas, 2023-09-07, 11:15 (443 дней назад) @ Limping

либо id сессии как то можно подобрать

написал Stas, 2023-09-07, 11:18 (443 дней назад) @ Stas

нет, https://web.whatsapp.com/

написал vintage, 2023-09-07, 11:18 (443 дней назад) @ Stas

ping на него что выдает

написал MSX2, 2023-09-07, 11:21 (443 дней назад) @ vintage

ping web.whatsapp.com

--
☭ MSX forever

если "замок" в браузере есть, то всё ОК

написал Stas, 2023-09-07, 11:23 (443 дней назад) @ MSX2

замок есть

написал vintage, 2023-09-07, 11:26 (443 дней назад) @ Stas

вот что

написал vintage, 2023-09-07, 11:24 (443 дней назад) @ MSX2

PS C:\WINDOWS\system32> ping web.whatsapp.com

Обмен пакетами с mmx-ds.cdn.whatsapp.net [157.240.205.60] с 32 байтами данных:
Ответ от 157.240.205.60: число байт=32 время=66мс TTL=47
Ответ от 157.240.205.60: число байт=32 время=66мс TTL=47
Ответ от 157.240.205.60: число байт=32 время=66мс TTL=47
Ответ от 157.240.205.60: число байт=32 время=66мс TTL=47

Статистика Ping для 157.240.205.60:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 66мсек, Максимальное = 66 мсек, Среднее = 66 мсек
PS C:\WINDOWS\system32>

у меня другой адрес по пингу

написал MSX2, 2023-09-07, 11:33 (443 дней назад) @ vintage

157.240.253.60

--
☭ MSX forever

это нормально

написал Stas, 2023-09-07, 11:34 (443 дней назад) @ MSX2

да ip вроде вацаповский тоже

написал MSX2, 2023-09-07, 11:36 (443 дней назад) @ Stas

--
☭ MSX forever

DNS локально "поправили" ?

написал MSX2, 2023-09-07, 11:18 (443 дней назад) @ Stas

--
☭ MSX forever

не. https же

написал Stas, 2023-09-07, 11:20 (443 дней назад) @ MSX2

либо где-то пришла ссылка о привязке WA и в неё ткнули случайно

написал Stas, 2023-09-07, 11:22 (443 дней назад) @ Stas

Ну и версия трояна на ПК тоже имеет право на жизнь

написал Limping ⌂, 2023-09-07, 11:28 (443 дней назад) @ Stas

https://uip.me/2015/03/polzovatelej-whatsapp-atakuet-opasnyj-troyan/

...ведет на сторонний ресурс, откуда на компьютер загружается файл WhatsAppInstall.exe. Файл — не что иное, как троян Win32/TrojanDownloader.VB.QRM. Зловредное ПО автоматом загружает на компьютер другую программу Win32/Spy.Banker.ABOD. Вот тут и кроется самое неприятное — она способна брать информацию интернет-банкинга пользователя.

думаю, какой-то более простой способ

написал Stas, 2023-09-07, 11:32 (443 дней назад) @ Limping

А комп под масдайкой?

написал MSX2, 2023-09-07, 11:27 (443 дней назад) @ vintage

--
☭ MSX forever

ну конечно

написал vintage, 2023-09-07, 11:47 (443 дней назад) @ MSX2

Весьма неочевидно. Но это уже не важно похоже.

написал MSX2, 2023-09-07, 15:36 (443 дней назад) @ vintage

--
☭ MSX forever

Тройан в масдайке. Телефон не причем. Телефон засвечен с масдайки.

написал zerocoolka ⌂, 2023-09-08, 00:46 (442 дней назад) @ MSX2

Не используйте винды.

--
Морская свинка на выпасе

Да, я тоже так думаю. Нашёлся троян HOSTS:suspitios.url

написал vintage, 2023-09-08, 18:10 (442 дней назад) @ zerocoolka

У сотового оператора старый паспорт действителен !!!

написал Эльбrus @, 2023-09-07, 10:52 (443 дней назад) @ vintage
исправил Эльбrus, в 2023-09-07, 10:56

Исходите из этого факта. Целее будете. Кредит тот же ВТБ даёт без обзвона и проверки телефонного номера. Тоже факт. Сам занимался таким делом у родственника. Ну а взломали... Судьба. И уточнение. Это не прослушка, а анализ сохранённых файлов на чужих ресурсах. Другая терминология. Прослушка в реальном времени и с помощью СВОЕГО оборудования.

По полиции. Не посмеются.

телефон на жену оформлен

написал vintage, 2023-09-07, 10:53 (443 дней назад) @ Эльбrus

Оставьте заявление в полиции. Они и скажут, что дальше.

написал Эльбrus @, 2023-09-07, 11:03 (443 дней назад) @ vintage

Это динамичный рынок и у них есть актуальная информация. Как минимум, будет дата вашего обращения как добросовестного пользователя.

для проверки нужно было попробовать

написал Газзель!!! @, 2023-09-07, 10:55 (443 дней назад) @ vintage

позвонить самому себе. смс привязаны к телефону, а Г4 независим

Любопытно, и если просто "занято" то всё Ок

написал Limping ⌂, 2023-09-07, 10:58 (443 дней назад) @ Газзель!!!

а если гудки?...

любой вариант толичного от нормального

написал Газзель!!! @, 2023-09-07, 11:03 (443 дней назад) @ Limping

нужно вык вкл телефон, или самолетик перещелкнуть разок

Ничего не понял. Если идут гудки,

написал Limping ⌂, 2023-09-07, 11:07 (443 дней назад) @ Газзель!!!

трубку не берут - то что делать?

если в этих условиях тел нормально не

написал Газзель!!! @, 2023-09-07, 11:12 (443 дней назад) @ Limping

работает, то попробоваить вкл выкл. чтоб перегится в сети.

Нормально - это обычные гудки или "занято"?

написал Limping ⌂, 2023-09-07, 11:13 (443 дней назад) @ Газзель!!!

нормально это если телефон выполняет свою

написал Газзель!!! @, 2023-09-07, 11:20 (443 дней назад) @ Limping

фунцию, соответсвующую понятию телефона. тоесть если на него набирать, то он должен на это среагировать, загудеть, среагировать на поднятие трубки и установить связь. любое отличие значить ненормальность

"позвонить самому себе" - вы имеете в виду позвонить с другой трубки?

написал Limping ⌂, 2023-09-07, 11:25 (443 дней назад) @ Газзель!!!

сесна

написал Газзель!!! @, 2023-09-07, 11:30 (443 дней назад) @ Limping

нет, был не прав, тк смс не приходили бы

написал Газзель!!! @, 2023-09-07, 12:00 (443 дней назад) @ Газзель!!!

это не взломали телефон, это атака бота

написал Яблокитай, 2023-09-07, 11:31 (443 дней назад) @ vintage

думайте, кому насолили,
кто-то использовал бота в телеге или в ином месте,
который называется bomb.

и через него сломали watsup.
замена сим не поможет, остается надеяться, что это разовая акция,
потому-как это дело денег стоит.

Блин, век живи - век учись

написал Limping ⌂, 2023-09-07, 11:43 (443 дней назад) @ Яблокитай

И не знал, что такое уже продают
https://tgfaq.ru/sms-bomberov-v-telegrame.html

и как же можно взломать WA, если Bomb - это просто рассылка смс?

написал vintage, 2023-09-07, 11:54 (443 дней назад) @ Яблокитай

Вы не поняли. "Он и есть вирус". Весь телефон вам не принадлежит.

написал Эльбrus @, 2023-09-07, 12:05 (443 дней назад) @ vintage

Искать РЕАЛЬНЫЙ путь, каким вас лично взломали, бессмысленно. 1. Не найдёте. 2. "Жопа-то улетела"...

"через него взломали" - а как?

написал Stas, 2023-09-07, 11:55 (443 дней назад) @ Яблокитай

винтаж сам прошёл по ссылке подтверждения для веб-клиента WA?

я не совсем дурак, чтобы ссылки из смс открывать

написал vintage, 2023-09-07, 11:57 (443 дней назад) @ Stas

Угу. Я про то, что сама "СМС-рассылка" ничего не даст. Скорее всего, как-то

написал Stas, 2023-09-07, 12:13 (443 дней назад) @ vintage

перехватили/подключились к сессии WA на компе.

точнее, в браузере

написал Stas, 2023-09-07, 12:14 (443 дней назад) @ Stas

это какой то высший пилотаж... ;-)

написал B u g s i k __ SVR, 2023-09-07, 13:15 (443 дней назад) @ Stas

или проёб авторов WA, про который пока не известно

написал Stas, 2023-09-07, 14:26 (443 дней назад) @ B u g s i k __ SVR

Я так, теоретизирую. Вариантов не так много

Я думаю, желание было не отомстить, а украсть деньги

написал vintage, 2023-09-07, 12:20 (443 дней назад) @ Яблокитай

в свое время

написал MSX2, 2023-09-07, 13:07 (443 дней назад) @ vintage

был у меня печальны опыт с огрызком и VK. Ну это было недолго т.к. с огрызком я подружиться не смог. Но с тех пор мой номер забанен на VK похоже навсегда и к огрызкам современным я навсегда потерял интерес.

--
☭ MSX forever

Так что в итоге? Ложный шухер или реальные кредиты и т.п.?

написал Edward, 2023-09-07, 22:22 (442 дней назад) @ vintage

Проверил комп на вирус

написал vintage, 2023-09-08, 18:04 (442 дней назад) @ Edward

Касперский ничего не нашёл, поэтому пошёл.... А вот DrWeb нашёл HOSTS:suspitios.url И это не реклама! Просто докладываю, как было.
Как я понимаю, идёт подмена серверов на уровне ДНС. Т.е человек заходит на google.ru, и в адресной строке видит этот же адрес. А на самом деле, он на другом сайте. Ну дальше я запустил процедуру лечения, кот. прошла успешно

Согласен с товаришем выше, что бомбили смс-ками с целью отвлечения внимания, чтоб не заметил, как в вотсапе шло общение
У жены знакомая работает в МТС. Та рассказала, что у самого вице-президента МТС случилось точь в точь такое, и у многих других. Так что будьте бдительны.

Бомбили возможно, чтобы не увидели рассылку в wa от своего имени.

написал aos, 2023-09-07, 23:08 (442 дней назад) @ vintage

Из приведенных выше СМС совсем не очевидно, что их кто-то видит. Обычные запросы. Так что версия про клон сим не так очевидна.
И я так понял, что телегу не взломали же? Стоит в ней посмотреть список сессий. Был бы клон симки, то и телегу бы хакнули наверняка.

Спасибо, согласен с Вами

написал vintage, 2023-09-08, 17:57 (442 дней назад) @ aos