Мошенников отправили в глубокий аккаунт
Деньги клиентов Avito исчезали по звонку
В сервисе Avito обнаружена новая уязвимость. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании утверждают, что уже запрашивают для идентификации клиентов дополнительные данные. Но с такой проблемой могут столкнуться и другие сервисы, которые используют для идентификации только номер телефона клиента, предупреждают эксперты, отмечая необходимость внедрения более продвинутых технологий.
Проблему в системе идентификации клиентов Avito, которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu.
В декабре 2020 года он продал на Avito товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.
По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю Avito, в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в Avito от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пользователь Pikabu.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили “Ъ” в Avito. Там заверили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.
Как именно мошенники получили номер, доподлинно неизвестно. Информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, поясняет руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова. Но, по ее словам, компания уже работает над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной».
Госпожа Коновалова признает, что доступ к данным о посылках есть и у «некоторых сотрудников Boxberry». Однако, подчеркивает топ-менеджер, они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.
Эксперты, впрочем, подчеркивают, что это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости Avito, полагает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки, уточняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, утечка могла произойти на любом этапе.
Проблема может быть и из-за дыры в системе, полагает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но корень проблемы, по его мнению, лежит в том, что Avito идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагает он.
Число мошенничеств с использованием подмены номера продолжает расти. В июне 2020 года на это, например, жаловались клиенты МТС-банка, сообщал РБК. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. И применять технологию становится все проще. Например, в мессенджере Telegram появился бот, который позволяет подменять номера исходящих вызовов и изменять голос (см. “Ъ” от 4 февраля).
Практически во всех российских сервисах номер мобильного телефона выступает основным средством идентификации пользователя, отмечает советник гендиректора Национальной инжиниринговой корпорации Игорь Бедеров.
По словам эксперта, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода.