En af brugerne "Avito" tabte 119 tusind rubler, når de solgte deres teknologi ved hjælp af Avito-leveringstjeneste. Undersøgelsen af offeret viste, at tjenesten har en kritisk sårbarhed, fordi angriberne nemt kan få adgang til enhver AVITO-konto.
I slutningen af 2020 solgte brugeren "Avito" Alex.edtt på stedet et sæt farvekorrektionspaneler til 119 tusind rubler. Køberen fandt og tilbød at udstede en aftale gennem Avito-levering, som blev gjort. Varerne blev med succes leveret til modtagerens by, han tog pakken og betalt for ordren.
Om aftenen samme dag forsøgte offeret at logge ind på Avito, men han lykkedes ikke - systemet rapporterede, at brugeren med et sådant login, telefonnummeret og e-mailen til Avito simpelthen ikke eksisterer. Sammen med en velkendt specialist i Cybersecurity Alex.Edt kontrollerede de netværkslogfiler, postlogger, IP-adresser, godkendelsestid, loginoperatører til opkald og SMS, samt meget mere, men de kunne ikke finde noget, der peger på at forsøge at hack.
Den tekniske support "Avito" gendannede adgang til kontoen kun den næste dag, og offeret så, at et helt fremmed telefonnummer var bundet til kontoen, hvilket endvidere ikke blev bekræftet.
Undersøgelsen foretaget af offeret førte til, at den kritiske sårbarhed af Avito-leveringstjenesten blev opdaget, med hvilke angriberne nemt kan få adgang til nogen konto.
Start en beskrivelse af problemet Stående med det faktum, at AVITO-tjenesten uafhængigt danner BoxBerry-fakturaen, hvilket angiver telefonnummeret på sælgeren, der er bundet til AVITO-kontoen, navnet på, hvad der er i pakken, såvel som den fulde pris. Som følge heraf modtager Boxberry-personalet på tidspunktet for pakningstidspunktet i logistikprocesserne et sæt fortrolige oplysninger, som giver dem mulighed for at indstille leveringstiden til problemet, dets værdi, telefonnummer af sælgeren:
Men der er lignende praksis i mange transportselskaber, så det kan betragtes som normalt, men ikke i tilfælde af Avito. Problemet er, at Avito har en stemme teknisk support service (nummer 8-800- osv.), Hvor brugeren kan identificeres, hvis den blot kalder det telefonnummer, der er bundet til kontoen. Efter en vellykket tilladelse i tale teknisk support med en profil kan du foretage handlinger, herunder ændring af e-mail-adressen.
For potentielle ofre (Avito-brugere) er et andet problem, at ændringen af e-mail-adresse ved hjælp af en sådan metode udføres i "Quiet Mode" - ingen meddelelser fra brugeren til den gamle e-mail-adresse modtager ikke. Derfor, hvis brugeren til godkendelse på AVITO anvender et "telefonnummer + kodeord" -bundt, så det ikke ved, om dets e-mail i kontoen erstattede de ubudne.
Den berørte bruger Alex.Edt var i stand til at genoprette kronologien af hændelser:
- Angrebene den 28. december kl. 14.16 kaldte telefonnummeret med det falske ID (gentagende numre i telefonnummeret på Alex.Edt) til AVITO-understøttelse.
- Klokken 14.17 kontrollerede Avito Technical Support Officer efter de godkendte regler, telefonnummeret på opkalderen og identificeret det som en kontoindehaver.
- Attacker bad den tekniske support officer om at ændre e-mail-adressen til en anden (medarbejderen forårsagede ikke mistanke, selvom e-mail ikke ændrede sig siden 2011, og anmodningen om et skift blev erstattet på dagen for den påståede præsentation af den dyre pakke med Avito-levering):
- Efter den vellykkede ændring af "Avito" sender en besked om, at e-mail-adressen er udskiftet. Den mærkeligste ting er, at anmeldelsen kun sendes til den nye email, og intet kommer til den gamle:
- Som følge heraf fik angriberne (ikke uden den slags hjælp fra medarbejderne i de tekniske supportofficerer "Avito") alt, hvad du behøver for at få mulighed for at dekorere pengene.
- Kl. 18.36 modtog offeret en meddelelse om, at pakken kom til modtagerens udstedelse. I 19.20 tog pakken køberen:
- I 19.32 slipper angriberne adgangskoden ved hjælp af den tidligere ændrede email og får nem adgang til kontoen:
- Profilindgangen udføres ved hjælp af VPN (Geolocation - Bulgarien). Mest sandsynligt har Avito slet ikke et risikostyringssystem, eller det virker ikke som det skal:
- På 19.34 fjerner angriberne telefonnummeret, som var bundet til kontoen i 9 år. SMS-meddelelse om denne sårede kommer ikke. Skiftet er også lavet straks - uden standbytilstand i flere timer mv.
- I 19,51 lukker Avito transaktionen, bedragerier får en henvisning til tilbagetrækning af midler.
- I 19,52 tager svindlere 119 tusind rubler fra tjenesten:
Den berørte bruger kommenterede som følger, at der sker: "De mest påvirker det mest sandsynlige om, at der foreligger en sådan sårbarhed, på trods af at internettet har et stort antal ruller, som angriberne kan ringe fra falske telefonnumre, og hvordan AVITO-tjenesten henviser til dette problem. Teknisk support "Avito" gav uafhængigt svindlere fuld adgang til kontoen, men servicerepræsentanterne gentog kun, at det var nødvendigt at opfinde en mere pålidelig adgangskode og fortalte en anden standard nonsens, som ikke havde noget at gøre med problemet.
Som et resultat af diskussionen forblev AVITO-tjenestens position den samme - vi ved ikke, hvordan du blev hacket. Det skal forstås, at den ovenfor beskrevne metode er den relevante - hver konto "Avito" kan hacket med yderligere drejningsmoment. Og eventuelle oplysninger om informationssikkerhedsværktøjer, vil brugere ikke være i stand til at modstå denne sårbarhed ":
Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.