Einer der Benutzer "Avito" hat 119 Tausend Rubel verloren, als er ihre Technologie mit Avito-Delivery-Service verkaufte. Die Untersuchung des Opfers zeigte, dass der Dienst eine kritische Anfälligkeit hat, wegen welcher Angreifer können Angreifer leicht auf ein Avito-Konto zugreifen können.
Am Ende von 2020 verkaufte der Benutzer "Avito" Alex.edt auf der Website, ein Satz von Farbkorrekturfeldern für 119.000 Rubel. Der Käufer fand und bot an, einen Deal durch Avito-Lieferung auszugeben, was getan wurde. Die Ware wurde erfolgreich an die Stadt des Empfängers geliefert, er nahm das Paket und bezahlte für die Bestellung.
Am Abend des selben Tags versuchte das Opfer, sich bei Avito anzumelden, aber er ist nicht erfolgreich - das System berichtete, dass der Benutzer mit einem solchen Login, der Telefonnummer und E-Mail an Avito, einfach nicht existiert. Zusammen mit einem bekannten Spezialisten in Cybersecurity Alex.edt haben sie Netzwerkprotokolle, E-Mail-Protokolle, IP-Adressen, Berechtigungszeit, Login-Operatoren für Anrufe und SMS geprüft, sowie vieles mehr, aber sie konnten nicht darauf hinfachen, dass er darauf hinfnet, dass er darauf hindert, zu versucht, zu hacken.
Der technische Support "Avito" restaurierte nur am nächsten Tag Zugang zum Konto auf das Konto, und das Opfer sah, dass eine vollständig fremde Telefonnummer an das Konto gebunden war, das darüber hinaus nicht bestätigt wurde.
Die vom Opfer durchgeführte Untersuchung führte dazu, dass die kritische Anfälligkeit des Avito-Delivery-Dienstes entdeckt wurde, mit welchen Angreifer leicht auf jedes Konto zugreifen können.
Starten Sie eine Beschreibung des Problems mit der Tatsache, dass der Avito-Service unabhängig voneinander die Boxberry-Rechnung bildet, was die Telefonnummer des Verkäufers angibt, die an das Avito-Konto gebunden ist, der Name des, was sich im Paket befindet, sowie die vollen Kosten. Infolgedessen erhalten zum Zeitpunkt der Bewegung des Pakets, dass Boxberry-Mitarbeiter und viele andere Personen, die an Logistikprozessen teilnehmen, eine Reihe vertraulicher Informationen erhalten, wodurch sie die Lieferzeit an den Ausgabepunkt, seinen Wert, die Telefonnummer einstellen können des Verkäufers:
Es gibt jedoch ähnliche Praktiken in vielen Transportunternehmen, daher kann es als üblich betrachtet werden, aber nicht im Fall von Avito. Das Problem ist, dass Avito einen sprach technischen Supportdienst hat (Nummer 8-800- usw.), wobei der Benutzer identifiziert werden kann, wenn er einfach die an das Konto gebundene Telefonnummer anruft. Nach erfolgreicher Genehmigung in der technischen Stimme mit einem Profil können Sie alle Aktionen erstellen, einschließlich der Änderung der E-Mail-Adresse.
Für potenzielle Opfer (Avito-Benutzer) ist ein weiteres Problem, dass die Änderung der E-Mail-Adresse mit einer solchen Methode im "leisen Modus" ausgeführt wird - keine Benachrichtigungen des Benutzers an die alte E-Mail-Adresse erhalten nicht. Wenn der Benutzer für die Autorisierung auf Avito ein Bündel "Telefonnummer + Kennwort" anwendet, weiß es nicht, ob seine E-Mail auf dem Konto die Eindringlinge ersetzt hat.
Der betroffene Benutzer Alex.edt konnte die Chronologie der Ereignisse wiederherstellen:
- Die Angreifer am 28. Dezember um 14.16 nannten die Telefonnummer mit der gefälschten ID (wiederholende Nummern in der Telefonnummer Alex.edt) in Avito-Unterstützung.
- Avito Technical Support Officer, nach den genehmigten Bestimmungen, überprüfte die Telefonnummer des Anrufers die Telefonnummer des Anrufers und identifizierte ihn als Kontoinhaber.
- Der Angreifer bat den technischen Support-Offizier, die E-Mail-Adresse an einen anderen zu ändern (der Mitarbeiter hat keinen Verdacht verursacht, obwohl sich seit 2011 keine E-Mails änderte, und die Anfrage nach einer Schicht wurde am Tag der angeblichen Präsentation des teuren Pakets ersetzt Avito-Lieferung):
- Nach der erfolgreichen Änderung von "Avito" sendet eine Benachrichtigung, dass die E-Mail-Adresse erfolgreich ersetzt ist. Das seltsamste Ding ist, dass die Benachrichtigung nur an die neue E-Mail gesendet wird, und nichts kommt zum alten:
- Infolgedessen bekamen die Angreifer (nicht ohne die freundliche Hilfe von Mitarbeitern der technischen Supportsüchtigen "Avito") alles, was Sie brauchen, um die Möglichkeit zu haben, das Geld zu schmücken.
- Um 18.36 erhielt das Opfer eine Bekanntmachung, dass das Paket der Emission des Empfängers kam. Im Jahr 19.20 nahm das Paket den Käufer an:
- In 19.32 lösten Angreifer das Kennwort mit der zuvor geänderten E-Mail und erhalten einen einfachen Zugriff auf das Konto:
- Der Profileingang erfolgt mit VPN (Geolocation - Bulgarien). Höchstwahrscheinlich hat Avito überhaupt kein Risikomanagementsystem, oder es funktioniert nicht, wie es sollte:
- Bei 19.34 entfernen Angreifer die Telefonnummer, die 9 Jahre an das Konto gebunden war. SMS-Benachrichtigung über dieses Verletzte kommt nicht. Die Verschiebung wird auch sofort gemacht - ohne Standby-Modus in mehreren Stunden usw.
- In den Jahren 19.51 schließt Avito die Transaktion, betrügerische Betrügern erhalten einen Hinweis auf den Rückzug der Fonds.
- In 19.52 dauern Betrüger 119 Tausend Rubel aus dem Dienst:
Der betroffene Benutzer kommentierte wie folgt dem Geschehen: "Die meisten betrifft am wahrscheinlichsten der Existenz einer solchen Anfälligkeit, obwohl das Internet eine große Anzahl von Rollen hat, die Angreifer von falschen Telefonnummern anrufen können, und wie der Avito-Service bezieht sich auf dieses Problem. Technischer Support "Avito" hat unabhängig voneinander betrügerisch mit dem vollen Zugriff auf das Konto bereitgestellt, aber die Servicevertreter wiederholten sich nur, dass es notwendig war, ein zuverlässigeres Passwort zu erfinden, und erzählte einem anderen Standard-Unsinn, der nichts mit dem Problem zu tun hatte.
Infolge der Diskussion blieb die Position des Avito-Dienstes gleich - wir wissen nicht, wie Sie gehackt wurden. Es versteht sich, dass das oben beschriebene Verfahren das relevante Konto "Avito" ist, das mit einem weiteren Drehmoment gehackt werden kann. Und alle verwendeten Informationssicherheits-Tools können dieser Sicherheitsanfälligkeit nicht standhalten ":
Interessanteres Material auf cisoclub.ru. Abonnieren Sie uns: Facebook | Vk | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ NEU | YouTube | Impuls.