एक प्रयोगकर्ता मध्ये एक "Ivito" ले 1 yeans हजार रूबल हरायो जब उनी भर्ती-डेलिभरी सेवा प्रयोग गरेर उनीहरूको टेक्नोलोजी बेच्दै। पीडितको अनुसन्धानले सेवाको एक महत्वपूर्ण महत्त्व रहेको देखायो, जसको कारण आक्रमणकारीहरूले सजिलैसँग कुनै पनि भर्टा खाता पहुँच गर्न सक्दछन्।
2020 को अन्त्यमा, प्रयोगकर्ताले "Avito" एलेक्स.डेड साइटमा shoded हजार रूब्लीहरूको लागि रंग सुधारको सेटको सेटमा बेचियो। खरिदले फेला पारे र अर्नो-डेलिभरीमार्फत सम्झौता गर्न प्रस्ताव गरेको थियो, जुन गरिएको थियो। सामानहरू सफलतापूर्वक प्राप्तकर्ताको शहरलाई दिइयो, उनले पार्सल लिए र अर्डरको लागि भुक्तान गरे।
सोही दिन, पीडितले भर्नोमा लग इन गर्न खोजे तर उनी सफल भएनन् - यस्तो प्रणालीले यस्तो लगइन गरेको फोन नम्बर र ईमेल मात्र अवस्थित छैन। साइबरस्पार्टर्समा एलेक्सलाई एक परिचित विशेषज्ञको साथ, तिनीहरूले नेटवर्क लग, मेल लगहरू, आईपीएस र एसएमएसका साथै केहि फेला पार्न सकेनन।
प्राविधिक सहयोग "Avito" अर्को दिन र पीडितले देख्यो कि एक शिकारले देख्यो कि एक पूर्ण बाह्य फोन खाता को लागी थियो, जो निश्चित थिएन।
पीडितले गरेको अनुसन्धानले यस्तो तथ्यलाई तथ्य पत्ता लगायो कि विमोटो-डेलिभरी सेवाको महत्वपूर्ण कमजोरी पत्ता लगाइयो, जुन आक्रमणकारीहरूले सजिलैसँग कुनै खातामा पहुँच गर्न सक्दछन्।
महिला सेवालाई स्वतन्त्र रूपमा बक्सबेरी इनभ्वाइसमा बाँधिएको विक्रेताको टेलिफोन नम्बरलाई संकेत गर्दछ, जुन विक्रेताको टेलिफोन नम्बर दर्शाउँछ, पार्सलमा र पूर्ण लागतहरूको नाम। यसको परिणाम स्वरूप, पार्सल को आवागमनको समयमा, बक्सबेरी कर्मचारीहरू र लॉगहरू प्रशोधनमा भाग लिने धेरै व्यक्तिहरूले गोप्य जानकारीको सेट प्राप्त गर्दछन्, यसको मूल्य, टेलिफोन नम्बर विक्रेता को:
तर धेरै यातायात कम्पनीहरूमा यस्तै प्रचलनहरू छन्, त्यसैले यो सामान्य मानिन्छ, तर अहिले अस्तित्वमा छैन। समस्या यो छ कि Avito सँग एक आवाज प्राविधिक समर्थन सेवा सेवा (संख्या -800-800-, आदि), जहाँ प्रयोगकर्ताले केवल फोन नम्बर कल गर्न सक्दछ जुन खातामा बाँधिएको छ भने। एक प्रोफाइल को साथ टेक्निकल समर्थन मा सफल प्राधिकरण पछि, तपाईं कुनै पनि कार्यहरू गर्न सक्नुहुन्छ, ईमेल ठेगाना परिवर्तन सहित।
सम्भावित पीडितहरू (AVITO प्रयोगकर्ताहरूको लागि), अर्को समस्या यो हो कि यस्तो विधिको परिवर्तन "शान्त मोड" मा प्रदर्शन गरिएको छैन - हालसालै ईमेल ठेगानामा प्राप्त गर्नुहोस् तसर्थ, यदि avito मा प्राधिकरणको लागि प्रयोगकर्ताले "फोन नम्बर + पासवर्ड" बन्डललाई बन्डल लागू गर्दछ, तब यो थाहा छैन कि यदि यसको खातामा यसको ईमेलले घुसपैठकर्ताहरूलाई प्रतिस्थापन गर्यो भने त्यसले घुसपैठ गर्दछ भने।
प्रभावित प्रयोगकर्ता एलेक्स.EDT ले घटनाहरूको कालक्रम पुनर्स्थापना गर्न सक्षम भयो:
- डिसेम्बर 2 In मा आक्रमणकारीहरूले 1 14.16 मा 1p.1. मा नक्कली आईडीको साथ फोन नम्बर भनिन्छ (Adx.Dt) Avito समर्थन को लागी।
- स्वीकृत नियमहरू अनुसरण गर्दै 1 1.1.17 मा भर्ती टेक्नोलोजी अफिसरले कलरको टेलिफोन नम्बर जाँच गरे र यसलाई खाता धारकको रूपमा पहिचान गर्यो।
- आक्रमणकारीले टेक्निकल समर्थन अधिकारीलाई अर्कोमा ईमेल ठेगाना परिवर्तन गर्न भन्यो (कर्मचारीले शंका उत्पन्न भएन भने पनि ईमेल 2011 देखि उपयुक्त पार्सलको दिनमा बदलिएन। Avito-वितरण):
- "Avito" को सफल परिवर्तन पछि एक सूचना पठाउँदछ कि ईमेल ठेगाना सफलतापूर्वक प्रतिस्थापित छ। अन्डरनस्टेस्ट कुरा यो हो कि सूचना नयाँ ईमेलमा मात्र पठाइएको छ, र केहि पनि पुरानो छैन:
- नतिजाको रूपमा, आक्रमणकारीहरू (प्राविधिक सहयोगीहरूले "Avito" का कामदारहरूलाई "Avito") बिना नै तपाईंले पैसा सजाउन अवसर पाउनु पर्छ।
- 1 18..36 मा, पीडितले एउटा सूचना प्राप्त गर्यो कि पार्सल प्राप्तकर्ताको जारीमा आयो। 1 ..20 मा, प्याकेजले खरीददारलाई समात्यो:
- 1 ..3232 मा, आक्रमणकर्ताहरूले अघिल्लो परिमार्जित ईमेल प्रयोग गरेर पासवर्ड छोडे र खातामा सजीलो पहुँच प्राप्त गर्नुहोस्:
- प्रोफाइल इनपुट VPP (जूल्ट - बुल्गारिया) को उपयोग गरीएको छ। सम्भवतः, स्वीटोको कुनै पनि चीजमा जोखिम व्यवस्थापन प्रणाली हुँदैन, वा यसले काम गर्दैन:
- 1 ..34..34 मा, आक्रमणकारीहरूले फोन नम्बर हटाउँछन् जुन years बर्षको लागि खातामा बाँधिएको थियो। यस घाइते सम्बन्धी एसएमएस सूचना आउँदैन। सिफ्ट पनि तुरून्त बनेको छ - धेरै घण्टामा स्ट्यान्डबाई मोड बिना, आदि।
- 1 ..5..51 मा, अविहे लेनदेन बन्द हुन्छ, जालसाजीहरूले कोषहरूको फिर्ताको सन्दर्भमा सन्दर्भ पाउँदछन्।
- 1 ..5 ..52 मा, धोखाधडीहरू सेवाबाट 11 Ube हजार रूआर लिन्छन्:
प्रभावित प्रयोगकर्ताले टिप्पणी गरिसकेका छन्: "भइरहेको छ:" यसले इन्टरनेटको हताशको सम्भावनालाई असर गर्दछ कि एक विशाल फोन को एक ठूलो संख्या, र avito सेवा यो समस्यालाई जनाउँछ। प्राविधिक समर्थन "AVITO" स्वतन्त्र रूपमा खातामा पूर्ण पहुँच प्रदान गरियो, तर सेवा प्रतिनिधिहरूले केवल अधिक भरपर्दो पासवर्ड आविष्कार गर्न आवश्यक छ र अर्को मानक बकवासहरू भनेका थिइनन्।
छलफलको परिणाम स्वरूप, भर्टा सेवाको स्थिति उस्तै रह्यो - हामीलाई थाहा छैन कि तपाईंलाई कसरी ह्याक गरियो। यो बुझ्नु पर्छ कि माथि वर्णन गरिएको विधि प्रासंगिक हो - प्रत्येक खाता "Avito" थप टोकरको साथ ह्याक गर्न सकिन्छ। र कुनै पनि जानकारी सुरक्षा उपकरणहरू प्रयोग गर्ने, प्रयोगकर्ताहरूले यस जोखिमलाई प्रतिरोध गर्न सक्षम छैनन् ":
Cisclulub.ra मा अधिक चाखलाग्दो सामग्री। सदस्यता लिनुहोस्: फेसबुक | Vk | ट्विटर | इन्स्टाग्राम | टेलीग्राम Zen | मेसेजर | आईसीक्यू नयाँ | YouTube | नाडी।