En av användarna "Avito" förlorade 119 tusen rubel när de sålde sin teknik med hjälp av avito-leveransservice. Undersökningen av offret visade att tjänsten har en kritisk sårbarhet, på grund av vilka angripare som enkelt kan komma åt något Avito-konto.
I slutet av 2020 såldes användaren "Avito" Alex.edt på platsen en uppsättning färgkorrigeringspaneler för 119 tusen rubel. Köparen hittade och erbjöd sig att utfärda en affär genom avito-leverans, som gjordes. Varorna levererades framgångsrikt till mottagarens stad, han tog paketet och betalade för ordern.
På kvällen på samma dag försökte offret logga in på Avito, men han lyckades inte - systemet rapporterade att användaren med en sådan inloggning, telefonnummer och e-post till Avito helt enkelt existerar. Tillsammans med en välbekant specialist på cybersäkerhet Alex.Edt, de kontrollerade nätverksloggar, postloggar, IP-adresser, auktoriseringstid, inloggningsoperatörer för samtal och SMS, liksom mycket mer, men de kunde inte hitta något som pekar på att försöka hacka.
Det tekniska supporten "Avito" återställde tillgången till kontot endast nästa dag och offret såg att ett helt utomstående telefonnummer var knutet till kontot, vilket dessutom inte bekräftades.
Undersökningen som utförs av offret ledde till att den kritiska sårbarheten hos avito-leveransservice upptäcktes, med vilka angripare enkelt kan få tillgång till något konto.
Börja en beskrivning av problemet som står med det faktum att avito-tjänsten självständigt bildar Boxberry-fakturan, vilket indikerar telefonnumret för säljaren knuten till Avito-kontot, namnet på vad som finns i paketet, liksom hela kostnaden. Till följd av detta, vid tidpunkten för förflyttningen av paketet, boxberry-personal och många andra personer som deltar i logistikprocesser, får en uppsättning konfidentiell information, vilket gör det möjligt för dem att ställa in leveranstiden till problemet, dess värde, telefonnummer av säljaren:
Men det finns liknande praxis i många transportföretag, så det kan betraktas som vanligt, men inte i fallet med Avito. Problemet är att Avito har en röstteknisk supporttjänst (nummer 8-800-, etc.), där användaren kan identifieras om det helt enkelt ringer det telefonnummer som är knutet till kontot. Efter ett framgångsrikt tillstånd i rösttekniskt stöd med en profil kan du göra några åtgärder, inklusive att ändra e-postadressen.
För potentiella offer (avito-användare) är ett annat problem att förändringen av e-postadress med en sådan metod utförs i "tyst läge" - inga anmälningar av användaren till den gamla e-postadressen kommer inte att ta emot. Därför, om användaren för godkännande på Avito applicerar ett "telefonnummer + lösenord" -bunt, vet det inte om det är e-postmeddelandet i kontot ersatte inkräktarna.
Den drabbade användaren Alex.edt kunde återställa händelsernas kronologi:
- Anfallarna den 28 december kl 14.16 ringde telefonnumret med det falska ID (upprepande siffror i telefonnumret i Alex.edt) till Avito-support.
- Vid 14.17 kontrollerade AVito Technical Support Officer, efter de godkända reglerna, telefonnumret för den som ringde och identifierade det som kontoinnehavare.
- Anfallaren bad den tekniska supportofficer att ändra e-postadressen till en annan (arbetstagaren inte orsakade misstankar trots att e-post inte ändrades sedan 2011, och begäran om ett skifte ersattes på dagen för den påstådda presentationen av det dyra paketet med Avito-leverans):
- Efter den framgångsrika förändringen av "Avito" skickar en anmälan om att e-postadressen är framgångsrikt ersatt. Det märkligaste är att meddelandet skickas endast till det nya e-postmeddelandet, och ingenting kommer till den gamla:
- Som ett resultat fick attackerna (inte utan den vänliga hjälpen från de tekniska supportofficer "Avito") allt du behöver för att få möjlighet att dekorera pengarna.
- Vid 18.36 mottog offret ett meddelande om att paketet kom till mottagarens emission. 19.20 tog paketet köparen:
- År 19.32 släpper angriparna lösenordet med det tidigare ändrade e-postmeddelandet och få lätt tillgång till kontot:
- Profilinmatningen utförs med VPN (Geolocation - Bulgarien). Mest sannolikt har Avito inte alls ett riskhanteringssystem, eller det fungerar inte som det borde:
- Vid 19.34 avlägsnar angripare telefonnumret, som var knutet till kontot i 9 år. SMS-meddelande om denna skadade kommer inte. Skiftet görs också omedelbart - utan vänteläge på flera timmar etc.
- 19.51 stänger Avito transaktionen, bedrägerier får en hänvisning till återkallandet av medel.
- 19.52 tar bedrägerier 119 tusen rubel från tjänsten:
Den drabbade användaren kommenterade enligt följande: "De flesta påverkar det mest troliga på förekomsten av en sådan sårbarhet, trots att Internet har ett stort antal rullar som angripare kan ringa från falska telefonnummer och hur avito-tjänsten hänvisar till detta problem. Teknisk support "Avito" självständigt tillhandahöll bedrägerier full tillgång till kontot, men servicerepresentanterna upprepade bara att det var nödvändigt att uppfinna ett mer tillförlitligt lösenord och berättade för en annan standard nonsens, som inte hade något att göra med problemet.
Som ett resultat av diskussionen var positionen för Avito-tjänsten densamma - vi vet inte hur du hackades. Det bör förstås att den ovan beskrivna metoden är den relevanta - varje konto "avito" kan hackas med ytterligare vridmoment. Och alla informationssäkerhetsverktyg som används, kan användarna inte klara denna sårbarhet ":
Mer intressant material på cisoklub.ru. Prenumerera på oss: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Puls.