Мини-чат
Авторизация
Или авторизуйтесь через соц.сети
23
111qwe
На uCrazy 15 лет 4 месяца
Всячина

Как потерять 119 000 на "Безопасной сделке Авито-доставка" или почему это касается всех пользователей без исключения

Началась это история за считанные дни до гонца года на фоне предпраздничной суеты и желания по старой традиции закончить все дела до наступления нового года. В это время ко мне на Авито обратился покупатель, желающий приобрести комплект панелей цветокоррекции и просил оформить сделку через Авито-доставку. Автор: Alex.edt


Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился.




На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито.




В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут.

В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог.

Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома.

На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?».

За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.

Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя.

И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты.

Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит.

Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже.

Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего:




28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю.




В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени.




28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения)




28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально»)




Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания.

28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время.

28.12.20 / 19:20 По информации от BoxBerry посылка была выдана

Как потерять 119 000 на "Безопасной сделке Авито-доставка" или почему это касается всех пользователей без исключения



28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю




При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально.




Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной.

28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)

28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег.

28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет.

Как потерять 119 000 на "Безопасной сделке Авито-доставка" или почему это касается всех пользователей без исключения




Теперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на support.avito.ru). До этого момента на вопросы о возможной причине взлома мне отвечали что нужно создавать более сложные пароли (видимо еще сложнее) и прочую штампованную ерунду не имеющую отношения к моей ситуации. Даже после того как были получены все необходимые ответы и позиция осталась не изменой: "Мы не знаем как вас взломали".

На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять.

P.S.

Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки.



Комментарии3
  1. Нед Старк
    На uCrazy 13 лет 15 дней
    Да, дважды уже пытались так разводить. Легко угадывается развод, когда человек вообще не интересуется товаром, но уверенно готов оплатить пересылку какой-нибудь хрени из Томска в Воронеж. Первый вопрос сразу же: "Вы готовы переслать мотошлем через Авито-доставку?". Очень, очень ленивые говноеды, работать над мошенничеством вообще не хотят.
  2. Allow
    На uCrazy 17 лет 11 месяцев
    именно поэтому я ни разу не воспользовался и в ближайшее время не планирую пользоваться такого рода сделками
  3. AKaspersky
    На uCrazy 17 лет 1 месяц
    у Яндекса не лучше. Пользовался Яндекс.Драйвом, карта само собой была привязана. А вот свою почту привязать Яндекс не дает, надо обязательно сознать почту на Яндексе и уже ее привязывать. И вот когда кто-то привязывает свой казахстанский номер телефона к моему профилю, то оповещение приходит на почту Яндекса, которую я даже не открываю, потому что она мне нахер не нужна. А потом мошенник заказывает жратву на Яндекс.Еде на 5500. При том, что я в этой Еде даже не регистрировался и карту не привязывал. Мне повезло, банк среагировал на мое заявление и отменил транзакцию, вернул мне деньги. А сраный Яндекс отказался сообщить мне адрес, на который была заказана жратва якобы мной. А аккаунт был угнал, скорее всего, не без участия сотрудников Яндекса.

{{PM_data.author}}

{{alertHeader}}