Мошенников отправили в глубокий аккаунт. Деньги клиентов «Авито» исчезали по звонку.

В сервисе «Авито» обнаружена новая уязвимость. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании утверждают, что уже запрашивают для идентификации клиентов дополнительные данные. Но с такой проблемой могут столкнуться и другие сервисы, которые используют для идентификации только номер телефона клиента, предупреждают эксперты, отмечая необходимость внедрения более продвинутых технологий.

Проблему в системе идентификации клиентов «Авито», которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu.

В декабре 2020 года он продал на «Авито» товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.

По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.

Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пользователь Pikabu.

Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили “Ъ” в «Авито». Там заверили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.

Как именно мошенники получили номер, доподлинно неизвестно. Информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, поясняет руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова. Но, по ее словам, компания уже работает над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной».

Госпожа Коновалова признает, что доступ к данным о посылках есть и у «некоторых сотрудников Boxberry». Однако, подчеркивает топ-менеджер, они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.

Эксперты, впрочем, подчеркивают, что это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито», полагает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки, уточняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, утечка могла произойти на любом этапе.

Проблема может быть и из-за дыры в системе, полагает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но корень проблемы, по его мнению, лежит в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагает он.

Число мошенничеств с использованием подмены номера продолжает расти. В июне 2020 года на это, например, жаловались клиенты МТС-банка, сообщал РБК. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. И применять технологию становится все проще. Например, в мессенджере Telegram появился бот, который позволяет подменять номера исходящих вызовов и изменять голос (см. “Ъ” от 4 февраля)Подробнее ➤.

Практически во всех российских сервисах номер мобильного телефона выступает основным средством идентификации пользователя, отмечает советник гендиректора Национальной инжиниринговой корпорации Игорь Бедеров.

По словам эксперта, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода. Источник: https://www.kommersant.ru/doc/4683007