Πολλοί χρήστες Payoneer στην Αργεντινή αναφέρουν ότι ξύπνησαν για να διαπιστώσουν ότι οι λογαριασμοί
του
ς που προστατεύονται από 2FA παραβιάστηκαν και τα χρήματα κλάπηκαν αφού έλαβαν κωδικούς OTP SMS ενώ κοιμόντουσαν.
Η Payoneer είναι μια πλατφόρμα χρηματοοικονομικών υπηρεσιών που παρέχει υπηρεσίες διαδικτυακής μεταφοράς χρημάτων και ψηφιακών πληρωμών. Είναι δημοφιλές στην Αργεντινή επειδή επιτρέπει στους ανθρώπους να κερδίζουν σε ξένα νομίσματα παρακάμπτοντας τους τοπικούς τρ
απε
ζικούς κανονισμούς.
Από το περασμένο Σαββατοκύριακο, πολλοί χρήστες Payoneer στην Αργεντινή, των οποίων οι λογαριασμοί προστατεύονταν με έλεγχο ταυτότητας δύο παραγόντων (2FA),
έχουν αναφερθεί
να χάσουν ξαφνικά την πρόσβαση στους λογαριασμούς τους ή απλώς να συνδεθούν
άδεια πορτοφόλια
χάνοντας «χρόνια
εργασία
ς» αξίας σε χρήματα που κυμαίνονται από 5.000 έως 60.000 δολάρια.
Οι χρήστες αναφέρουν ότι λίγο πριν συμβεί αυτό, έλαβαν ένα SMS που ζητούσε έγκριση από επαναφορά κωδικού πρόσβασης στην Payoneer, την οποία δεν τους παραχώρησαν. Πολλοί λένε ότι δεν έκαναν κλικ στις διευθύνσεις URL και κάποιοι ισχυρίζονται ότι δεν είδαν καν το SMS παρά μόνο μετά την ολοκλήρωση της ληστείας.
Πολλοί που επηρεάστηκαν είπαν ότι τα κλεμμένα κεφάλαιά τους στάλθηκαν σε άγνωστη διεύθυνση ηλεκτρονικού ταχυδρομείου στον τομέα 163.com.
Τοπικοί δημοσιογράφοι έπαιρναν συνεντεύξεις με θύματα και παρακολουθούσαν τις εισβολές και ανακάλυψαν ότι οι περισσότεροι επηρεασμένοι χρήστες ήταν πελάτες των παρόχων υπηρεσιών κινητής τηλεφωνίας Movistar και Tuenti, με την πλειοψηφία να χρησιμοποιεί Movistar.
Αυτό δημιούργησε υποψίες ότι μια πρόσφατη διαρροή δεδομένων Movistar μπορεί να βρίσκεται πίσω από τις εισβολές λογαριασμού, αλλά η διαρροή δεδομένων δεν αποκάλυψε τις διευθύνσεις
email
των χρηστών, οι οποίες απαιτούνται για την επαναφορά των κωδικών πρόσβασης στους λογαριασμούς Payoneer.
Κλεμμένα δεδομένα Movistar για Αργεντινούς διέρρευσαν σε φόρουμ για χάκερ
Πηγή: BleepingComputer
Μια άλλη θεωρία είναι ότι το
Ο πάροχος SMS που χρησιμοποιείται για την παράδοση κωδικών OTP παραβιάστηκε,
επιτρέποντας στους φορείς απειλής να έχουν πρόσβαση σε κωδικούς που αποστέλλονται από την Payoneer.
Δυστυχώς, μια επίσημη δήλωση από τη Movistar κοινοποιήθηκε από δημοσιογράφο
Χούλιο Ερνέστο Λόπες
δεν αντιμετωπίζει αυτή τη θεωρία, δηλώνοντας απλώς ότι ο πάροχος τηλεπικοινωνιών δεν είναι υπεύθυνος για τα μηνύματα που αποστέλλονται μέσω του δικτύου του. Ωστόσο, η Movistar είπε ότι έχουν λάβει μέτρα για να μπλοκάρουν τους αριθμούς που χρησιμοποιούνται στην εκστρατεία smishing.
«Σας ενημερώνουμε ότι η Movistar δεν ευθύνεται για τα μηνύματα (ή το περιεχόμενό τους) που στέλνουν τρίτα μέρη χρησιμοποιώντας το δίκτυό της», αναφέρεται στην ανακοίνωση. (μηχανική μετάφραση)
“Παρά τα παραπάνω, έχουμε λάβει προληπτικά μέτρα με τους αριθμούς από τους οποίους ορισμένοι πελάτες ανέφεραν ότι λαμβάνουν τέτοιες επικοινωνίες.”
Η Payoneer δεν έχει δώσει ακόμη συγκεκριμένες απαντήσεις σχετικά με την επίθεση, αλλά αναγνώρισε το ζήτημα και ανέφερε ότι συνεργάζεται με τις αρχές για την αντιμετώπιση της απάτης, η οποία πιστεύει ότι είναι αποτέλεσμα phishing.
Τεχνικός ρεπόρτερ
Χουάν Μπρόντερσεν
έλαβα ένα
δήλωση από την Payoneer
που ρίχνει την ευθύνη στους χρήστες, ισχυριζόμενοι ότι έκαναν κλικ στις διευθύνσεις URL στα κείμενα ηλεκτρονικού ψαρέματος SMS και στη συνέχεια εισήγαγαν τα στοιχεία σύνδεσής τους σε σελίδες ηλεκτρονικού ψαρέματος.
Ωστόσο, πολλοί που επηρεάστηκαν από τις παραβιάσεις λογαριασμών δηλώνουν ότι δεν έκαναν κλικ σε συνδέσμους phishing, κατηγορώντας την Payoneer ότι προσπάθησε να εκτρέψει την ευθύνη και ότι δεν αναγνωρίστηκε ένα πιθανό σφάλμα ή ευπάθεια στην πλατφόρμα.
Επιπλέον, ο Lopez είπε στο BleepingComputer ότι η Payoneer απαιτεί την εισαγωγή ενός νέου κωδικού SMS OTP όταν προσθέτετε μια νέα διεύθυνση προορισμού και, στη συνέχεια, ξανά όταν δεσμεύετε χρήματα. Εάν επρόκειτο για επίθεση phishing που κλέβει κωδικούς OTP για την επαναφορά του κωδικού πρόσβασης, οι φορείς απειλής δεν θα έπρεπε να έχουν πρόσβαση σε μεταγενέστερους κωδικούς OTP που απαιτούνται για αυτές τις συναλλαγές.
Ενώ οι εισβολές μπορεί να επιτρέπονται από ένα σφάλμα παράκαμψης 2FA, όπως είδαμε πέρυσι με το Comcast, άλλες χώρες πιθανότατα θα επηρεαστούν από τις επιθέσεις.
Εξαιτίας αυτού, ο ακριβής μηχανισμός της επίθεσης παραμένει ασαφής, με διάφορες υποθέσεις να παίζουν. Μια σημαντική αδυναμία στο σύστημα της Payoneer είναι η εξάρτησή του από το 2FA που βασίζεται σε SMS, που επιδεινώνεται περαιτέρω από τη διαδικασία ανάκτησης κωδικού πρόσβασης της πλατφόρμας, η οποία απαιτεί μόνο έναν κωδικό SMS.
Η BleepingComputer επικοινώνησε με την Payoneer ζητώντας ένα σχόλιο σχετικά με τα παραπάνω, την κατάσταση της έρευνάς της και εάν σκοπεύουν να προσφέρουν
αποζημίωση
σε περίπτωση που ανακαλυφθεί ότι μια αδυναμία στο σύστημά της είναι η πηγή των εισβολών, αλλά δεν έχουμε ακούστηκε ακόμα.
Μέχρι να ξεκαθαρίσει η κατάσταση σχετικά με το ποιος φταίει και τι ακριβώς συνέβη, συνιστάται στους χρήστες της Payoneer στην Αργεντινή να αποσύρουν χρήματα από τους λογαριασμούς τους ή να απενεργοποιήσουν το 2FA που βασίζεται σε SMS και να επαναφέρουν τον κωδικό πρόσβασης του λογαριασμού τους.
VIA:
bleepingcomputer.com
