В сервисе объявлений "Авито" нашли уязвимость, позволявшую мошенникам воровать деньги продавцов
Ahilfoto / DepositPhotos

Сервис объявлений "Авито" до недавнего времени имел уязвимость, при помощи которой злоумышленники, подменив телефонный номер, могли получить доступ к аккаунту пользователя при продаже товаров через "Авито Доставку" и вывести деньги на свой счет.

Как пишет "Коммерсант", о проблеме сообщил пользователь портала "Пикабу". В конце прошлого года он продал через "Авито" товар стоимостью 119 тыс. рублей. После продажи товар передали в сервис доставки Boxberry, а после получения покупателем деньги должны были поступить на счет продавца. В этом промежуток времени аккаунт продавца был взломан. Когда он восстановил доступ к нему, оказалось, что мошенники изменили все данные профиля и вывели деньги.

Пострадавший предположил, что взломать учетную запись хакерам удалось при помощи номера его телефона, который был указан в накладной Boxberry: для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю "Авито", в службу поддержки компании. По всей видимости, злоумышленники, узнавшие телефон, воспользовались сервисом подмены номеров и получили доступ к аккаунту жертвы.

В "Авито" сообщили, что злоумышленники действительно могут выдать себя за пользователя сервиса, подменив номер. В компании заявили, что изменили правила работы службы поддержки, и теперь для идентификации клиента операторы запрашивают дополнительную информацию.

Как именно мошенники смогли получить номер жертвы, неизвестно, но в Boxberry отметили, что номер телефона продавца при сделках известен покупателю, который имеет доступ к накладной. Эти правила изменят - в скором времени покупатели будут получать только номер накладной. Руководитель направления "Письма и посылки" Boxberry Екатерина Коновалова уточнила, что доступ к данным о посылках есть и у некоторых сотрудников сервиса, но они несут материальную ответственность и подписывают обязательство о неразглашении данных клиентов.

Впрочем, по мнению технического директора Trend Micro в России и СНГ Михаила Кондрашина, ответственность сотрудников не отменяет возможность злоупотреблений. Так, имеющие доступ к накладным сотрудники могут вступить в сговор с мошенниками. В свою очередь ведущий эксперт "Лаборатории Касперского" Сергей Голованов отметил, что об отправке дорогой посылки знали покупатель, продавец, площадка продажи и сервис доставки, так что утечка могла произойти на любом этапе.

Глава отдела информационной безопасности "СерчИнформ" Алексей Дрозд считает ключевым тот факт, что "Авито" идентифицирует пользователей по звонку в службу поддержки. По его мнению, регламент смены данных в аккаунте клиента требует доработки.

Напомним, недавно стало известно, что в мессенджере Telegram существует бот, который позволяет подменять номера исходящих вызовов и изменять голос, что делает его полезным инструментом для мошенников.

Сервисами подмены номера сейчас в основном пользуются мошенники, выдающие себя за сотрудников службы безопасности того или иного банка. Подмена номера помогает им убедить жертву предоставить данные карты или перевести деньги на счет злоумышленников. По данным Центробанка, 80% мошенников, звонящих якобы из финансовых организаций, используют подмену номеров. Только в первой половине 2020 года регулятор заблокировал 9,7 тыс. мошеннических номеров.

В то же время услугами подмены номера пользуется и легальный бизнес. Так, к подмене номеров прибегают компании, желающие обезопасить своих клиентов и сотрудников от нежелательных звонков после оказания услуги.