В сервисе «Авито» обнаружена проблема в системе идентификации клиентов, сообщает «Коммерсант». Чтобы вывести деньги из аккаунта, мошенники использовали технологию подмены номера телефона.
Новую уязвимость, которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через «Авито Доставка», заметил пользователь форума Pikabu. Он продал на сервисе товар за 119 000 рублей, но в момент, когда на счет должна была поступить оплата, аккаунт взломали. После восстановления доступа оказалось, что все данные изменены, а денег уже нет.
По версии пострадавшего, взлом произошел из-за того, что в накладной службы доставки Boxberry был указан его номер телефона. Для идентификации владельца аккаунта достаточно звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Мошенник с данными из накладной мог позвонить от лица продавца с помощью подмены номера и получить доступ к аккаунту, считает пострадавший.
В «Авито» «Коммерсанту» подтвердили, что злоумышленники таким образом могут выдать себя за клиента при обращении в службу поддержки. В компании утверждают, что уже поменяли правила для операторов, которые теперь запрашивают дополнительные данные. Однако с похожей проблемой могут столкнуться и другие сервисы, которые используют для идентификации только номер телефона клиента, предупреждают эксперты. По их мнению, утечка может произойти на любом этапе, поэтому необходимо внедрять более продвинутые технологии.
Узнайте больше
По итогам 2020 года объем средств, полученный телефонными мошенниками в России, достигнет около 150 млрд рублей, говорится в исследовании аналитиков BrandMonitor. В декабре несколько крупнейших банков России и сотовые операторы решили запустить сервисы по борьбе с подменой телефонных номеров злоумышленниками.