Как потерять 119 000 на "Безопасной сделке Авито-доставка" или почему это касается всех пользователей без исключения

14 скринов и много текста

Копипаста, автор: Alex.edt

Началась это история за считанные дни до гонца года на фоне предпраздничной суеты и желания по старой традиции закончить все дела до наступления нового года. В это время ко мне на Авито обратился покупатель, желающий приобрести комплект панелей цветокоррекции и просил оформить сделку через Авито-доставку.

Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился.

На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито.

В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут.



В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог.



Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома.



На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?».

За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.



Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя.

И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты.

Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит.

Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже.



Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего:

Это сообщение отредактировал Reichstag - 7.02.2021 - 23:36

28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю.

В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени.

28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения)

28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально»)

Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания.



28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время.

28.12.20 / 19:20 По информации от BoxBerry посылка была выдана

28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю

При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально.

Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной.

28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)

28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег.

28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет.

еперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на support.avito.ru). До этого момента на вопросы о возможной причине взлома мне отвечали что нужно создавать более сложные пароли (видимо еще сложнее) и прочую штампованную ерунду не имеющую отношения к моей ситуации. Даже после того как были получены все необходимые ответы и позиция осталась не изменой: "Мы не знаем как вас взломали".



На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять.

P.S.

Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки.

14. конец

Это сообщение отредактировал Reichstag - 7.02.2021 - 23:39

Баян же

ФОРМАЛИН

Подозрение на: флуд  Статья #2 дезинформационного кодекса  Выполненное действие: пользователь предупрежден  Погрешность принятого решения: 9%

Это сообщение отредактировал system - 8.02.2021 - 05:44

Очередное подтверждение тому, что на данный момент сделки можно проводить только в формате товар - деньги из рук в руки. Все эти доставки, гарантии и обещания нихера не работают. Если кто угодно может через IP телефонию подменять номер, с которого звонит, а эти дурачки в номер верят - какая это безопасность.

Это сообщение отредактировал Node13 - 7.02.2021 - 23:46

Вся авито доставка в реальности развод на деньги.
Только наличка из рук в руки и не более того.

Размещено через приложение ЯПлакалъ

Ну как бы по идее можно пойти в суд - в конце концов это они восстановили пароль не убедившись в подлинности звонящего. Но головной боли будет ппц.

деньги только налом при встрече и после проверки товара ,ну или при мне переводите на карту и товар получаете из рук в руки только после того как бабло поступило мне на счёт,всё.
а авито только хорошо бабло берёт за размещение объявлений....обратной связи или поддержки ни какой.

Это простая недостаточная квалификация персонала, кроме кнопки RESET - они не знают ничего более.

Как у девелоперов сайта так и у админитсрторов. Научены мышкой щелкать - и ничего более.

Самая проблема в том что кто не должен допускать таких вещей, им просто похуй.

Да команда Авито это конечно сказка. Никто ни за что не отвечает. У нас гарантия безопасной сделки угу. Пока денешки не тютю они гарантии дают. А как пошли косяки связывайтесь с продавцом.

Это сообщение отредактировал exex123 - 7.02.2021 - 23:47

Через авито доставку отправлял только недорогие товары. Потому что кроме этого способа мошенничества могут повредить товар при перевозке, либо покупатель при приемке товара может подменить его на другой и отказаться от получения.

Размещено через приложение ЯПлакалъ

у меня правило простое, никаких доставок, только встреча и знаете сколько мне всяких нехороших личностей из-за этого пишет всякое нехорошее,
в декабре продавал на авито ноут хороший i5 2410m 6гб ддр3 500 хард fhd задача была продать быстро поэтому поставил ценник 5000, буквально через секунду посыпались звонки с регионов, слезно просили отправь, некоторые даже угрожали.
чесно за 10 минут мне написало и позвонило больше 100 человек (в основном барыги) в результате продал ноут знакомому , хотя бы точно был уверен что он нужен для работы, а не наживы на перепродаже

Это сообщение отредактировал gelezo131 - 7.02.2021 - 23:50