Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился.

На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито.

В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут.

В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог.

Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома.

На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?».

Поиск ответов

За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.

Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя.

И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты.

Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит.

Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже.

Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего:

Как все было

28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю.

В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени.

28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения)

28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально»)

Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания.

28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время.

28.12.20 / 19:20 По информации от BoxBerry посылка была выдана

28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю

При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально.

Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной.

28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)

28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег.

28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет.

Занавес

Теперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на support.avito.ru). До этого момента на вопросы о возможной причине взлома мне отвечали что нужно создавать более сложные пароли (видимо еще сложнее) и прочую штампованную ерунду не имеющую отношения к моей ситуации. Даже после того как были получены все необходимые ответы и позиция осталась не изменой: "Мы не знаем как вас взломали".

На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять.

P.S.

Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки.