Arjantin’deki çok sayıda Payoneer kullanıcısı, uyku sırasında SMS OTP kodları aldıktan sonra uyandıklarında 2FA korumalı hesaplarının saldırıya uğradığını ve fonlarının çalındığını gördüklerini bildirdi.
Payoneer, çevrimiçi para transferi ve dijital ödeme hizmetleri sağlayan bir finansal hizmetler platformudur. Arjantin’de popüler çünkü insanların yerel bankacılık düzenlemelerini aşarak yabancı para biriminde kazanmalarına olanak tanıyor.
Hesapları iki faktörlü kimlik doğrulama (2FA) ile korunan Arjantin’deki birçok Payoneer kullanıcısı, geçen hafta sonundan itibaren hesaplarına erişimlerini aniden kaybettiklerini veya boş cüzdanlarına giriş yaparak 5.000 $’dan başlayan “yıllarca süren çalışma” değerinde para kaybettiklerini bildirdi. 60.000 dolara kadar.
Kullanıcılar, bu olay gerçekleşmeden hemen önce Payoneer’da şifre sıfırlama işlemi için onay isteyen bir SMS aldıklarını ancak bunu onaylamadıklarını bildirdi. Birçoğu URL’lere tıklamadıklarını söylüyor ve bazıları soygun tamamlanana kadar SMS’i bile görmediklerini iddia ediyor.
Etkilenenlerin çoğu, çalınan fonlarının 163.com alanındaki bilinmeyen bir e-posta adresine gönderildiğini söyledi.
Yerel gazeteciler kurbanlarla röportaj yapıyor ve saldırıları takip ediyor ve etkilenen kullanıcıların çoğunun mobil hizmet sağlayıcıları Movistar ve Tuenti’nin müşterileri olduğunu ve çoğunluğun Movistar kullandığını keşfetti.
Bu durum, hesap hacklemelerinin arkasında yakın zamanda gerçekleşen bir Movistar veri sızıntısının olabileceğine dair şüpheleri artırdı ancak veri sızıntısı, Payoneer hesaplarındaki şifreleri sıfırlamak için gerekli olan kullanıcıların e-posta adreslerini açığa çıkarmadı.
Kaynak: BleepingComputer
Bir diğer teori ise şu: OTP kodlarını iletmek için kullanılan SMS sağlayıcısı ihlal edildi, Tehdit aktörlerinin Payoneer tarafından gönderilen kodlara erişmesine olanak tanıyor.
Ne yazık ki Movistar’dan gazeteci tarafından paylaşılan resmi bir açıklama Julio Ernesto Lopez bu teoriyi ele almıyor, sadece telekomünikasyon sağlayıcısının kendi ağı üzerinden gönderilen mesajlardan sorumlu olmadığını belirtiyor. Ancak Movistar, smishing kampanyasında kullanılan numaraları engellemek için harekete geçtiklerini söyledi.
Açıklamada “Movistar’ın, üçüncü tarafların kendi ağını kullanarak gönderdiği mesajlardan (veya içeriklerinden) sorumlu olmadığını bildiririz” ifadesine yer verildi. (makine tercümesi)
“Yukarıdakilere bakılmaksızın, bazı müşterilerin bu tür iletişimler aldığını bildirdiği numaralarla önleyici tedbirler aldık.”
Payoneer henüz saldırıyla ilgili spesifik yanıtlar vermedi ancak sorunu kabul etti ve kimlik avının sonucu olduğuna inandığı dolandırıcılığı çözmek için yetkililerle birlikte çalıştığını belirtti.
Teknoloji muhabiri Juan Brodersen bir Payoneer’dan açıklama Bu, SMS kimlik avı metinlerindeki URL’lere tıkladıklarını ve ardından kimlik avı sayfalarına giriş bilgilerini girdiklerini iddia ederek suçu kullanıcılara yüklüyor.
Ancak hesap saldırılarından etkilenenlerin çoğu, kimlik avı bağlantılarına tıklamadıklarını belirterek, Payoneer’ı sorumluluktan kaçmaya çalışmakla ve platformdaki olası bir hatayı veya güvenlik açığını kabul etmemekle suçluyor.
Ayrıca Lopez, BleepingComputer’a, Payoneer’ın yeni bir hedef adres eklediğinizde ve daha sonra para gönderdiğinizde yeni bir SMS OTP kodunun girilmesini gerektirdiğini söyledi. Eğer bu, şifre sıfırlama için OTP kodlarını çalan bir kimlik avı saldırısı olsaydı, tehdit aktörlerinin bu işlemler için gerekli olan daha sonraki OTP kodlarına erişim sahibi olmaması gerekirdi.
Geçen yıl Comcast’te gördüğümüz gibi, saldırılara 2FA bypass hatası nedeniyle izin veriliyor olsa da diğer ülkelerin de saldırılardan etkilenmesi muhtemeldir.
Bu nedenle saldırının kesin mekanizması belirsizliğini koruyor ve çeşitli hipotezler söz konusu. Payoneer’in sistemindeki önemli bir zayıflık, SMS tabanlı 2FA’ya bağımlı olmasıdır; bu, platformun yalnızca SMS kodu gerektiren şifre kurtarma süreciyle daha da güçleniyor.
BleepingComputer, yukarıdaki konular, soruşturmalarının durumu ve hacklenmelerin kaynağı olarak sistemindeki bir zayıflığın keşfedilmesi durumunda tazminat teklif etmeyi planlayıp planlamadıkları hakkında yorum talebiyle Payoneer ile temasa geçti, ancak henüz bir şey yapmadık. henüz haber gelmedi.
Kimin suçlanacağı ve tam olarak ne olduğu konusunda durum netleşene kadar, Arjantin’deki Payoneer kullanıcılarına hesaplarından para çekmeleri veya SMS tabanlı 2FA’yı devre dışı bırakıp hesap şifrelerini sıfırlamaları tavsiye ediliyor.