Kilka dni temu opisaliśmy serię oszustw, do których dochodzi w sieci Play. Ktoś doładowywał cudze konta kosztem zwykłych abonentów, którzy tracili po 150 PLN. Dzisiaj wiemy, jak prawdopodobnie mogło dość do tych kradzieży.
Jeśli nie śledziliście dotychczasowej historii nadużyć w sieci Play to zacznijcie od lektury tego artykułu. Jeśli znacie już relacje osób poszkodowanych, to zapraszamy do dłuższego wyjaśnienia możliwego mechanizmu oszustwa.
A może zmienimy numer telefonu
Kilka godzin temu na forum Play pojawiła się informacja, w jaki sposób można było doładowywać usługi na kartę za pomocą usług abonamentowych na cudzy koszt. Kluczowe fragmenty cytujemy poniżej:
1. Załóżmy, że nasz numer do haseł jednorazowych to 777 777 777 (szczęśliwe-nieszczęśliwe siódemki ).
2. Załóżmy, że numer oszusta to 666 666 666 (no comments ).
3. Oszust loguje się do Play24 (www) – sposób w jaki wszedł w posiadanie loginu i hasła pomijam.
4. Oszust wchodzi w zakładkę „Mój profil”- bez dodatkowej autoryzacji (w skrócie BDA).
5. Oszust usuwa numer (jeśli jest – bo może go tam nie być) „Dedykowany numer do haseł jednorazowych SMS” czyli 777 777 777 naciskając mały krzyżyk po prawej stronie obok numeru – BDA (Play24 nie potwierdza tej operacji poprzez wysłanie kodu SMS na numer 777 777 777 – jest to krytyczny moment całego „triku” i wina leży po stronie Play/P4).
6. Oszust wpisuje w tamto puste teraz pole swój numer 666 666 666 i zatwierdza.
7. JEST AUTORYZACJA – Play24 wysyła kod SMS NA NOWY NUMER 666 666 666.
8. Oszust otrzymuje kod na swój numer i wpisuje go w Play24 i zatwierdza.
9. Play24 przykuje kod i od tego momentu numer do autoryzacji dowolnej operacji to numer oszusta 666 666 666.
10. Oszust przeprowadza dowolne operacje na koncie (nawet wymagające hasła) – robi sobie tyle doładowań ile chce, na tyle numerów ile chce, z tylu podpiętych numerów abonamentowych z ilu chce.
11. Ponieważ po wystawieniu faktury właściciel konta się zorientuje i jest limit 150zł na numer abonamentowy miesięcznie, to po doładowaniu (po sprzedaży doładowań) od razu kasuje swój numer 666 666 666 z Play24 tak jak to opisałem w p.5.
12. Oszust wylogowywuje się.
Czy to możliwe?
Jakoś nie chciało się nam wierzyć, że (nawet w Playu) scenariusz ataku może być tak trywialny, jak zmiana numeru otrzymującego kody SMS bez konieczności potwierdzenia kodem wysłanym na stary numer. Poprosiliśmy zatem Was o pomoc i wspólnie z wieloma z Was testowaliśmy, jak to działa.
Poniżej przetestowany scenariusz.
Na początku musicie wejść na 24.play.pl, kliknąć w „Moje numery” oraz „Dodaj lub usuń numer” / „Dodaj numer”.
To kliknięcie magicznie przeniesie Was w tej samej zakładce do strony konto.play.pl. To bardzo ważny moment, ponieważ teraz musicie w nowej zakładce wrócić na 24.play.pl (nie trzeba się ponownie logować). Macie teraz otwarte dwie zakładki – 24.play.pl oraz konto.play.pl.
W zakładce konto.play.pl ewentualnie usuwacie stary dedykowany numer do haseł jednorazowych SMS i dodajecie nowy.
Co fascynujące, hasło SMS do autoryzacji tej operacji przychodzi tylko na nowy, własnie dodawany numer telefonu.
Przepisujecie kod i zatwierdzacie.
Możecie sprawdzić – numer pojawił się na koncie.
Zmieniacie teraz zakładkę na 24.play.pl, wchodzicie w menu Pakiety i usługi, wybieracie doładowanie konta na kartę z abonamentu i podajecie numer do doładowania.
Kod SMS potrzebny do zatwierdzenia doładowania dociera wyłącznie na nowy numer dopiero co dodany do konta.
Gdybyście testowali sami, to uważajcie, by nie zamknąć zakładek zbyt szybko, bo możecie mieć problem z ponownym zalogowaniem się do konta. Najpierw w zakładce konto.play.pl trzeba usunąć nowy numer i dodać swój właściwy a następnie zatwierdzić zmianę. Wtedy można już się normalnie logować.
Komentarz Play
Rzecznik sieci Play komunikuje się na swoim blogu, który cytujemy poniżej:
W zeszłym tygodniu otrzymaliśmy kilka zgłoszeń o wykonaniu nieautoryzowanych doładowań z numerów abonamentowych. Od tego czasu robimy wszystko, żeby wyjaśnić tę sytuację. Na chwilę obecną znane nam jest tylko około 10 takich przypadków. Ze względu na niską skalę zjawiska nie zdecydowaliśmy o wyłączeniu tego kanału doładowań.
Zgłaszajcie takie przypadki do nas, będziemy każdy rozpartywać.
Po raz kolejny proszę – twórzcie skomplikowane, bezpieczne hasła do Play24, miejcie inne niż do maila czy konta na Facebooku. Nie wpisujcie go na podejrzanych stronach czy w mailach, nawet do PLAY – mamy inne metody weryfikacji.
oraz aktualizacja:
Wiemy już więcej na ten temat. Dodatkowo jeszcze wczoraj udało nam się wdrożyć uzupełniające rozwiązanie/zabezpieczenie. W momencie wykonania doładowania wysyłamy SMS na numer, który ma być obciążony. Jeśli sam zlecasz doładowanie masz potwierdzenie akcji, jeśli nie – jak najszybciej zgłoś sytuację do nas.
Co ciekawe, numer abonamentowy, z którego doładowywaliśmy numer na kartę, nie dostał wspomnianego SMSa z informacją o doładowaniu.
I co teraz
Warto podkreślić, ze choć proces autoryzacji zmiany numeru telefonu na który przychodzą kody SMS w Play jest dość kuriozalny, to pierwszym etapem ataku jest zawsze przejęcie loginu i hasła do portalu 24.play.pl. Zmieńcie zatem swoje hasło – tak na wszelki wypadek. Po drugie sprawdźcie, czy macie aktywną usługę doładowanie konta na kartę z abonamentu i na wszelki wypadek ją wyłączcie. Sprawdzajcie także uważnie swoje faktury i zgłaszajcie reklamacje, jeśli tylko zauważycie coś podejrzanego.
Bardzo dziękujemy Magdzie, Adamowi, Sławkowi, Sewerynowi, Marcinowi, Kamilowi, Mirosławowi, Mateuszowi, Davidowi, Tomkowi, Pawłowi, Damianowi, Krzysztofowi i Michałowi za szybką akcję pomocy w testowaniu różnych scenariuszy ataku i ich dokumentację. To dzięki takim ludziom jak Wy ten serwis żyje :)
Komentarze
Witam
Juz dawno padlem tego typu oszustwa
Bylem pewnie jako pierwszy wiec tego tematu nawet nie bylo
Prosze o kontrakt @ a opisze cala sytuację
Przecież sytuacja została już opisana i wyjaśniona :D
A co da wyłączenie usługi, jeśli jej włączenie wymaga podania kodu wysłanego SMS? Czyli podmieniam numer na swój, włączam wyłączona usługę, czekam ok. 15 minut (w najgorszym wypadku 24 godziny) i już:-)
Ale podczas włączania usługi na główny numer przychodzi chociaż powiadomienie o włączeniu takowej.
SMS nie przyjdzie na główny numer bo oszust wpisał swój numer do haseł jednorazowych w polu „Dedykowany numer do haseł jednorazowych SMS” i aby taki numer dodać Play24 wysyła hasło na numer… oszusta, ten właśnie który właśnie dopisał.
Potem (po włączeniu usługi, po zrobieniu doładowania i po wyłączeniu usługi) kasuje swój numer i się wylogowywyuje.
W obecnym stanie (i przez wszystkie ostatnie lata) jedyny problem dla oszusta to poznanie hasło do Play24. Jeśli oszust je pozna to może już zrobić co chce i ile razy chce, bo włączanie usługi „Doładowanie z Abonamentu” i dodawanie numeru do haseł, nie wymaga podawania hasła SMS, a jeśli w którymś momencie Play24 generuje hasło SMS to zawsze przychodzi ono na numer oszusta.
Rozumiesz już?
Tylko, że ja wczoraj testowałem to i podczas aktywacji usługi sms z kodem przyszedł na ten „dodatkowy numer”. Ale po jego wklepaniu na mój „główny numer” dostałem smsa o treści: „Dziękujemy – zlecenie przyjęto do realizacji. Usługa Doładowanie telefonu na kartę z abonamentu zostanie włączona. Poczekaj na smsa z potwierdzeniem aktywacji”. Więc przy takim smsie powinna włączyć się czerwona lampka u ofiary.
@Karol, bo po punkcie 9., a przed punktem 10. należy w zasadzie zrobić 2 rzeczy (o których nie napisałem na forum, bo zapomniałem – gdybym wiedział, że ZTS czy ktokolwiek to będzie testować to napisałbym bardziej kompletny i zrozumiały poradnik):
– przelogować się – przy czym można to zrobić bez faktycznego wylogowywania się i ponownego logowania (i ponownego wpisywania loginu i hasła) – i można to zrobić w znacznie prostszy sposób niż „odkryła” ZTS, oraz
– odczekać powiedzmy 15 minut aż nowy numer do haseł SMS zatrybi we wszystkich podsystemach Play/P4.
Jeśli się tego nie zrobi to wszystkie albo część SMSów (na początku albo zawsze) będzie przychodziła na różne numery (stary i nowy) albo tylko na stary.
Ja się i tak bardzo cieszę, że ZTS tego posta zauważył i sprawę nagłośnił.
Ciekawe skąd złodzieje mieli dostęp do konta Play. Czy okradzeni mieli keylogery na komputerach?
Różnie. Może hasła były identyczne jak do innych serwisów, może logowali się w jakiejś publicznej sieci i ktoś podsłuchiwał, sposobów jest sporo.
Czyli sami sobie winni. Dopóki nie oduczą się stosowania haseł „123456” dopóty będą za to płacić. I to coraz więcej.
Najlepsze jest to, że sytuacja już trwa jakiś czas a operator ma to tak głęboko w dupie, że o takich rzeczach dowiadujemy się z niezależnych źródeł. Co lepsze, dowiadujemy się, że przez X dni nikt tam nawet nie kiwnął palcem aby OD RAZU zabezpieczyć konta.
Brawo testerzy,
Taki Bug na produkcji…
Witam,
„Eksperyment” dlatego Wam czasami nie wychodził, bo między punktem 9. i 10. należy wykonać dodatkowy krok (powiedzmy 9A), o którym zapomniałem tam napisać (pisałem na szybko z głowy jak to należałoby zrobić znając login i hasło do jakiegoś konta – o tej „luce”, a w zasadzie o bardzo źle zaprojektowanej funkcjonalności Play24 wiem od wielu lat – w zasadzie wszyscy o tym wiedzą tylko nieświadomie :) ).
Można oczywiście ten punkt 9A zrobić w taki bardziej zakręcony sposób jak opisaliście ale można znacznie, znacznie prościej.
Pozdrawiam,
JanuT.
PS. W punkcie 9 jest literówka (a w zasadzie dwie), powinno być: „9. Play24 przyjmuje kod …”. Niestety na forum Play po 5 minutach nie można już edytować posta.
Panie rzeczniku. Jeśli ktoś ma keyloggera w systemie, to po co mu zalecać skomplikowanie hasła…
Ja bym wspomniał przynajmniej o spróbowaniu odwirusowania windowsa.
Jakiego keyloggera? Czy Ty w ogole przeczytales na czym polegal ten przekret? Problem byl wina SYSTEMU PLAYa i NIKOGO wiecej.
Czy teraz dotarlo?
Co Ty opowiadasz… A hasło do serwisu Play24 to włamywaczowi się we śnie objawiło?
Zaloze sie, ze sprawa nie ma niczego wspolnego z jakimis wydumanymi keylogerami, a dziura w systemie Playa lub ewentualnie slabymi/typowymi haslami uzytkownikow. Nie wystawia sie armat przeciw muchom.
Albo nie używać do logowania na swoje konta tela z androidem.
u konkurencji jest opisane jak można się zalogować na czyjś p24. Wystarczy nie używać numeru i poczekać aż numer przydzielą komuś innemu…. logujemy się swoim starym hasłem p24
Najbardziej niszczy mi nerki pkt. 3 – Co znaczy, ze nieistotne jest jak ktos wpadl w posiadanie danych do logowania ? Ja rozumiem, ze Play zaniedbal niektore rzeczy, ale sami abonenci nie sa bez winy. A na forum Play wszyscy sapy maja do Playa. Typowi „Janusze” – „moja wspolwina ale moze uda sie cala zrzucic na kogos innego”. Oddalbym im hajs i wypowiedzial umowe – powod – dzieci do lat 18 (w tym wypadku niepelnoletnosc intelektualna) nie moga zawierac umów z operatorem.
Chodzi o to, że dane do logowania mogą wyciec na wiele sposobów – czy to keyloggerem, czy podglądając hasło przez ramię, czy podsłuchując transmisję. Można się zabezpieczać, ale też ludzie mogą traktować te dane nieco lżej, mając świadomość że istotne rzeczy potwierdza się SMSem.
Jak dla mnie, skandalem jest to, że można ot tak wpisać dowolny numer jako ten który autoryzuje operacje. To tak, jakby do przechowalni bagażu przyszedł ktoś obcy, podał numer depozytu i na pytanie „czy potwierdza pan że właściciel pozwolił ten bagaż odebrać” odpowiedział „tak”.
true story, historia rozmowy z ochroną pewnego budynku:
– dzień dobry, mogę wejść?
– dzień dobry, a ma pan autoryzację?
– tak, oczywiście
– proszę tędy [drzwi otwierają się]
sam nie mogłem w to początkowo uwierzyć :D:D:D
Zna numer depozytu i haslo a nastepnie potwierdza „ze ma autoryzacje”. A to roznica. Skad znal ?
Nie twierdze, ze Play jest bez winy, ale sami abonenci swieci nie sa. Wiele rzeczy lekcewazaa pozniej placz
Dlaczego OP ma to w pompie? Bo hajs sie zgadza operatorowi, w koncu klient placi, a jak nie to windykacja w ruch :) Pewnie na 1000 osob jedna zaczyna fikać :)
Jejku, jakby info miało iść na nowy numer, to programista musiałby dorabiać jeszcze jedną funkcjonalność – awaryjną zmianę telefonu po zgubieniu, wiecie, z wysyłką na maila, i te sprawy. Przecież to szalenie trudne! xD
Mnie zastanawia czy jeśli można zmienić numer telefonu bez potwierdzenia hasłem SMS to czy nie można w ten sposób wejść w posiadanie kogoś innego konta?
Ja o tym bledzie wiedzialem od przynajmniej pol roku (tyle siega moja pamiec). Myk byl wlasnie z przeladowaniem sesji miedzy ich aplikacjami. Dla mnie ten blad sie przydal w podrozy. Jako, ze loguje sie tylko z zaufanych urzadzen to nie mialo to dla mnie wiekszego znaczenia. Moze gdyby bylo jakies bugbounty to bym sie pofatygowal. Zwykle jak zglaszam bledy w zagranicznych instytucjach to musze przebrnac przez liste durnych pytan (procedury dla niemyslacych), aby dostac kontakt do dzialu technicznego. Na koniec sie okazuje, ze blad przez kolejne miesiace sterczy.
Ktoś na forum Playa rzucił przypuszcenie że baza użytkowników Play została wy**bana razem z danymi osobowymi, zalecił żeby użytkownicy jak najszybciej zmieniki swoje hasła logowania do Play i na pocztę e-mail a w odpowiedzi na to administracja wyłączyła forum.
;-))
Masz może screena z tego posta?
play jak zwykle dał ciała, kiedyś z usługą teleplay też zrobił wtopę i umożliwił okradzenie klienta banku. Play zamiast wydawać pieniądze na informatyków woli pakować miliony w celebrytów w głupich reklamach.
Play24 jest dziurawy od samego początku jego istnienia. Ja 2 lata temu podpiąłem służbowy numer pod swój prywatny Play24. Mało tego, miałem do wglądu fakturę za wszystkie numery firmowe. Przekazałem tę informację szefowi i podpiął numer pod swój Play24.
Witam wszystkich i ostrzegam przed odpowiedziami operatora że jest ich mało.Takie odpowiedzi jak to od operatora Play:W zeszłym tygodniu otrzymaliśmy kilka zgłoszeń o wykonaniu nieautoryzowanych doładowań z numerów abonamentowych. Od tego czasu robimy wszystko, żeby wyjaśnić tę sytuację. Na chwilę obecną znane nam jest tylko około 10 takich przypadków. Ze względu na niską skalę zjawiska nie zdecydowaliśmy o wyłączeniu tego kanału doładowań.Według mnie proceder ten w Play trwa już od kwietnia 2016 roku albo wcześniej .Ja miałem taką sytuację w kwietniu 2016 r. Z moich trzech numerów abonamentowych doładowano dwa numery telefonów na kartę na kwotę 380zł.Po wielokrotnych reklamacjach z mojej strony nie nastąpiło wyjaśnienie tej sprawy .Złożyłem również zawiadomienie w UKE o wszczęcie postępowania mediacyjnego.Play odmówił rozwiązania tego sporu.Na bilingu który jest w systemie Play24 oraz w systemie elektronicznym biur obsługi klienta był brak jakichkolwiek wykonanych doładowań z moich telefonów.Play nie przedstawił mi w bilingach procedury doładowań i domagał się ciągle zapłaty kwoty doładowań,wypowiedział mi umowę, groził firmą windykacyjną.Sprawę zgłosiłem na policję i zostało wszczęte dochodzenie.Na polecenie prokuratora dokonano analizy bilingów z których wynika że z moich trzech numerów telefonów nie było wykonanych żadnych połączeń przychodzących ,wychodzących ani łączenia się z internetem.Prokurator umorzył dochodzenie .W uzasadnieniu napisał że nieustalona osoba bez uprawnień uzyskała w nieustalony sposób dostęp do konta portalu Play24 a następnie dokonała doładowań.Uważam że system Play jest nieodpowiednio zabezpieczony gdyż podczas podczas wykonywanych doładowań brak jest powiadomień o przeprowadzanej operacji.Osoby pracujące w dziale reklamacji nie potrafią wyjaśnić tej sprawy.Play nie dąży do wyjaśnienia ,wypowiada umowy, straszy windykacją bez wyroku sądowego i zmusza właścicieli abonamentów do zapłaty za coś czego nie dokonali.
Minął miesiąc, a ja właśnie ustawiłem inny numer do haseł smsowych w sposób opisany powyżej na swoim koncie play ;)