W jaki sposób złodzieje mogli doładowywać konta w sieci Play

dodał 20 czerwca 2017 o 20:59 w kategorii Wpadki  z tagami:
W jaki sposób złodzieje mogli doładowywać konta w sieci Play

Kilka dni temu opisaliśmy serię oszustw, do których dochodzi w sieci Play. Ktoś doładowywał cudze konta kosztem zwykłych abonentów, którzy tracili po 150 PLN. Dzisiaj wiemy, jak prawdopodobnie mogło dość do tych kradzieży.

Jeśli nie śledziliście dotychczasowej historii nadużyć w sieci Play to zacznijcie od lektury tego artykułu. Jeśli znacie już relacje osób poszkodowanych, to zapraszamy do dłuższego wyjaśnienia możliwego mechanizmu oszustwa.

A może zmienimy numer telefonu

Kilka godzin temu na forum Play pojawiła się informacja, w jaki sposób można było doładowywać usługi na kartę za pomocą usług abonamentowych na cudzy koszt. Kluczowe fragmenty cytujemy poniżej:

1. Załóżmy, że nasz numer do haseł jednorazowych to 777 777 777 (szczęśliwe-nieszczęśliwe siódemki ).
2. Załóżmy, że numer oszusta to 666 666 666 (no comments ).
3. Oszust loguje się do Play24 (www) – sposób w jaki wszedł w posiadanie loginu i hasła pomijam.
4. Oszust wchodzi w zakładkę „Mój profil”- bez dodatkowej autoryzacji (w skrócie BDA).
5. Oszust usuwa numer (jeśli jest – bo może go tam nie być) „Dedykowany numer do haseł jednorazowych SMS” czyli 777 777 777 naciskając mały krzyżyk po prawej stronie obok numeru – BDA (Play24 nie potwierdza tej operacji poprzez wysłanie kodu SMS na numer 777 777 777 – jest to krytyczny moment całego „triku” i wina leży po stronie Play/P4).
6. Oszust wpisuje w tamto puste teraz pole swój numer 666 666 666 i zatwierdza.
7. JEST AUTORYZACJA – Play24 wysyła kod SMS NA NOWY NUMER 666 666 666.
8. Oszust otrzymuje kod na swój numer i wpisuje go w Play24 i zatwierdza.
9. Play24 przykuje kod i od tego momentu numer do autoryzacji dowolnej operacji to numer oszusta 666 666 666.
10. Oszust przeprowadza dowolne operacje na koncie (nawet wymagające hasła) – robi sobie tyle doładowań ile chce, na tyle numerów ile chce, z tylu podpiętych numerów abonamentowych z ilu chce.
11. Ponieważ po wystawieniu faktury właściciel konta się zorientuje i jest limit 150zł na numer abonamentowy miesięcznie, to po doładowaniu (po sprzedaży doładowań) od razu kasuje swój numer 666 666 666 z Play24 tak jak to opisałem w p.5.
12. Oszust wylogowywuje się.

Czy to możliwe?

Jakoś nie chciało się nam wierzyć, że (nawet w Playu) scenariusz ataku może być tak trywialny, jak zmiana numeru otrzymującego kody SMS bez konieczności potwierdzenia kodem wysłanym na stary numer. Poprosiliśmy zatem Was o pomoc i wspólnie z wieloma z Was testowaliśmy, jak to działa.

Uwaga
Chcieliśmy podkreślić, że nie za każdym razem eksperyment zakończył się sukcesem. W części przypadków kod SMS przychodził na „stary” numer telefonu. Mamy jednak scenariusz, który faktycznie udało się kilkakrotnie powtórzyć i doładować cudze konto bez potrzeby informowania o tym ofiary.

Poniżej przetestowany scenariusz.

Na początku musicie wejść na 24.play.pl, kliknąć w „Moje numery” oraz „Dodaj lub usuń numer” / „Dodaj numer”.

To kliknięcie magicznie przeniesie Was w tej samej zakładce do strony konto.play.pl. To bardzo ważny moment, ponieważ teraz musicie w nowej zakładce wrócić na 24.play.pl (nie trzeba się ponownie logować). Macie teraz otwarte dwie zakładki – 24.play.pl oraz konto.play.pl.

W zakładce konto.play.pl ewentualnie usuwacie stary dedykowany numer do haseł jednorazowych SMS i dodajecie nowy.

Co fascynujące, hasło SMS do autoryzacji tej operacji przychodzi tylko na nowy, własnie dodawany numer telefonu.

Przepisujecie kod i zatwierdzacie.


Możecie sprawdzić – numer pojawił się na koncie.


Zmieniacie teraz zakładkę na 24.play.pl, wchodzicie w menu Pakiety i usługi, wybieracie doładowanie konta na kartę z abonamentu i podajecie numer do doładowania.

Kod SMS potrzebny do zatwierdzenia doładowania dociera wyłącznie na nowy numer dopiero co dodany do konta.

Gdybyście testowali sami, to uważajcie, by nie zamknąć zakładek zbyt szybko, bo możecie mieć problem z ponownym zalogowaniem się do konta. Najpierw w zakładce konto.play.pl trzeba usunąć nowy numer i dodać swój właściwy a następnie zatwierdzić zmianę. Wtedy można już się normalnie logować.

Komentarz Play

Rzecznik sieci Play komunikuje się na swoim blogu, który cytujemy poniżej:

W zeszłym tygodniu otrzymaliśmy kilka zgłoszeń o wykonaniu nieautoryzowanych doładowań z numerów abonamentowych. Od tego czasu robimy wszystko, żeby wyjaśnić tę sytuację. Na chwilę obecną znane nam jest tylko około 10 takich przypadków. Ze względu na niską skalę zjawiska nie zdecydowaliśmy o wyłączeniu tego kanału doładowań.

Zgłaszajcie takie przypadki do nas, będziemy każdy rozpartywać.

Po raz kolejny proszę – twórzcie skomplikowane, bezpieczne hasła do Play24, miejcie inne niż do maila czy konta na Facebooku. Nie wpisujcie go na podejrzanych stronach czy w mailach, nawet do PLAY – mamy inne metody weryfikacji.

oraz aktualizacja:

Wiemy już więcej na ten temat. Dodatkowo jeszcze wczoraj udało nam się wdrożyć uzupełniające rozwiązanie/zabezpieczenie. W momencie wykonania doładowania wysyłamy SMS na numer, który ma być obciążony. Jeśli sam zlecasz doładowanie masz potwierdzenie akcji, jeśli nie – jak najszybciej zgłoś sytuację do nas.

Co ciekawe, numer abonamentowy, z którego doładowywaliśmy numer na kartę, nie dostał wspomnianego SMSa z informacją o doładowaniu.

I co teraz

Warto podkreślić, ze choć proces autoryzacji zmiany numeru telefonu na który przychodzą kody SMS w Play jest dość kuriozalny, to pierwszym etapem ataku jest zawsze przejęcie loginu i hasła do portalu 24.play.pl. Zmieńcie zatem swoje hasło – tak na wszelki wypadek. Po drugie sprawdźcie, czy macie aktywną usługę doładowanie konta na kartę z abonamentu i na wszelki wypadek ją wyłączcie. Sprawdzajcie także uważnie swoje faktury i zgłaszajcie reklamacje, jeśli tylko zauważycie coś podejrzanego.

Bardzo dziękujemy Magdzie, Adamowi, Sławkowi, Sewerynowi, Marcinowi, Kamilowi, Mirosławowi, Mateuszowi, Davidowi, Tomkowi, Pawłowi, Damianowi, Krzysztofowi i Michałowi za szybką akcję pomocy w testowaniu różnych scenariuszy ataku i ich dokumentację. To dzięki takim ludziom jak Wy ten serwis żyje :)