Развод через Авито-доставку Всем привет! Это мой первый пост здесь. Столкнулась с вот таким мошенничеством на авито (без перехода в другие мессенджеры, без липовых ссылок на оплату), всё в приложении, чинно и красиво. Разместила на авито объявление о продаже швейцарских мужских часов. Откликнулся покупатель, попросил отправить авито-доставкой и сбросить цену, чтобы покрыть расходы на отправку в Екатеринбург. Говорит, оплатил. Сразу же пришло сообщение от Авито (не в диалоге с покупателем, а в отдельном чате) с текстом, мол, у Вас покупатель, деньги зарезервированы, отправьте товар по трекер-номеру в Почте России, как только покупатель получит товар, деньги Вам переведем. Пошла на Почту, отправила, удостоверившись, что это номер доставки Авито и что действительно идет в Екатеринбург. Получила квитанцию. В один из дней покупатель пишет, что посмотрел по приложению Почты России, посылка пришла, но заберет ее завтра, так как почта уже закрыта. Завтра наступило, а ни ответа, ни привета от Авито не поступило. Залезла в приложение Почты России, вижу, что посылка уже вручена покупателю в Екатеринбурге. Стало сразу понятно, что что-то не то и под авито-доставку красиво замаскировано мошенничество. Вечером в день обнаружения развода пользователь Авито переименовался в Саня и тут уж последние сомнения развеялись. В интернете есть куча описаний схем разводов на Авито, но такую смогли найти только на сайте бизнес авито: "Уловка № 2: мошенник не платит, но получает товар Что происходит. Продавцу приходит сообщение будто от Авито: «Товар купили. Отнесите посылку в ПВЗ и отправьте по номеру заказа ХХХХХХ». Продавец приходит в пункт, сообщает оператору номер — посылка отправляется. Но оплата за неё так и не поступает на расчётный счёт. Когда предприниматель пытается выяснить, почему ему не перечислили деньги, и обращается в поддержку Авито, оказывается, что такой заказ у него никто не оформлял. В чём суть обмана. Мошенник заводит два аккаунта на Авито, оформляет заказ сам у себя, но не отправляет посылку. Благодаря этому трюку у него оказывается настоящий номер заказа: именно его обманщик присылает продавцу. Предприниматель приносит посылку в ПВЗ, оператор принимает её и отправляет мошеннику. Так происходит потому, что оператор видит: такой заказ действительно есть, но не знает, кто у кого его оформил на самом деле. Выходит, что эта посылка не имеет к продавцу никакого отношения, и он не может получить за нее деньги. Как не попасться. Загляните в Авито Pro. Если заказа с таким номером нет, не отправляйте товар, это мошенничество. Конечно, надо было знать, что Авито о новом покупателе и деньгах пишет прямо в чате с этим самым покупателем, но вопрос в том, как пользователь Авито с именем Авито и аватаркой Авито мог существовать на сайте Авито с 2013 года и переименовываться в Саню и обратно, непонятно. Со службой поддержки Авито общаться весело, как с роботом, искать мошенников в Екатеринбурге бессмысленно. Думаем обратиться в суд и подать иск на Авито за их фиговую работы службу безопасности, но юрист говорит, что по-видимому это тоже не вариант, так как непосредственный вред причинен мошенниками. Будьте осторожны! источник
Как потерять деньги на "Безопасной сделке Авито-доставка" Вероятно, как и у многих кто столкнулся с безответственностью, безразличием и просто человеческой глупостью уровня о которой нет права молчать — это мой первый пост на Пикабу. С чего все началось Началась это история за считанные дни до гонца года на фоне предпраздничной суеты и желания по старой традиции закончить все дела до наступления нового года. В это время ко мне на Авито обратился покупатель, желающий приобрести комплект панелей цветокоррекции и просил оформить сделку через Авито-доставку. Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился. На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито. В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут. В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог. Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома. На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?». Поиск ответов За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации. Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя. И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты. Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит. Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже. Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего: Как все было 28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю. В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени. 28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения) 28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально») Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания. 28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время. 28.12.20 / 19:20 По информации от BoxBerry посылка была выдана 28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально. Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной. 28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью) 28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег. 28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет. Занавес Теперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на support.avito.ru). До этого момента на вопросы о возможной причине взлома мне отвечали что нужно создавать более сложные пароли (видимо еще сложнее) и прочую штампованную ерунду не имеющую отношения к моей ситуации. Даже после того как были получены все необходимые ответы и позиция осталась не изменой: "Мы не знаем как вас взломали". На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. P.S. Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки. Источник