Jak doładować sobie numer na kartę z cudzego abonamentu PLAY – instrukcja dla oszustów

Na początku tygodnia mogliście przeczytać o tym, że w PLAY pojawiają się przypadki oszustw. Złodzieje wykorzystują znajomość haseł do kont Play24 i doładowują cudze konta, zostawiając abonentów z rachunkiem powiększonym o 150 złotych. Jak to w ogóle możliwe?

Mechanizm oszustwa został wyjaśniony przez jednego z użytkowników forum PLAY. Może to być sposób, w jaki działali złodzieje, gdyż ekipie z serwisu Zaufana Trzecia Strona udało się odtworzyć warunki przekrętu i… doładować cudze konto bez zgody abonenta.

Trzeba wyjaśnić, że żeby doładować komuś numer na kartę w PLAY, należy potwierdzić taką operację przez podanie hasła jednorazowego, które jest wysyłane na nasz numer z serwisu Play24. Oszuści wpadli jednak na pomysł, żeby podmienić numer do haseł jednorazowych, i w ten sposób potwierdzenie o doładowaniu konta na kartę nie trafi na nasz numer, a na numer wskazany przez oszusta. Wykorzystuje tu się lukę w Play24, który powinien wysyłać informację o zmianie numeru haseł jednorazowych nie tylko na nowy numer, ale też ten „stary”. Nie robi tego – wysyła jednorazowy kod autoryzacji tylko na nowy numer, a stary pomija – nie trafia tam nawet powiadomienie, że coś zmieniło się na naszym koncie Play24. Odtąd złodziej ma właściwie pełną kontrolę nad kontem, a abonent nie ma o tym pojęcia. Najłatwiej to wykorzystać, sprzedając „lewe” doładowania przez internet.

JanuT z blogu Play napisał:

Przedstawiam sposób jak to zrobić (ominąć problem generowania hasła na numer właściciela konta):
1. Załóżmy, że nasz numer do haseł jednorazowych to 777 777 777 (szczęśliwe-nieszczęśliwe siódemki ).
2. Załóżmy, że numer oszusta to 666 666 666 (no comments ).
3. Oszust loguje się do Play24 (www) – sposób w jaki wszedł w posiadanie loginu i hasła pomijam.
4. Oszust wchodzi w zakładkę „Mój profil”- bez dodatkowej autoryzacji (w skrócie BDA).
5. Oszust usuwa numer (jeśli jest – bo może go tam nie być) „Dedykowany numer do haseł jednorazowych SMS” czyli 777 777 777 naciskając mały krzyżyk po prawej stronie obok numeru – BDA (Play24 nie potwierdza tej operacji poprzez wysłanie kodu SMS na numer 777 777 777 – jest to krytyczny moment całego „triku” i wina leży po stronie Play/P4).
6. Oszust wpisuje w tamto puste teraz pole swój numer 666 666 666 i zatwierdza.
7. JEST AUTORYZACJA – Play24 wysyła kod SMS NA NOWY NUMER 666 666 666.
8. Oszust otrzymuje kod na swój numer i wpisuje go w Play24 i zatwierdza.
9. Play24 przykuje kod i od tego momentu numer do autoryzacji dowolnej operacji to numer oszusta 666 666 666.
10. Oszust przeprowadza dowolne operacje na koncie (nawet wymagające hasła) – robi sobie tyle doładowań ile chce, na tyle numerów ile chce, z tylu podpiętych numerów abonamentowych z ilu chce.
11. Ponieważ po wystawieniu faktury właściciel konta się zorientuje i jest limit 150zł na numer abonamentowy miesięcznie, to po doładowaniu (po sprzedaży doładowań) od razu kasuje swój numer 666 666 666 z Play24 tak jak to opisałem w p.5.
12. Oszust wylogowywuje się.

Całość operacji, od momentu zalogowania do momentu wylogowania łącznie z doładowaniem 3 numerów po 50zł to około 100 sekund.

Ekipie z blogu Zaufana Trzecia Strona udało się kilkukrotnie wykorzystać ten sposób, by doładować numer na kartę „bez wiedzy” osoby biorącej udział w eksperymencie. Sposób nie zadziałał za każdym razem, kiedy podejmowano się eksperymentu, ale okazał się rzeczywiście skuteczny.

Patent wykorzystywał tak naprawdę dwie rzeczy – ułomność systemu Play24, ale przede wszysytkim znajomość loginu i hasła do konta abonenta. Złodziej w jakiś sposób musi wejść w posiadanie takiego hasła. Dlatego kluczową sprawą jest to, by nie korzystać z jednego hasła do wielu portali i serwisów – jak widać, to może skończyć się wymierną stratą pieniężną.

Właściwie to nic się nie stanie, jeśli teraz zmienicie swoje hasło do Play24 – tak na wszelki wypadek. Przy okazji możecie sprawdzić, czy macie aktywną usługę doładowanie konta na kartę z abonamentu. W panelu sterowania usługami można ją wyłączyć.

Rzecznik sieci PLAY zapewnił, że sieć zajmuje się sprawą, i że każdy tego typu przypadek będzie rozpatrywany – nie bójcie się ich zgłaszać. Zaapelował też o tworzenie trudnych, bezpiecznych haseł do serwisu Play24 i przekazał przydatną informację:

Wiemy już więcej na ten temat. Dodatkowo jeszcze wczoraj udało nam się wdrożyć uzupełniające rozwiązanie/zabezpieczenie. W momencie wykonania doładowania wysyłamy SMS na numer, który ma być obciążony. Jeśli sam zlecasz doładowanie masz potwierdzenie akcji, jeśli nie – jak najszybciej zgłoś sytuację do nas.

Na blogu PLAY czytamy jeszcze, że nie informowanie „starego” numeru o zmianie numeru haseł jednorazowych ma swoje podstawy. Sami oceńcie, czy jest to sensowne wyjaśnienie. Rzecznik PLAY napisał:

W komentarzach czytam, że nie rozumiecie dlaczego zmiana numeru do haseł jednorazowych nie jest potwierdzana na dotychczasowym numerze. Nie jest to żadna luka czy błąd systemu. Odpowiedź jest bardzo prosta – to wynika z przeprowadzonych wśród Klientów badań. W przypadku zgubienia telefonu taka szybka i potrzebna zmiana nie byłaby możliwa. Pamiętajcie, że pierwszym punktem zawsze jest logowanie do Play24, gdzie oszuści z jakiegoś źródła muszą uzyskać Wasze loginy i hasła.

Na chwilę obecną wprowadzono kilka zmian. Teraz nawet jeśli ktoś włamie się na konto Play24 (co bez znajomości hasła jest bardzo mało prawdopodobne), to zostaniemy poinformowani o tym, że zlecono doładowanie telefonu na kartę z naszego abonamentu. SMS z hasłem otrzymamy na numer, z którego będzie pobierane doładowanie (do którego rachunku byłoby doliczone obciążenie), nawet jeśli w serwisie ustawiono inny numer do haseł jednorazowych. Tak samo ma się sprawa z dodaniem nowego numeru do haseł jednorazowych – abonent jest każdorazowo o tym informowany przez wiadomość SMS. To bardzo dobrym pomysł. Tyle, że tego typu powiadomienie powinno działać od samego początku istnienia tej usługi, nie sądzicie?

źródło: forum Play, blog Play, Zaufana Trzecia Strona