Ważne
Konkurs: Biegnę z Wiko

Jak doładować sobie numer na kartę z cudzego abonamentu PLAY – instrukcja dla oszustów

Na początku tygodnia mogliście przeczytać o tym, że w PLAY pojawiają się przypadki oszustw. Złodzieje wykorzystują znajomość haseł do kont Play24 i doładowują cudze konta, zostawiając abonentów z rachunkiem powiększonym o 150 złotych. Jak to w ogóle możliwe?

Mechanizm oszustwa został wyjaśniony przez jednego z użytkowników forum PLAY. Może to być sposób, w jaki działali złodzieje, gdyż ekipie z serwisu Zaufana Trzecia Strona udało się odtworzyć warunki przekrętu i… doładować cudze konto bez zgody abonenta.

Trzeba wyjaśnić, że żeby doładować komuś numer na kartę w PLAY, należy potwierdzić taką operację przez podanie hasła jednorazowego, które jest wysyłane na nasz numer z serwisu Play24. Oszuści wpadli jednak na pomysł, żeby podmienić numer do haseł jednorazowych, i w ten sposób potwierdzenie o doładowaniu konta na kartę nie trafi na nasz numer, a na numer wskazany przez oszusta. Wykorzystuje tu się lukę w Play24, który powinien wysyłać informację o zmianie numeru haseł jednorazowych nie tylko na nowy numer, ale też ten “stary”. Nie robi tego – wysyła jednorazowy kod autoryzacji tylko na nowy numer, a stary pomija – nie trafia tam nawet powiadomienie, że coś zmieniło się na naszym koncie Play24. Odtąd złodziej ma właściwie pełną kontrolę nad kontem, a abonent nie ma o tym pojęcia. Najłatwiej to wykorzystać, sprzedając “lewe” doładowania przez internet.

JanuT z blogu Play napisał:

Przedstawiam sposób jak to zrobić (ominąć problem generowania hasła na numer właściciela konta):
1. Załóżmy, że nasz numer do haseł jednorazowych to 777 777 777 (szczęśliwe-nieszczęśliwe siódemki ).
2. Załóżmy, że numer oszusta to 666 666 666 (no comments ).
3. Oszust loguje się do Play24 (www) – sposób w jaki wszedł w posiadanie loginu i hasła pomijam.
4. Oszust wchodzi w zakładkę “Mój profil”- bez dodatkowej autoryzacji (w skrócie BDA).
5. Oszust usuwa numer (jeśli jest – bo może go tam nie być) “Dedykowany numer do haseł jednorazowych SMS” czyli 777 777 777 naciskając mały krzyżyk po prawej stronie obok numeru – BDA (Play24 nie potwierdza tej operacji poprzez wysłanie kodu SMS na numer 777 777 777 – jest to krytyczny moment całego “triku” i wina leży po stronie Play/P4).
6. Oszust wpisuje w tamto puste teraz pole swój numer 666 666 666 i zatwierdza.
7. JEST AUTORYZACJA – Play24 wysyła kod SMS NA NOWY NUMER 666 666 666.
8. Oszust otrzymuje kod na swój numer i wpisuje go w Play24 i zatwierdza.
9. Play24 przykuje kod i od tego momentu numer do autoryzacji dowolnej operacji to numer oszusta 666 666 666.
10. Oszust przeprowadza dowolne operacje na koncie (nawet wymagające hasła) – robi sobie tyle doładowań ile chce, na tyle numerów ile chce, z tylu podpiętych numerów abonamentowych z ilu chce.
11. Ponieważ po wystawieniu faktury właściciel konta się zorientuje i jest limit 150zł na numer abonamentowy miesięcznie, to po doładowaniu (po sprzedaży doładowań) od razu kasuje swój numer 666 666 666 z Play24 tak jak to opisałem w p.5.
12. Oszust wylogowywuje się.

Całość operacji, od momentu zalogowania do momentu wylogowania łącznie z doładowaniem 3 numerów po 50zł to około 100 sekund.

Ekipie z blogu Zaufana Trzecia Strona udało się kilkukrotnie wykorzystać ten sposób, by doładować numer na kartę “bez wiedzy” osoby biorącej udział w eksperymencie. Sposób nie zadziałał za każdym razem, kiedy podejmowano się eksperymentu, ale okazał się rzeczywiście skuteczny.

Patent wykorzystywał tak naprawdę dwie rzeczy – ułomność systemu Play24, ale przede wszysytkim znajomość loginu i hasła do konta abonenta. Złodziej w jakiś sposób musi wejść w posiadanie takiego hasła. Dlatego kluczową sprawą jest to, by nie korzystać z jednego hasła do wielu portali i serwisów – jak widać, to może skończyć się wymierną stratą pieniężną.

Właściwie to nic się nie stanie, jeśli teraz zmienicie swoje hasło do Play24 – tak na wszelki wypadek. Przy okazji możecie sprawdzić, czy macie aktywną usługę doładowanie konta na kartę z abonamentu. W panelu sterowania usługami można ją wyłączyć.

Rzecznik sieci PLAY zapewnił, że sieć zajmuje się sprawą, i że każdy tego typu przypadek będzie rozpatrywany – nie bójcie się ich zgłaszać. Zaapelował też o tworzenie trudnych, bezpiecznych haseł do serwisu Play24 i przekazał przydatną informację:

Wiemy już więcej na ten temat. Dodatkowo jeszcze wczoraj udało nam się wdrożyć uzupełniające rozwiązanie/zabezpieczenie. W momencie wykonania doładowania wysyłamy SMS na numer, który ma być obciążony. Jeśli sam zlecasz doładowanie masz potwierdzenie akcji, jeśli nie – jak najszybciej zgłoś sytuację do nas.

Na blogu PLAY czytamy jeszcze, że nie informowanie “starego” numeru o zmianie numeru haseł jednorazowych ma swoje podstawy. Sami oceńcie, czy jest to sensowne wyjaśnienie. Rzecznik PLAY napisał:

W komentarzach czytam, że nie rozumiecie dlaczego zmiana numeru do haseł jednorazowych nie jest potwierdzana na dotychczasowym numerze. Nie jest to żadna luka czy błąd systemu. Odpowiedź jest bardzo prosta – to wynika z przeprowadzonych wśród Klientów badań. W przypadku zgubienia telefonu taka szybka i potrzebna zmiana nie byłaby możliwa. Pamiętajcie, że pierwszym punktem zawsze jest logowanie do Play24, gdzie oszuści z jakiegoś źródła muszą uzyskać Wasze loginy i hasła.

Na chwilę obecną wprowadzono kilka zmian. Teraz nawet jeśli ktoś włamie się na konto Play24 (co bez znajomości hasła jest bardzo mało prawdopodobne), to zostaniemy poinformowani o tym, że zlecono doładowanie telefonu na kartę z naszego abonamentu. SMS z hasłem otrzymamy na numer, z którego będzie pobierane doładowanie (do którego rachunku byłoby doliczone obciążenie), nawet jeśli w serwisie ustawiono inny numer do haseł jednorazowych. Tak samo ma się sprawa z dodaniem nowego numeru do haseł jednorazowych – abonent jest każdorazowo o tym informowany przez wiadomość SMS. To bardzo dobrym pomysł. Tyle, że tego typu powiadomienie powinno działać od samego początku istnienia tej usługi, nie sądzicie?

źródło: forum Play, blog Play, Zaufana Trzecia Strona

Komentarze

  • Tomasz Dąbrowa

    Czysty Geniusz.. ?? czekam na wersję Orange (jasne że żartuje)

  • 2451

    To ta nowa promocja Play, no limit?

  • Konrad Uroda-Darłak

    “sposób w jaki wszedł w posiadanie loginu i hasła pomijam” A w jaki sposób zrobiła to ZTS? :P Bo to jednak istotne, skoro jest to wymagane.

    • W źródłach jest link do ZTS :) W skrócie – osoby “poszkodowane” w eksperymencie wiedziały, co się wydarzy, ale nie były informowane przez Play24 o zmianach na ich koncie. Loginy i hasła należały do osób przeprowadzających próby, przecież nie hakowali losowych kont ;P

      • Konrad Uroda-Darłak

        Tak więc w moim odczuciu to eksperyment przeprowadzony przez ZTS jest słaby :x

  • stark2991

    Tłumaczenie Play żałosne.

    • www

      Jak każdej firmy, która została zhakowana.
      A nie! Przepraszam! Jest jeszcze tłumaczenie: w skradzionych dokumentach nie było nic godnego uwagi/były stare dane*
      *niepotrzebne skreślić.

      • wut

        zhakowana ha ha tumoku jeden , osoby którym to się stało odpowiedni sie nie zabezpieczyli i zostały im wykradzione hasła , a jak juz ktoś takie ma to nic nie stoi na przeszkodzie

  • Wykrycie takich “hakerów” powinno być bardzo łatwe ze względu na obowiązek rejestracji numerów -.-

    • VMortens

      A jednak Play wcale nie garnie się do brania odpowiedzialności i większość reklamacji odrzuca…

      • Nie znam statystyk.
        Z jednej strony rozumiem, że mogą odrzucać, bo:
        1 – należy odpowiednio zabezpieczyć swoje hasło
        2 – można wyłączyć usługę doładowania numeru na kartę z abonamentu

        Z drugiej strony:
        1 – dlaczego tak łatwo zmienić numer do haseł jednorazowych, bez informowania o tym sms’em na poprzedni numer?
        2 – czy nie można do usługi doładowania numeru na kartę z abonamentu dodać listę autoryzowanych numerów, które będzie można doładować? – takie rozwiązanie mam w swoim banku. Dodałem numery z których korzystam i tylko te mogę doładować bez dodatkowej autoryzacji

        • VMortens

          I w ogóle, czemu ta usługa jest dostępna domyślnie?

          • Pewnie podobnie jak jest to w przypadku roamingu i innych usług, które za sam status “aktywny” nie pobierają opłat. Weźmy np. pocztę głosową – domyślnie aktywna, ale można wyłączyć. Dla porównania – muzyka na czekanie- domyślnie nieaktywna, ale można włączyć (za opłatą).

      • Krzysiek Sylwerski

        Nie jest to prawda, reklamacje są rozpatrywane.

  • Franciszek Moczulski

    Punkt 3 i wszystko jasne.
    To też wina operatora?

    • Martin

      Obecnie hasło jest bardzo łatwo zdobyć. Z tego powodu stosuje się dwuskładnikową identyfikację. W przypadku Play24 jest ona niestety złudna.

      • Krzysiek Sylwerski

        Rzucam Ci wyzwanie – zdobądź mój login i hasło do Play24. Możesz komuś doładować konto za 50 zł. Zobaczymy jak “łatwo” Ci to pójdzie :)

        • Martin

          Konkretnej, nieznanej i zorientowanej w temacie bezpieczeństwa teleinformatycznego osobie nie jest tak łatwo podkraść hasło. Ale gdybym był właścicielem tego serwisu lub były by tutaj jakieś znane luki to mielibyśmy inną rozmowę ;).

  • Martin

    Albo Play zmodyfikował procedurę, albo nie zostało to opisane w artykule. Na numer usuwany przychodzą SMS’y informujące o takim zdarzeniu oraz o dodaniu nowego numeru. Sprawdziłem przed chwilą.

    Oczywiście jest to duża luka i do poprawki, ale obecnie mamy zarejestrowane numery i jakiś słup za to beknie.

    • Tak, na chwilę obecną Play wciska już powiadomienia i hasła SMS wszędzie, gdzie się da ;) Artykuł jest na bieżąco aktualizowany.

      Także opisany powyżej sposób na wydębienie doładowania nie działa – w przeciwnym wypadku nie trafiłby do publikacji ;D

      • Martin

        No rzeczywiście nie przyszło mi do głowy, że nie chcecie instruować oszustów :).

  • Martin

    Powiadomienie to jedno, ale zmiana numeru do haseł jednorazowych nie może odbywać się bez dodatkowego potwierdzenia.
    Tłumaczenie o ludziach gubiących telefony jest raczej słabe. W takim przypadku i tak trzeba odzyskać numer od operatora, aby móc z niego dalej korzystać a wtedy można by przy okazji zmienić ten numer w BOA (przy potwierdzeniu tożsamości danymi innymi niż te wyświetlane w Play24) lub w punkcie obsługi.

  • Paweł K

    To tylko kolejny argument na rzecz posiadania pre-paida zamiast abonamentu.

    • Jean Michel

      Tak, jak ktoś nie przeanalizuje co jest podstawą problemu to tak – być może dla niego to jest argument.

Logowani/Rejestracja jest chwilowo wyłączona