На один из наших корпоративных сотовых телефонов была почти успешная хакерская атака.
К счастью, довольно быстро удалось разобраться — откуда растут ноги.
Мы обнаружили очередную дыру в защите Мегафона, о чём с вами и делимся.
Так как она касается всех абонентов сети.
Несколько дней назад я сообщил в абонентскую службу о дыре на сайте Мегафона. На момент времени 08.04.2013 уязвимость не исправили.
Схема изящная и простая, как топор. Позволяет воровать деньги с вашего счёта без вашего ведома.
Итак, у Мегафона есть нужная и полезная вещь — СервисГид. Где можно управлять услугами без длительного голосового общения «ваш звонок очень важен для нас».
И вход в него сделан правильно, не позволяя выполнять взлом через подбор пароля. Простая, но капча присутствует.
Всё бы хорошо, но капча вредит юзабилити сайта, и дизайнеры иногда побеждают здравый смысл. Есть портал, дублирующий функции телефона messages.megafon.ru, вход в который не защищён от автоматического перебора паролей:
Всё бы хорошо, но пара логин-пароль для входа используется тот же, что и для СервисГида.
СервисГид позволяет управлять услугами, подключать тарифы, настраивать уведомления.
Что делали воры?
- С помощью этого смс-сайта подобрали (видимо, простым перебором) пароль от СервисГида, и вошли
- Они получают доступ и в СервисГид, и к чтению входящих смс, и к отправке SMS.
- Выполняют подписку на платные сервисы (дурацкий МегафонПро, моё оценочное мнение)
- По подписке приходит SMS с кодом подтверждения
- Вводят этот код на сайте подписки
- Получают агентские проценты от Мегафона за списанные деньги с вашего счета по платной подписке
Обработав так автоматически и массово тысячи телефонов — можно заработать неприличные деньги.
К чести специалистов оператора сотовой связи, в момент входа в СервисГид и в этот «SMS-сайт» приходит SMS-уведомление.
В моём случае вход в SMS-портал произошёл в 00:23 минуты, в это время я бодрствовал, и сразу через мобильный интернет сменил пароль от СервисГида на более стойкий.
К сожалению, смена пароля не разлогинивает пользователя с SMS-сайта Мегафона, и злоумышленики могут там сидеть до сих пор.
Воры не успели войти в СервисГид раньше меня. Возможно, их частый ввод уже не актуального пароля в сам СервисГид привёл к его блокировки. Но если бы пароль я не успел поменять — кто знает, что они учудили.
В течение суток дважды приходили коды подтверждения платных подписок и продолжают приходить.
Меры защиты от этой атаки для Мегафона:
Поставить защиту от автоматического входа сюда messages.megafon.ru и больше так не шутить.
Меры защиты для абонентов:
0. Вообще не пользоваться СервисГидом, но если уже начали — 1. Поставить более стойкий пароль на СервисГид, например
2. В любом случае сменить пароль от СервисГида
3. В СервисГиде или в абонентской службе заблокировать применение любых платных сервисов или подписок, снимание денег с коротких номеров. Для абонентов Мегафона — это бесплатная услуга "Стоп-контент".
Спасибо за внимание. Всем желаю безопасной связи и безглючного биллинга.
Автор: netAn
