10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

Мошенники воруют деньги со счетов клиентов Мегафон

Главная / Архив новостей / Мошенники воруют деньги со счетов клиентов Мегафон
Мошенники воруют деньги со счетов клиентов Мегафон

Согласно опубликованной на популярном сайте ИТ-специалистов Harbahabr новости в системе самообслуживания Мегафона обнаружена уязвимость, позволяющая похищать денежные средства клиентов. Несмотря на то, что представители оператора были оперативно уведомлены о бреши в системе, она не тем не менее не устранена и продолжает представлять угрозу для многих миллионов абонентов компании.

Непосредственно брешь была обнаружена исследователями информационной безопасности в веб-сервисе самообслуживания «Сервис-Гид», через который пользователи могут самостоятельно изменять настройки своего счёта, оперативно подключать и отключать услуги, не обращаясь в call-центр оператора. Не так давно Мегафон в целях противодействия подбора паролей установил проверку авторизации человеком. Проверка осуществляется с помощью графической «капчи» - изображения символов кода, которые человеку необходимо распознать и набрать в поле ввода. Однако алгоритм генерации кода «капчи» зачастую требует от пользователей распознавания слишком сложных наборов символов, которые человеку не удаётся с первого раза распознать и ввести правильно, и многие абоненты Мегафона предпочитают пользоваться другим порталом — messages.megafon.ru, который никак не защищён от автоматического перебора паролей и имеет одинаковые учетные данные с «Сервис-Гидом».

Именно messages.megafon.ru и воспользовались мошенники, чтобы подобрать пароли и получить доступ к порталу для управления SMS, в том числе и их отправке. Доступ к сайту позволяет злоумышленникам подписывать с помощью SMS клиентов на платные информационные сервисы, что вознаграждается самим Мегафоном процентами по агентской программе за платную подписку.

Ввиду полного бездействия самого оператора по устранению бреши его клиентам следует вспомнить принцип «Спасение утопающих дело рук самих утопающих». Смена пароля на более сложный и длинный (например, с помощью генератора паролей) и блокировка любых платных SMS-сервисов и подписок позволит обезопасить себя от данной «дыры» в безопасности телефонной компании.

Надо сказать, что способ защиты посредством «капчи» считается устаревшим для подобных сервисов. Так, Билайн и МТС при доступе пользователей в свои личные кабинеты не утруждают клиентов требованием распознавания и ввода кодов. Например, блокировка может осуществляется по IP-адресу после нескольких неправильных попыток и автоматически сниматься через несколько минут. Такой способ не создаст никаких неудобств пользователям, но будет непреодолим для взломщиков, пытающихся подобрать пароль методом перебора.

Учитывая высокую активность нежелательных рекламных массовых рассылок с IP-адресов, принадлежащих автономной системе Мегафона AS31208 (см. «Мегафон не брезгует спам-рассылками»), последняя новость наводит на мысль о том, что либо компания испытывает острую нехватку грамотных специалистов по информационной безопасности, любо коммуникационные возможности оператора используются разного рода кибермошенниками не без негласного благословения самого Мегафона. Ни в то, ни в другое очень не хотелось бы верить, ведь если в первом случае речь идёт об обычном разгильдяйстве и непрофессионализме, то во втором просто о незаконной деятельности самого сотового оператора...



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

1839 просмотров