Contas Payoneer na Argentina hackeadas em ataques de bypass de 2FA
22 de Janeiro de 2024

Vários usuários do Payoneer na Argentina relatam que acordaram para descobrir que suas contas protegidas por autenticação de dois fatores (2FA) foram hackeadas e fundos foram roubados após receberem códigos OTP via SMS enquanto estavam dormindo.

Payoneer é uma plataforma de serviços financeiros que fornece transferência de dinheiro online e serviços de pagamento digital.

É popular na Argentina porque permite às pessoas ganhar em moedas estrangeiras, contornando as regulamentações bancárias locais.

No último fim de semana, muitos usuários do Payoneer na Argentina, cujas contas estavam protegidas pela autenticação de dois fatores (2FA), relataram a perda súbita do acesso às suas contas ou simplesmente ao fazer login em carteiras vazias, perdendo "anos de trabalho" em dinheiro, variando de 5.000 a 60.000 dólares.

Os usuários relatam que pouco antes disso acontecer, eles receberam um SMS solicitando aprovação para uma redefinição de senha no Payoneer, que eles não concederam.

Muitos dizem que não clicaram nos URLs, e alguns afirmam não ter visto o SMS até depois que o roubo já havia sido concluído.

Muitos afetados disseram que seus fundos roubados foram enviados para um endereço de e-mail desconhecido no domínio 163.com.

Jornalistas locais têm entrevistado vítimas e rastreado os hacks e descobriram que a maioria dos usuários afetados eram clientes dos provedores de serviços móveis Movistar e Tuenti, com a maioria usando a Movistar.

Isso levantou suspeitas de que um recente vazamento de dados da Movistar pode estar por trás dos hacks de contas, mas o vazamento de dados não expôs os endereços de e-mail dos usuários, que são necessários para redefinir as senhas nas contas do Payoneer.

Outra teoria é que o provedor de SMS usado para enviar códigos OTP foi violado, permitindo que os atores da ameaça acessassem os códigos enviados pelo Payoneer.

Infelizmente, uma declaração oficial da Movistar compartilhada pelo jornalista Julio Ernesto Lopez não aborda essa teoria, simplesmente afirmando que a provedora de telecomunicações não é responsável por mensagens enviadas através de sua rede.

No entanto, a Movistar disse ter tomado medidas para bloquear os números usados na campanha de smishing.

"Informamos que a Movistar não é responsável pelas mensagens (ou seu conteúdo) que terceiros enviam usando sua rede", lê-se no comunicado.

"Apesar disso, tomamos medidas preventivas com aqueles números dos quais alguns clientes relataram ter recebido tais comunicações."

Payoneer ainda não forneceu respostas específicas sobre o ataque, mas reconheceu o problema e mencionou que está trabalhando com as autoridades para combater a fraude, que acredita ser resultado de phishing.

O repórter de tecnologia Juan Brodersen recebeu uma declaração da Payoneer que colocou a culpa nos usuários, alegando que eles clicaram nos URLs nos textos de phishing por SMS e depois inseriram seus detalhes de login nas páginas de phishing.

No entanto, muitos afetados pelos hacks de contas afirmam que não clicaram nos links de phishing, acusando a Payoneer de tentar desviar a responsabilidade e falhar em reconhecer um possível erro ou vulnerabilidade dentro da plataforma.

Além disso, Lopez disse ao BleepingComputer que o Payoneer exige um novo código OTP por SMS para ser inserido quando você adiciona um novo endereço de destino e, novamente, quando você transfere dinheiro.

Se este fosse um ataque de phishing roubando códigos OTP para a redefinição de senha, os atores da ameaça não deveriam ter tido acesso aos códigos OTP posteriores necessários para essas transações.

Embora os hacks possam ser permitidos por um bug de desvio de 2FA, como vimos no ano passado com a Comcast, outros países provavelmente seriam afetados pelos ataques.

Devido a isso, o mecanismo preciso do ataque permanece incerto, com várias hipóteses em jogo.

Uma fraqueza significativa no sistema Payoneers é seu uso de 2FA baseado em SMS, ainda mais agravada pelo processo de recuperação de senha da plataforma, que só exige um código SMS.

O BleepingComputer entrou em contato com o Payoneer para solicitar um comentário sobre o acima, o status de sua investigação e se eles planejam oferecer restituição no caso de uma fraqueza em seu sistema ser descoberta como a fonte dos hacks, mas ainda não recebemos resposta.

Até que a situação se esclareça sobre quem é o culpado e o que exatamente aconteceu, aconselha-se aos usuários do Payoneer na Argentina que retirem fundos de suas contas ou desativem o 2FA baseado em SMS e redefinam a senha de suas contas.

Atualização 1/20 - Um porta-voz do Payoneer enviou o seguinte comentário ao BleepingComputer:

Estamos cientes de casos recentes onde golpistas seduziram um número muito limitado de clientes a clicar em links para sites de phishing e fornecer suas credenciais de conta.

Infelizmente, alguns clientes clicaram nesses links falsos e compartilharam suas informações de login de conta com golpistas ou encontraram novos modos de fraude que comprometeram seus telefones móveis.

Tomamos medidas rápidas para conter as tentativas de fraude de se espalhar.

Levamos muito a sério a prevenção de fraudes e trabalhamos em estreita colaboração com reguladores, operadoras de celular e agências policiais de forma contínua para ajudar a combater o crime financeiro.

Também continuamos a educar ativamente nossos clientes sobre como manter suas contas seguras e proteger suas informações confidenciais.

Em relação à restituição, cada caso é diferente, então, embora não possamos confirmar que os fundos podem ser recuperados em cada instância, estamos trabalhando 24 horas por dia para proteger os fundos dos clientes e recuperar tudo o que for possível.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...