(https://i.postimg.cc/R05HgRmX/Payoneer.png) (https://postimages.org/)
Numerosos usuarios de Payoneer en Argentina informan que se despertaron y descubrieron que sus cuentas protegidas con 2FA fueron pirateadas y sus fondos fueron robados después de recibir códigos SMS OTP mientras dormían.
Payoneer es una plataforma de servicios financieros que ofrece servicios de pago digital y transferencia de dinero en línea. Es popular en Argentina porque permite a las personas ganar en monedas extranjeras sin pasar por las regulaciones bancarias locales.
A partir del fin de semana pasado, muchos usuarios de Payoneer en Argentina, cuyas cuentas estaban protegidas por autenticación de dos factores (2FA), reportaron haber perdido repentinamente el acceso a sus cuentas o simplemente iniciar sesión con billeteras vacías, perdiendo "años de trabajo" valorados en dinero que van desde los $5,000. a $60.000.
(https://i.postimg.cc/TwTW63pb/Payoneer-hacked.png) (https://postimages.org/)
Los usuarios informan que justo antes de que esto sucediera, recibieron un SMS solicitando la aprobación de un restablecimiento de contraseña en Payoneer, que no otorgaron. Muchos dicen que no hicieron clic en las URL y algunos afirman que ni siquiera vieron el SMS hasta que se completó el atraco.
Muchos de los afectados dijeron que sus fondos robados fueron enviados a una dirección de correo electrónico desconocida en el dominio 163.com.
Los periodistas locales han estado entrevistando a las víctimas y rastreando los ataques y descubrieron que los usuarios más afectados eran clientes de los proveedores de servicios móviles Movistar y Tuenti, y la mayoría usaba Movistar.
Esto ha levantado sospechas de que una reciente filtración de datos de Movistar puede estar detrás de los hackeos de cuentas, pero la filtración de datos no expuso las direcciones de correo electrónico de los usuarios, que son necesarias para restablecer las contraseñas en las cuentas de Payoneer.
(https://i.postimg.cc/fynWNHHr/Movistar-Argentina-Leaked-Download-Breach-Forums.png) (https://postimages.org/)
Otra teoría es que el proveedor de SMS utilizado para entregar códigos OTP fue violado, lo que permitió a los actores de amenazas acceder a los códigos enviados por Payoneer.
Lamentablemente, un comunicado oficial de Movistar compartido por el periodista Julio Ernesto López no aborda esta teoría, simplemente afirma que el proveedor de telecomunicaciones no es responsable de los mensajes enviados a través de su red. Sin embargo, Movistar dijo que han tomado medidas para bloquear los números utilizados en la campaña de smishing.
(https://i.postimg.cc/jj1d8qyK/Payoneer-hacked-2.png) (https://postimages.org/)
"Les informamos que Movistar no se hace responsable de los mensajes (ni de su contenido) que terceros envíen utilizando su red", se lee en el comunicado.
"Sin perjuicio de lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido este tipo de comunicaciones".
Payoneer aún no ha proporcionado respuestas específicas sobre el ataque, pero reconoció el problema y mencionó que está trabajando con las autoridades para abordar el fraude, que cree que es el resultado del phishing.
El reportero técnico Juan Brodersen recibió una declaración de Payoneer que culpa a los usuarios, alegando que hicieron clic en las URL en los textos SMS de phishing y luego ingresaron sus datos de inicio de sesión en páginas de phishing.
Declaración de Payoneer
(https://i.postimg.cc/3RDrzMZG/Payoneer-statement.png) (https://postimages.org/)
Sin embargo, muchos afectados por los hackeos de cuentas afirman que no hicieron clic en enlaces de phishing, acusando a Payoneer de intentar desviar la responsabilidad y no reconocer un posible error o vulnerabilidad dentro de la plataforma.
Además, López declaró que Payoneer requiere que se ingrese un nuevo código OTP de SMS cuando agrega una nueva dirección de destino y luego nuevamente cuando transfiere dinero. Si se trataba de un ataque de phishing que robaba códigos OTP para restablecer la contraseña, los actores de la amenaza no deberían haber tenido acceso a los códigos OTP posteriores necesarios para estas transacciones.
Si bien los ataques pueden ser permitidos por un error de omisión de 2FA, como se vió el año pasado con Comcast, es probable que otros países se vean afectados por los ataques.
Debido a esto, el mecanismo preciso del ataque sigue sin estar claro, con varias hipótesis en juego. Una debilidad significativa en el sistema de Payoneer es su dependencia de 2FA basado en SMS, agravada aún más por el proceso de recuperación de contraseña de la plataforma, que solo requiere un código SMS.
Payoneer ante la solicitud de comentario sobre lo anterior, el estado de su investigación y si planean ofrecer restitución en caso de que se descubra que una debilidad en su sistema es la fuente de los ataques, no ha declarado aun.
Hasta que la situación se aclare sobre quién tiene la culpa y qué sucedió exactamente, se recomienda a los usuarios de Payoneer en Argentina que retiren fondos de sus cuentas o deshabiliten la 2FA basada en SMS y restablezcan la contraseña de su cuenta.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/