De nombreux utilisateurs de Payoneer en Argentine rapportent s’être réveillés pour découvrir que leurs comptes protégés par 2FA avaient été piratés et des fonds volés après avoir reçu des codes OTP par SMS pendant qu’ils dormaient.
Payoneer est une plateforme de services financiers proposant des services de transfert d’argent en ligne et de paiement numérique. Il est populaire en Argentine car il permet aux gens de gagner en devises étrangères tout en contournant les réglementations bancaires locales.
À partir du week-end dernier, de nombreux utilisateurs de Payoneer en Argentine, dont les comptes étaient protégés par une authentification à deux facteurs( 2FA), ont déclaré avoir soudainement perdu l’accès à leurs comptes ou simplement se connecter à des portefeuilles vides, perdant des « années de travail » d’une valeur allant de 5 000 $à 60 000$.
Les utilisateurs rapportent que juste avant que cela ne se produise, ils ont reçu un SMS demandant l’approbation d’une réinitialisation de mot de passe sur Payoneer, qu’ils n’ont pas accordé. Beaucoup disent qu’ils n’ont pas cliqué sur les URL, et certains affirment même ne pas avoir vu le SMS avant la fin du braquage.
De nombreuses personnes touchées ont déclaré que leurs fonds volés avaient été envoyés à une adresse électronique inconnue au 163.com domaine.
Des journalistes locaux ont interviewé des victimes et suivi les piratages et ont découvert que les utilisateurs les plus touchés étaient des clients des fournisseurs de services mobiles Movistar et Tuenti, la majorité utilisant Movistar.
Cela a soulevé des soupçons selon lesquels une récente fuite de données Movistar pourrait être à l’origine des piratages de comptes, mais la fuite de données n’a pas exposé les adresses e-mail des utilisateurs, qui sont nécessaires pour réinitialiser les mots de passe sur les comptes Payoneer.
Une autre théorie est que le fournisseur de SMS utilisé pour fournir les codes OTP a été violé, permettant aux acteurs de la menace d’accéder aux codes envoyés par Payoneer.
Malheureusement, une déclaration officielle de Movistar partagée par le journaliste Julio Ernesto Lopez n’aborde pas cette théorie, déclarant simplement que le fournisseur de télécommunications n’est pas responsable des messages envoyés via son réseau. Cependant, Movistar a déclaré avoir pris des mesures pour bloquer les numéros utilisés dans la campagne fracassante.
« Nous vous informons que Movistar n’est pas responsable des messages (ou de leur contenu) que des tiers envoient via son réseau », indique le communiqué. (traduit automatiquement)
« Nonobstant ce qui précède, nous avons pris des mesures préventives avec les numéros à partir desquels certains clients ont signalé avoir reçu de telles communications. »
Payoneer n’a pas encore fourni de réponses spécifiques sur l’attaque, mais a reconnu le problème et a mentionné qu’il travaillait avec les autorités pour lutter contre la fraude, qui, selon lui, est le résultat du phishing.
Le journaliste technique Juan Brodersen a reçu une déclaration de Payoneer qui blâme les utilisateurs, alléguant qu’ils ont cliqué sur les URL dans les textes de phishing SMS, puis ont entré leurs informations de connexion sur les pages de phishing.
Cependant, de nombreuses personnes touchées par les piratages de comptes déclarent qu’elles n’ont pas cliqué sur des liens de phishing, accusant Payoneer de tenter de détourner la responsabilité et de ne pas reconnaître une erreur ou une vulnérabilité potentielle au sein de la plate-forme.
De plus, Lopez a déclaré à Breachtrace que Payoneer nécessite la saisie d’un nouveau code OTP SMS lorsque vous ajoutez une nouvelle adresse de destination, puis à nouveau lorsque vous virez de l’argent. S’il s’agissait d’une attaque de phishing volant des codes OTP pour la réinitialisation du mot de passe, les auteurs de la menace n’auraient pas dû avoir accès aux codes OTP ultérieurs requis pour ces transactions.
Bien que les piratages puissent être autorisés par un bogue de contournement 2FA, comme nous l’avons vu l’année dernière avec Comcast, d’autres pays seraient probablement affectés par les attaques.
Pour cette raison, le mécanisme précis de l’attaque reste flou, avec diverses hypothèses en jeu. Une faiblesse importante du système de Payoneer est sa dépendance à l’A2F basée sur SMS, aggravée par le processus de récupération de mot de passe de la plate-forme, qui ne nécessite qu’un code SMS.
Breachtrace a contacté Payoneer pour lui demander de commenter ce qui précède, l’état d’avancement de son enquête et s’il envisageait d’offrir une restitution au cas où une faiblesse de son système serait à l’origine des piratages, mais nous n’avons pas encore eu de nouvelles.
Jusqu’à ce que la situation soit clarifiée sur qui est à blâmer et ce qui s’est exactement passé, il est conseillé aux utilisateurs de Payoneer en Argentine de retirer des fonds de leurs comptes ou de désactiver le 2FA basé sur SMS et de réinitialiser le mot de passe de leur compte.
……………………………………………………………………………………………………………………………………………………………………………………………..
Mise à jour 1/20 – Un porte-parole de Payoneer a envoyé à Breachtrace le commentaire suivant:
Nous sommes au courant de cas récents où des fraudeurs ont incité un nombre très limité de clients à cliquer sur des liens vers des sites d’hameçonnage et à fournir leurs informations d’identification de compte.
Malheureusement, certains clients ont cliqué sur ces faux liens et partagé les informations de connexion de leur compte avec des fraudeurs ou ont rencontré de nouveaux modes de fraude qui ont compromis leurs téléphones portables.
Nous avons pris des mesures rapides pour empêcher les tentatives de fraude de se propager. Nous prenons la prévention de la fraude très au sérieux et nous travaillons en étroite collaboration avec les régulateurs, les opérateurs de téléphonie mobile et les forces de l’ordre de manière continue pour lutter contre la criminalité financière.
Nous continuons également à éduquer activement nos clients sur la façon de protéger leurs comptes et de protéger leurs informations confidentielles.
En ce qui concerne la restitution, chaque cas est différent, alors même si nous ne pouvons pas confirmer que les fonds peuvent être récupérés dans chaque cas, nous travaillons sans relâche pour protéger les fonds des clients et récupérer tout ce qui est possible.