משתמשים רבים באפליקציית Payoneer בארגנטינה גילו שחשבונותיהם המוגנים ב- 2FA נפרצו ונגנבו מהם כספים. Payoneer הינה פלטפורמת שירותים פיננסיים המספקת שירותי העברת כספים מקוונים וביצוע תשלומים דיגיטליים – פופולרית מאד בארגנטינה, מכיוון שהיא מאפשרת לאנשים להרוויח כסף במטבע זר תוך עקיפת תקנות הבנקאות המקומיות.
החל מסוף השבוע שעבר, רבים ממשתמשי Payoneer בארגנטינה שחשבונותיהם היו מוגנים על ידי אימות דו-שלבי (2FA), דיווחו על איבוד גישה לחשבונות שלהם או שפשוט נכנסו לארנקים ריקים ואיבדו שנים של הכנסות בשווי שבין 5,000 דולר ל- 60,000 דולר. המשתמשים מדווחים שממש לפני שזה קרה, הם קיבלו הודעת SMS המבקשת אישור לאיפוס סיסמתם ב- Payoneer. רבים טוענים שהם לא לחצו על כתובות ה- URL שהופיעו במסרון ויש הטוענים שאפילו לא ראו את המסרון עד לאחר השלמת השוד. משתמשים רבים דיווחו שהכספים הגנובים שלהם נשלחו לכתובת דוא"ל לא ידועה בדומיין 163.com.
עיתונאים מקומיים ראיינו קורבנות וגילו שרוב המשתמשים שנפגעו היו לקוחות ספקי השירותים הסלולריים Movistar ו- Tuenti, כאשר רובם משתמשים ב- Movistar. עובדה זו העלתה חשד כי דלף מידע ב- Movistar עשוי להיות הגורם שמאחורי הפריצות לחשבונות משתמשי Payoneer , אולם דלף המידע לא חשף את כתובות האימייל של המשתמשים הנדרשות לאיפוס סיסמאות חשבונות ה- Payoneer שלהם. תיאוריה נוספת היא שספק ה- SMS המשמש להעברת קודי OTP נפרץ, מה שאיפשר לפושעי הסייבר לגשת לקודים שנשלחו על ידי Payoneer. הצהרה רשמית של Movistar ששיתף העיתונאי חוליו ארנסטו לופז, אינה מתייחסת לתיאוריה הזו ורק קובעת שספקית הטלקום אינה אחראית להודעות הנשלחות דרך הרשת שלה. עם זאת אמרה Movistar שהם נקטו בפעולה כדי לחסום את המספרים שנעשה בהם שימוש במתקפת הסייבר.
חברת Payoneer עדיין לא סיפקה תשובות ספציפיות לגבי מתקפת הסייבר, אך הכירה בבעיה והזכירה שהיא עובדת עם הרשויות כדי לטפל בהונאה, שלדעתה היא תוצאה של דיוג. כתב הטכנולוגיה חואן ברודרסן, קיבל הצהרה מ- Payoneer המטילה את האשמה על המשתמשים, בטענה שהם לחצו על כתובות ה- URL בטקסטים של מתקפת דיוג אשר הוצגו הבמסרונים ואז הזינו את פרטי ההתחברות שלהם בדפי הדיוג. עם זאת, רבים שהושפעו מהפריצות לחשבונותיהם מצהירים שהם לא לחצו על קישורי הדיוג ומאשימים את Payoneer בניסיון להסיט אחריות ולא להכיר בפגיעות פוטנציאלית הקיימת בפלטפורמה.
יתר על כן, לופז אמר לאנשי אתר BleepingComputer כי Payoneer דורשת הזנת קוד SMS OTP חדש כאשר מוסיפים כתובת יעד חדשה ואז שוב כאשר מעבירים כסף. אם הייתה זו מתקפת דיוג שגנבה קודי OTP לאיפוס הסיסמה, לא הייתה לפושעי הסייבר גישה לקודי OTP מאוחרים יותר הנדרשים לעסקאות אלו. בשל כך נותר לא ברור המנגנון המדויק של מתקפת הסייבר, כאשר עדיין קיימות השערות שונות. חולשה משמעותית במערכת של Payoneer היא ההסתמכות שלה על 2FA מבוסס SMS, נוסף על ידי תהליך שחזור הסיסמה של הפלטפורמה, הדורש רק קוד SMS.
תגובת דובר חברת Payoneer: "אנו מודעים למקרים האחרונים שבהם פיתו פושעי סייבר מספר מצומצם מאוד של לקוחות ללחוץ על קישורים לאתרי דיוג ולספק את אישורי החשבון שלהם. למרבה הצער, חלק מהלקוחות לחצו על קישורים זדוניים אלו ושיתפו את פרטי הכניסה לחשבון שלהם עם פושעי הסייבר. נקטנו פעולה מהירה כדי להכיל את ניסיונות ההונאה. אנו מתייחסים ברצינות רבה למניעת הונאות ואנחנו עובדים בשיתוף פעולה הדוק עם רגולטורים, ספקי סלולר וסוכנויות אכיפת החוק על בסיס מתמשך, כדי לסייע במאבק בפשיעה הפיננסית. אנו גם ממשיכים ללמד את הלקוחות שלנו באופן פעיל כיצד לשמור על בטיחות החשבונות שלהם ולהגן על המידע הסודי שלהם. בנוגע להחזר – כל מקרה הוא שונה, כך שאמנם איננו יכולים לאשר שניתן להחזיר כספים בכל מקרה, אך אנו עובדים סביב השעון כדי להגן על כספי הלקוחות ולהחזיר כספים למי שאפשר".
עד שהמצב יתברר ויתגלה מי אשם ומה בדיוק קרה, מומלץ למשתמשי Payoneer בארגנטינה למשוך כספים מהחשבונות שלהם או להשבית 2FA מבוסס SMS ולאפס את סיסמת החשבון שלהם.
