阿根廷 Payoneer 支付平台用户大规模被盗

据报导，发动攻击的骇客入侵了用于向 Movistar 客户发送双重认证（2FA）的短信关卡（ SMS gatway 平台使用这种方法来节省成本），而且为了获得每一位 Payoneer 用户的电子邮件地址（用以更改其密码并进行交易），骇客建立了一个钓鱼网站（phishing ），利用被破坏的 SMS 关卡实时访问的电子邮件+电话+2FA，骇客就能更改密码、访问帐户并进行转账，因为他们能持续监看发送到 Movistar 电话的2FA。

就这样，受害者在夜里收到许多条双重认证（2FA）的短信，然就陇只能眼睁睁看着帐户被清空。而且，骇客还有几个星期前就已经被泄露的电子邮件+电话库，而在这种情况下他们就直接能进行双重认证。

倒楣的是，电话公司 Movistar 在获悉之后发出的官方声明并不打算负责，只强调电信业者对网络上接收到的讯息不负有责任。但是，Movistar 公司表示，他们已采取措施封锁诈骗活动中使用的号码。

Update Payoneerhacked@MovistarArg aclara que ellos solo reciben el mensaje y no tienen responsabilidad.
Concuerdo. El problema está en el gateway usado por @Payoneer en la última milla para llega a Movistar https://t.co/56SLbrTrII pic.twitter.com/ZlmewSEbrl

— Julio Ernesto Lopez (@julitolopez) January 18, 2024

其公告强调：“Movistar 对于第三方使用其网络发送的消息（或其内容）不承担任何责任。尽管如此，我们还是针对了那些客户回报的号码采取了预防措施。”

Payoneer 尚未提供有关此攻击的具体答案，但承认了该问题，并表示正在与当局合作解决该诈欺行为，该公司认为这是网络钓鱼造成的事件。

记者也表示，Payoneer 有一份声明将责任归咎于用户，声称他们点击了网络钓鱼短信中的 URL，然后又在网络钓鱼页面上输入了凭证。才造成的局面。

然而，许多受到帐户泄露影响的人表示，他们没有点击网络钓鱼链接，指责 Payoneer 试图逃避责任，并且未能识别平台中潜在的错误或漏洞。

虽然骇客极可能是绕过“双重认证”漏洞，但是他们发动攻击的确切机制目前仍不清楚，有多种假设。

而 Payoneer 系统的主要弱点之一，就是其高度依赖短信的双重认证，而该平台的密码恢复过程（仅需要短信代码）更加剧了这一弱点。

在弄清楚到底是发生了什么情况之前，建议阿根廷的 Payoneer 用户先将帐户里的资金实施保护，或禁用短信的双重认证机制，并重置其帐户密码。

Hackearon una billetera digital y vaciaron cuentas en dólares de usuarios argentinos