阿根廷 Payoneer 支付平台用戶大規模被盜

據報導，發動攻擊的駭客入侵了用於向 Movistar 客戶發送雙重認證（2FA）的簡訊關卡（ SMS gatway 平台使用這種方法來節省成本），而且為了獲得每一位 Payoneer 用戶的電子郵件地址（用以更改其密碼並進行交易），駭客建立了一個釣魚網站（phishing ），利用被破壞的 SMS 關卡實時訪問的電子郵件+電話+2FA，駭客就能更改密碼、訪問帳戶並進行轉賬，因為他們能持續監看發送到 Movistar 電話的2FA。

就這樣，受害者在夜裡收到許多條雙重認證（2FA）的簡訊，然就隴只能眼睜睜看著帳戶被清空。而且，駭客還有幾個星期前就已經被泄露的電子郵件+電話庫，而在這種情況下他們就直接能進行雙重認證。

倒楣的是，電話公司 Movistar 在獲悉之後發出的官方聲明並不打算負責，只強調電信業者對網路上接收到的訊息不負有責任。但是，Movistar 公司表示，他們已採取措施封鎖詐騙活動中使用的號碼。

Update Payoneerhacked@MovistarArg aclara que ellos solo reciben el mensaje y no tienen responsabilidad.
Concuerdo. El problema está en el gateway usado por @Payoneer en la última milla para llega a Movistar https://t.co/56SLbrTrII pic.twitter.com/ZlmewSEbrl

— Julio Ernesto Lopez (@julitolopez) January 18, 2024

其公告強調：「Movistar 對於第三方使用其網絡發送的消息（或其內容）不承擔任何責任。儘管如此，我們還是針對了那些客戶回報的號碼採取了預防措施。」

Payoneer 尚未提供有關此攻擊的具體答案，但承認了該問題，並表示正在與當局合作解決該詐欺行為，該公司認為這是網路釣魚造成的事件。

記者也表示，Payoneer 有一份聲明將責任歸咎於用戶，聲稱他們點擊了網路釣魚簡訊中的 URL，然後又在網路釣魚頁面上輸入了憑證。才造成的局面。

然而，許多受到帳戶洩露影響的人表示，他們沒有點擊網絡釣魚鏈接，指責 Payoneer 試圖逃避責任，並且未能識別平台中潛在的錯誤或漏洞。

雖然駭客極可能是繞過「雙重認證」漏洞，但是他們發動攻擊的確切機制目前仍不清楚，有多種假設。

而 Payoneer 系統的主要弱點之一，就是其高度依賴簡訊的雙重認證，而該平台的密碼恢復過程（僅需要簡訊代碼）更加劇了這一弱點。

在弄清楚到底是發生了什麼情況之前，建議阿根廷的 Payoneer 用戶先將帳戶裡的資金實施保護，或禁用簡訊的雙重認證機制，並重置其帳戶密碼。

Hackearon una billetera digital y vaciaron cuentas en dólares de usuarios argentinos