Как угоняют аккаунты на Wildberries и Ozon без взлома паролей

от

“Вместо пароля киберпреступники атакуют психологию и технические механизмы платформ. Завладеть учётной записью на маркетплейсе — значит получить доступ к деньгам, персональным данным и репутации, а часто и к другим сервисам. Именно поэтому стоит смотреть не только на собственные пароли, но и на слабые места в безопасности самих сервисов.”

Аккаунт на маркетплейсе, это не только логин

У большинства людей есть представление, что «угон аккаунта», это просто взлом пароля. На деле это недооценка угрозы. Аккаунт на Wildberries или Ozon, это слияние нескольких ценных активов: финансовых инструментов, личных данных, истории поведения и цифровой репутации.

  • Финансовые данные: Сохранённые банковские карты, кошельки (Ozon Карта, Wildberries Pay), данные для доставки, которые можно использовать для заказа товаров на чужое имя с оплатой с привязанной карты.
  • Личные данные: Паспортные данные (для заказов наложенным платежом или верификации), номера телефонов, адреса, почта. Эти данные идут на вторичный рынок или используются для социальной инженерии против других сервисов.
  • История покупок и поведение: Службы безопасности маркетплейсов частично строят профили риска на основе истории. У угнанного аккаунта эта история «чистая», что позволяет мошенникам дольше оставаться незамеченными, совершая заказы или выводя бонусы.
  • Доверие и репутация: Аккаунт, которому доверяют родственники или коллеги (например, для совместных покупок), можно использовать для мошенничества внутри социального круга.

цель атаки редко ограничивается просто входом в профиль. Чаще это цепочка действий: вход, изменение ключевых данных (привязанный номер, почта), вывод средств или бонусов, а затем использование «оболочки» аккаунта для дальнейших махинаций.

Не пароли, а токены: атака на механизмы авторизации

Современные маркетплейсы используют не только пароли, но и систему токенов и сессий для постоянного доступа с мобильных приложений. Угнать аккаунт можно, не зная пароля вовсе, если получить доступ к этим токенам.

Как это работает: После ввода логина и пароля (и часто кода из SMS) сервер выдаёт клиенту (браузеру или приложению) набор токенов — коротких уникальных строк. Они хранятся на устройстве и используются для последующих запросов, избавляя от постоянного ввода пароля. Эти токены имеют срок жизни — от нескольких часов до месяцев.

Если злоумышленник каким -то образом получит эти токены, он сможет подставить их в свои запросы к серверу и система признает его «авторизованным пользователем». Пароль при этом менять не нужно, а владелец может даже не заметить вторжения, пока не увидит подозрительный заказ или изменение данных.

Источники утечки токенов:

  • Вредоносное ПО на устройстве: Приложения, маскирующиеся под полезные утилиты или игры, могут сканировать хранилища других приложений в поисках таких данных.
  • Атака на сеть: Перехват незашифрованного или слабо зашифрованного трафика в публичных Wi -Fi сетях. Если приложение по какой -то причине не использует строгий протокол шифрования (HTTPS с корректной реализацией), токены могут «светиться» в передаваемых данных.
  • Уязвимости в самом приложении: Ошибки в коде мобильного приложения могут позволить другим приложениям на том же устройстве получить доступ к его внутреннему хранилищу.

Симуляция устройства: когда телефон становится клоном

Один из методов, который обходит многие двухфакторные проверки, — симуляция или клонирование устройства. Маркетплейсы, как и многие сервисы, для постоянного доступа часто привязывают сессию не только к аккаунту, но и к конкретному устройству, идентифицируемому по набору параметров.

Что такое «отпечаток» устройства: При первом входе с нового устройства система собирает технические данные: модель и версия ОС, разрешение экрана, список установленных шрифтов и приложений, часовой пояс, язык и другие параметры. Из этого набора формируется уникальный цифровой «отпечаток».

Мошенники используют специальные инструменты — эмуляторы или программы для спуфинга (подмены) — чтобы воссоздать на своём устройстве или сервере точный отпечаток устройства жертвы. Для системы это выглядит так, будто «старое, доверенное устройство» пользователя снова вышло онлайн, возможно, с другого IP -адреса. Это может не вызвать подозрений и не потребовать повторной двухфакторной аутентификации по SMS.

Такой метод особенно опасен, потому что он атакует не человеческий фактор (фишинг), а саму логику проверки безопасности платформы.

Социальная инженерия через поддержку

Технические методы — не единственный путь. Часто слабым звеном становится человеческий фактор в службе поддержки самого маркетплейса. Метод строится на убеждении оператора, что звонит или пишет настоящий владелец аккаунта, который «потерял доступ к телефону и почте».

Сценарий атаки:

  1. Мошенник собирает базовые данные о жертве из публичных источников: имя, фамилия, возможно, город, примерную дату регистрации (например, по данным из слитых баз).
  2. Он обращается в поддержку через чат или телефон, представляясь владельцем. Сообщает, что потерял SIM -карту и не может получить SMS, а почта тоже недоступна.
  3. Для «подтверждения» личности он предоставляет собранные персональные данные, номер карты (последние 4 цифры которой могли быть в утечке) или детали недавних заказов (если такие данные есть).
  4. Если процедура проверки в поддержке недостаточно строгая, оператор может переназначить аккаунт на новый номер телефона, предоставленный мошенником, или сбросить пароль. После этого легитимный владелец теряет доступ, а злоумышленник получает полный контроль.

Этот метод показывает, что безопасность аккаунта зависит не только от действий пользователя, но и от внутренних регламентов и обучения сотрудников службы поддержки платформы.

Кража сессии через фишинг и вредоносные приложения

Классический, но постоянно эволюционирующий метод — фишинг. Он направлен на получение логина, пароля и кода двухфакторной аутентификации.

Современный фишинг под маркетплейсы: Злоумышленники создают клон официального сайта или приложения с почти идентичным дизайном. Жертву могут привести туда через поддельное письмо от «службы безопасности» о подозрительной активности, смс о блокировке аккаунта или заказе, или через рекламное объявление с невероятно низкой ценой на популярный товар.

Пользователь вводит свои данные на поддельной странице. Часто после этого его сразу же перенаправляют на настоящий сайт, чтобы не вызвать подозрений. Введённые же данные (логин, пароль) отправляются мошеннику.

Но просто пароля сегодня часто недостаточно из -за SMS -подтверждения. Поэтому следующий шаг — моментальная атака. Мошенник тут же использует украденные логин и пароль на настоящем сайте, инициируя процесс входа. На телефон жертвы приходит настоящий код от маркетплейса. Параллельно на фишинговой странице появляется второе поле: «Введите код из SMS для подтверждения». Пользователь, думая, что это часть процесса входа на поддельном сайте, вводит и этот одноразовый код, который немедленно передаётся мошеннику для завершения входа на реальной платформе.

Что происходит с угнанным аккаунтом

Получив контроль, мошенники действуют быстро и по отработанным схемам.

Цель мошенника Действия в угнанном аккаунте Результат для владельца
Быстрый денежный вывод Совершение дорогих заказов на электронику или товары -дропшиппинга с доставкой на адрес «перекупщика». Оплата с привязанной карты или использованием накопленных бонусов. Списанные средства с карты, потеря бонусов, возможные проблемы с банком при оспаривании.
Продажа аккаунта После захвата аккаунт (особенно старый, с историей покупок) продаётся на теневых форумах. Покупатели используют его для обхода лимитов, спама или мошенничества. Аккаунт может быть заблокирован платформой за нарушение правил, восстановить его сложно.
Кража персональных данных Выгрузка полной информации из профиля: паспортные данные, адреса, телефоны, история заказов. Данные попадают в базы для последующих атак социальной инженерии или попыток кредитного мошенничества.
Использование как плацдарма Если к аккаунту привязана Ozon Карта или аналогичный финансовый инструмент, мошенники пытаются получить к нему доступ или оформить кредитные продукты от партнёров платформы. Финансовые потери, испорченная кредитная история.

Как не стать мишенью: меры защиты

Защита требует действий как от пользователя, так и понимания того, как работают системы.

Со стороны пользователя

  • Используйте менеджер паролей для создания и хранения уникальных сложных паролей к каждому сервису. Это исключает риск угона через утечку данных с другого сайта.
  • Включите двухфакторную аутентификацию (2FA) везде, где она есть. Но помните, что SMS -код можно перехватить. Если платформа поддерживает более защищённые методы (TOTP через приложения типа Google Authenticator), используйте их.
  • Регулярно проверяйте активные сессии. В настройках безопасности Wildberries и Ozon есть разделы, где можно увидеть список устройств, с которых выполнен вход, и удалить незнакомые.
  • Не используйте публичные Wi -Fi для входа в критичные аккаунты без VPN с доверенным поставщиком.
  • Не переходите по ссылкам из писем и SMS, даже если они выглядят официально. Вручную набирайте адрес сайта в браузере или используйте официальное приложение.
  • Установите антивирусное решение на смартфон и компьютер, которое может обнаруживать фишинговые сайты и вредоносное ПО.

На что стоит обратить внимание в работе платформы

  • Уведомления о новых входах: Хороший признак, если сервис присылает push -уведомление или email при входе с нового устройства или места.
  • Политики поддержки: Поинтересуйтесь, какие процедуры подтверждения личности использует служба поддержки при восстановлении доступа. Если для этого достаточно лишь общедоступных данных, это слабое место.
  • Возможность привязки аппаратного ключа безопасности: Самые защищённые сервисы позволяют использовать физические ключи (например, YubiKey) для 2FA. Наличие такой опции говорит о продвинутом подходе к безопасности.

Безопасность аккаунта, это непрерывный процесс, а не разовая настройка. Понимание векторов атаки позволяет не просто ставить галочки в настройках, а осознанно оценивать риски и действия, которые могут к ним привести.

Оставьте комментарий