Binance: платформа с дырами в безопасности… или дело в другом?

Предупреждение: 20 тыс. знаков
Начиная с июня этого года мне периодически приходят сообщения от платформы Binance с секретным кодом, который никому нельзя сообщать. Первые две были в пятницу вечером и на следующий день в субботу днём. Я сам работал в телефонной поддержке онлайн-сервиса и встречал самые разные ситуации с перепутками от клиентов разной степени невинности (приберегу их для комментариев, если вдруг кого-то заинтересует). Так что я решил, что кто-то из невнимательных клиентов платформы под конец рабочей недели просто ошибся цифрой при вводе номера телефона, не смог что-то сделать в пятницу вечером, повторил попытку на следующий день днём, а затем обнаружил опечатку. Бывает.

Однако потом смски снова приходили. Сразу укажу всю хронологию смсок:
18 июн, пт, 17:36;
19 июн, сб, 14:03;
26 авг, чт, 0:30;
13 ноя, сб, 21:00 (восемь подряд с интервалом в минуту);
7 дек, вт, 11:15;
5 янв, ср, 22:03;
8 янв, сб, 0:03;
9 янв, вс, 21:05;
12 янв, ср, 4:12;
12 янв, ср, 7:00;
13 янв, чт, 5:00.

Сначала я просто игнорировал эти смски, но под новый год они стали меня буквально бомбардировать. И я всё-таки задумался: а коды подтверждения чего именно приходят? Ведь я не регистрировался на этом сайте, я там даже не был никогда. Моей первой мыслью было то, что это сайт binance – это какой-то вид мошенничества. В панике за денежные средства я должен побежать «восстанавливать» доступ, для этого отправлю в поддержку свои данные, в том числе и банковские, тут-то с меня и спишут деньги. Учитывая, сколько людей ежегодно становится жертвой разводов от «службы безопасности», такая попытка заработать казалось вполне возможной. Однако я быстро выяснил, что компания реальная, целевая аудитория огромна. Тогда начал искать уже конкретную информацию – «приходят сообщения от binance» – и к своему удивлению обнаружил множество сайтов с информацией на эту тему. В частности на данном ресурсе я прочёл статью https://vc.ru/claim/321368-binance-dolgoigrayushchaya-skam-mashina-ili-servis-s-dyryavoy-sistemoy-bezopasnosti и добрую половину комментариев к ней. Для краткости в дальнейшем я буду именовать её «статьёй Х». В статье Х делался вывод о возможных дырах в системе безопасности Binance. Я тоже попытался проанализировать ситуацию, а по итогу анализа решил написать собственную статью, то есть эту.

Имеем установленный факт, что Binance присылает мне смски с кодами подтверждения. Также имеем почти установленный факт того, что такие сообщения приходят очень большому количеству людей. Думать, что мой или чей-то ещё номер телефона (и другие персональные данные) знают только проверенные друзья, – глупо, как и искать источник утечек. Поэтому примем за аксиому то, что мой номер известен всем, кто хотел его узнать, пусть даже в виде строчки в обезличенной базе данных активных номеров. Далее будем раскручивать ситуацию в форме вопросов, которые я сам себе задавал, и логичных ответов на эти вопросы.

Вопрос 1: зачем на какой-то номер вообще могут приходить смски от бинанса? Объяснения два: а) это подстраивают мошенники с какими-то своими целями; б) смс отправляет сам бинанс для подтверждения реальных действий на их сайте. Какую выгоду могут получить мошенники, если они подделывают смс? Никакую, потому что в ссылка в смс ведёт не на фишинговый, а на реальный сайт binance.com. Тем более с октября в смсках вообще нет ссылок, только код. Если сообщение подставное, то код тоже вымышленный, причём самими мошенниками, и смысла от него для этих же мошенников нет. Вывод: рассылать смс «якобы» от Binance мошенникам незачем (см. спойлер), а значит сообщения отправляет сам Binance. Логичный ответ: 1б).

Если сообщения отправляет сам Binance, значит он таким образом подтверждает какие-то операции. Однако для любых операций на сайте необходима регистрация. Отсюда:

Вопрос 2: создан ли личный кабинет на мой номер? Сразу скажу, что пытаться «восстановить» доступ к фантомному личному кабинету, который я не регистрировал, отправляя попутно видео с паспортом в поддержку, я не стал. Так что просто гипотетически рассмотрим оба ответа: а) лучший ответ – нет, не создан; б) худший ответ – да, создан. В лучшем случае эти коды из смс как раз должны были подтверждать регистрацию на мой номер телефона, а в худшем – коды подтверждают какие-то операции внутри личного кабинета, который я не регистрировал. В обоих случаях действия производила третья сторона, а не я. Рассмотрим оба варианта и предположим для начала лучший, тогда

Вопрос 2,5: зачем кому-то кроме меня пытаться зарегистрировать аккаунт на мой номер телефона, к которому доступ только у меня? Объяснения три: а) это делает кто-то из моего окружения, у кого доступ к моему номеру есть; б) это делает кто-то из моих знакомых, чтобы меня позлить; в) это делает кто-то, кто взломал мой телефон / склонировал сим-карту и имеет доступ к номеру. Первые два варианта легко разбиваются о массовость явления: допустим, кто-то захотел позлить меня, но что касательно сотен (или тысяч?) других людей, получающих те же сообщения от бинанса? Нас всех решили позлить наши знакомые и не сговариваясь выбрали одну и ту же платформу, на которой делают одни и те же действия? Или нас всех обманывают наши родители / парни / девушки / соседи по общежитию, дабы в одну коварную ночь таки зарегистрироваться от нашего имени… чтобы что? Думаю, всем очевидно, что это бред. Третий вариант возможен, однако тут я сошлюсь на тезис из статьи Х: если кто-то получил доступ к моему номеру (а заодно и сотен / тысяч других людей), то самое глупое – это начать пытаться зарегистрироваться на бинансе. Вместо взлома соцсетей, переводов денег на карту и других простых способов напрямую перевести себе деньги или начать шантажировать жертву. Тем более что как мы уже знаем из статьи Х, есть случаи, когда кабинет уже был зарегистрирован на момент отправки смс. Таким образом, все три объяснения отметаем – логичных объяснений нет – и возвращаемся на шаг назад.

Итак, выходит, что всё-таки аккаунт уже создан. Логичный ответ на вопрос 2: 2б). Для регистрации кабинета необходимо указать электронную почту, придумать пароль и подтвердить номер телефона. Значит, тот, кто зарегистрировал личный кабинет, знает пароль и почту, тем не менее в качестве номера телефона зачем-то был указан мой, к которому доступа у третьей стороны нет. И регистрация тем не менее тоже была пройдена. При этом доступа к моим финансам тоже нет. Так что мошенники из этого кабинета получить ничего не могут. Отсюда следует два дальнейших логичных вопроса:

Вопрос 3: зачем кому-то регистрировать личный кабинет на мой номер телефона, если он пуст? Если жертва не восстановит доступ в личный кабинет, то вся затея с регистрацией бессмысленна. Если жертва восстановит доступ в кабинет (который она не создавала, но тем не менее который зарегистрирован), она поменяет почту и пароль, и тогда доступа в кабинет у третьей стороны больше не будет. Однако в одном из комментариев к статье Х я прочитал, что мошенники могли создать API-ключ, тогда можно будет проводить операции даже без авторизации в личном кабинете после того, как жертва заменит логин/пароль. Про API многие вообще не знают (в том числе и что это такое), в настройки тоже не все лезут. Так что в этом случае регистрация имеет смысл – ведь в личном кабинете оставлен троянский конь. Так что пока что единственный логичный ответ на вопрос 3: а) в кабинете заранее создаётся API-ключ, который в случае, если жертва всё-таки воспользуется платформой и заведёт деньги, в дальнейшем позволит их вывести уже мошеннику. Косвенно это подтверждается тем, что якобы имеются люди, у которых с баланса бинанса пропадала часть денег или крипты. Об этом я узнал опять-таки из комментариев к статье Х, однако никаких доказательств. В интернете тоже жалобы такие есть но их немного (в отличие от жалоб на сообщения от бинанса), но тоже без номеров транзакций, скринов и других доказательств. Может быть, средства списались из-за каких-то сложных финансовых инструментов, в которых люди не до конца разобрались (не разобраться во фьючерсах или торговле с плечом проще, чем забыть, что ты регистрировал личный кабинет)). Может быть, есть и какие-то другие варианты скрытого или отложенного мошенничества, но я их не нашёл. Впрочем, поскольку я не стал создавать личный кабинет и «восстанавливать» существующий (если он существует), то я не знаю весь функционал кабинета и мог что-то пропустить.

А теперь перейдём к вопросу 4. Какие бы схемы ни использовались для вывода денег с аккаунта жертвы, его для этого нужно сначала создать. Регистрация на телефонный номер жертвы сама по себе хорошая идея – это гарантирует то, что жертва воспользуется именно тем кабинетом, который заранее создали мошенники, а не создаст свой новый кабинет сама. Однако для такой регистрации необходим код подтверждения с номера телефона жертвы.

Вопрос 4: как же регистрация могла быть пройдена без подтверждения номера телефона? Объяснения: а) доступ на самом деле есть; б) в системе Binance есть дыра в безопасности, которая позволяет как-то обойти подтверждение номера телефона. С первым вариантом мы разобрались: в случае доступа к телефону самый глупый вариант со стороны мошенников – создавать пустой личный кабинет в надежде на то, что когда-то жертва заведёт туда деньги. К слову лично я пользуюсь не МТС или Билайном, которые упоминались в статье Х как потенциальные источники утечек данных и возможно перехвата смс, – у меня Мегафон. А дополнительная сим-карта от МТС, которую я нигде не указывал (в смысле в любых сервисах) лежит без смсок. Так что логичнее отбросить вариант с похищением номера, вирусами в телефоне, недобросовестными операторами связи и рассмотреть ответ б) – у платформы есть дыры в безопасности. Однако любую дыру в коде можно исправить, а судя по количеству людей, которые получают сообщения от бинанса, и переписки автора статьи Х с их службой поддержки, бинанс в курсе, но ничего не делает. Серьёзно, если все эти рассылки затевались ради того, чтобы в будущем списать средства с тех, кто попадётся на удочку, то бинанс больше других заинтересован в том, чтобы пользователи платформы знали об этой уязвимости. Чтобы скорее поменяли все ключи, пароли, привязанную почту или что там ещё нужно поменять, чтобы уменьшить риск кражи средств с аккаунта. Но бинанс этого не делает. Может быть, просто надеются, что никто ничего не узнает, что единичные случаи хищения средств можно будет списать на неосторожность самих клиентов, а сам бинанс сохранит репутацию. Или есть другое объяснение.

Я верю в действия ради изменений. Если мы едим, то проходит голод. Если мы едим десерт, то голод не проходит, но мы получаем вкусовое удовольствие. Если мы жалуемся на повышение цен, мы не понижаем их, но поделившись с окружающими проблемой, нас волнующей, получаем эмоциональную разрядку и поддержку. Без изменений любые действия бессмысленны. В результате этих сообщений я не перевёл никому деньги, не сообщил свои данные мошенникам, а если бы и сообщил, то поддержке бинанса. Единственное изменение, которое произошло, – это то, что я узнал о платформе бинанс. Я не занимаюсь инвестициями, не майню и не покупаю криптовалюту, так что в финансовых платформах не шарю. Поскольку в моих поисковых запросах нет ничего (или практически ничего) про крипту, то и контекстная реклама такое мне не показывает (или показывает так редко, что я эти единичные случаи не фиксирую). Я не знал о Binance. И судя по отзывам в интернете, очень многие из тех, кому пришли смски, тоже впервые узнали о Binance из этих смс и дальнейших поисков объяснений в интернете. Кому выгодно то, что люди узнают о бинансе? Самому бинансу.

Смс-сообщения не очень дорогие, особенно если рассылка массовая. Кто-то подключит блокировку, кто-то проигнорирует, а кто-то заинтересуется или испугается за свои финансы и перейдёт на сайт, скачает приложение. В дальнейшем начнёт заводить на платформу реальные деньги. Таргетированная реклама не знаю, дороже или дешевле смсок, но в любом случае она не затрагивает всю потенциальную аудиторию и её воздействие не такое, как сообщения с кодом подтверждения, которые верно приходят всем подряд. Опять-таки количество поисковых запросов, пусть даже и про назойливые сообщения от бинанса, возможно улучшает поисковую выдачу конкретно бинанса среди других платформ (но лучше у специалистов по SEO спросить). Даже без этого вариант с рекламой через такие смс выглядит не таким уж невероятным. Если кто-то думает, что платформа не стала бы опускаться до чёрного пиара, то может он и прав. В любом случае, если сообщения рассылает всё-таки сам бинанс для увеличения своей известности и вовлечения новых пользователей, то что насчёт вопросов, на которые мы пытались отвечать, пытаясь проанализировать всю эту мутную схему с смсками?

Вопрос 1: зачем на какой-то номер вообще могут приходить смски от бинанса? Ответ: сотрудники бинанса (скорее всего боты, см. сноску ниже) периодически пытаются осуществить вход в личный кабинет ради отправки сообщений владельцам номеров.

Вопрос 2: создан ли личный кабинет на мой номер [и на сотни / тысячи других номеров]? Ответ: да, это сделал сам бинанс.

Вопрос 2,5 отпадает.

Вопрос 3: зачем кому-то регистрировать личный кабинет на мой номер телефона, если он пуст? Ответ: это нужно самому бинансу, чтобы иметь формальный повод для отправления смсок с саморекламой. И чтобы поддержке было что отвечать на вопрос «а почему мне от вас смски приходят?» – «Так у вас личный кабинет заведён на ваш номер, не хотите восстановить доступ?»

Вопрос 4: как же регистрация могла быть пройдена без подтверждения номера телефона? Ответ: подтверждение телефона обязательно при регистрации через сайт. Однако с точки зрения цифровой информации любой личный кабинет – это всего лишь строчка или несколько строчек (или таблица) в базе данных на сервере платформы. Эти строчки или таблица содержит всю информацию о пользователе и его операциях, включая номер телефона. У пользователей есть только один способ создать свой аккаунт, то бишь создать новую строчку в базе данных платформы – через сайт, а там встроена проверка телефона через отправку кода подтверждения. А вот сами владельцы сервера могут просто вручную ввести в свою базу данных нужную таблицу или строчку и указать там тот номер телефона, который хотят. Собственно, когда доступ восстанавливают сотрудники поддержки, они именно это и делают – вручную правят какие-то данные пользователя (например руками меняют забытую почту на новую или привязывают другой номер телефона). Так что то, что не могут сделать мошенники, может сделать сам Binance.

Вопрос 5 (бонусный): откуда у Binance мой номер и другие номера? Ответ: оттуда же, откуда у Совкомбанка, который предлагает мне оформить кредитную карту, или Билайна, который предлагает мне свой проводной интернет.

В качестве итога хочу сказать, что я не знаю правды. Я сделал не всё возможное – например, не стал связываться со службой поддержки, использовав вместо этого опыт из статьи Х. Так что всё это лишь мои предположения, но они логически обоснованы и почти не имеют внутренних противоречий. Если я прав, то никаких дыр у бинанса нет (ну или есть, но с нашим кейсом они никак не связаны), и это хорошая новость для пользователей платформы. При этом лично я считаю, что такие методы грязной рекламы крайне неэтичны и не повышают репутацию платформы (что, однако, никак не связано с их внутренними финансовыми сервисами). И меньше всего я бы хотел поучаствовать в рекламной кампании бинанса, но не удивлюсь, если публикация этой статьи привлечёт к платформе дополнительное внимание и, как следствие, новых клиентов. С другой стороны, возможно кто-то из прочитавших эту статью решит, что Binance – не та компания, которой он хотел бы доверить свои деньги. В любом случае, я даже не факт что прав, так что решать каждый должен сам для себя. Надеюсь, что кто-то смог осилить эту статью и даже не умер от тоски)