Binance: платформа с дырами в безопасности… или дело в другом?

Предупреждение: 20 тыс. знаков
Начиная с июня этого года мне периодически приходят сообщения от платформы Binance с секретным кодом, который никому нельзя сообщать. Первые две были в пятницу вечером и на следующий день в субботу днём. Я сам работал в телефонной поддержке онлайн-сервиса и встречал самые разные ситуации с перепутками от клиентов разной степени невинности (приберегу их для комментариев, если вдруг кого-то заинтересует). Так что я решил, что кто-то из невнимательных клиентов платформы под конец рабочей недели просто ошибся цифрой при вводе номера телефона, не смог что-то сделать в пятницу вечером, повторил попытку на следующий день днём, а затем обнаружил опечатку. Бывает.

Однако потом смски снова приходили. Сразу укажу всю хронологию смсок:
18 июн, пт, 17:36;
19 июн, сб, 14:03;
26 авг, чт, 0:30;
13 ноя, сб, 21:00 (восемь подряд с интервалом в минуту);
7 дек, вт, 11:15;
5 янв, ср, 22:03;
8 янв, сб, 0:03;
9 янв, вс, 21:05;
12 янв, ср, 4:12;
12 янв, ср, 7:00;
13 янв, чт, 5:00.

Как видно из скриншотов, в старых сообщениях есть ссылка на скачивание приложения, а в новых только код.
В качестве интересной особенности замечу, что из одиннадцати порций смсок все пришли в интервалы 00–15 и 30–45 минут, причём три ровно в 00 минут. То есть в первые пятнадцать минут от начала часа или получаса. Вероятность такого случайного стечения обстоятельств составляет примерно 1 к 1000 или 0,1%, что переводится с математического как «крайне МАЛА». [А если не брать три старые летние смски, то все остальные укладываются в первую четверть часа, вероятность чего вообще составляет 0,006%]. Для тех, кто в теории вероятности не силён, поясню: хотя бы пара-тройка сообщений должна была прийти на, скажем, 28-ой минуте часа или на 51-ой. Раз этого не произошло за такое большое количество смсок, значит их намеренно отправляли именно в начале часа. Что из этого следует – станет ясно чуть дальше.

Сначала я просто игнорировал эти смски, но под новый год они стали меня буквально бомбардировать. И я всё-таки задумался: а коды подтверждения чего именно приходят? Ведь я не регистрировался на этом сайте, я там даже не был никогда. Моей первой мыслью было то, что это сайт binance – это какой-то вид мошенничества. В панике за денежные средства я должен побежать «восстанавливать» доступ, для этого отправлю в поддержку свои данные, в том числе и банковские, тут-то с меня и спишут деньги. Учитывая, сколько людей ежегодно становится жертвой разводов от «службы безопасности», такая попытка заработать казалось вполне возможной. Однако я быстро выяснил, что компания реальная, целевая аудитория огромна. Тогда начал искать уже конкретную информацию – «приходят сообщения от binance» – и к своему удивлению обнаружил множество сайтов с информацией на эту тему. В частности на данном ресурсе я прочёл статью https://vc.ru/claim/321368-binance-dolgoigrayushchaya-skam-mashina-ili-servis-s-dyryavoy-sistemoy-bezopasnosti и добрую половину комментариев к ней. Для краткости в дальнейшем я буду именовать её «статьёй Х». В статье Х делался вывод о возможных дырах в системе безопасности Binance. Я тоже попытался проанализировать ситуацию, а по итогу анализа решил написать собственную статью, то есть эту.

Имеем установленный факт, что Binance присылает мне смски с кодами подтверждения. Также имеем почти установленный факт того, что такие сообщения приходят очень большому количеству людей. Думать, что мой или чей-то ещё номер телефона (и другие персональные данные) знают только проверенные друзья, – глупо, как и искать источник утечек. Поэтому примем за аксиому то, что мой номер известен всем, кто хотел его узнать, пусть даже в виде строчки в обезличенной базе данных активных номеров. Далее будем раскручивать ситуацию в форме вопросов, которые я сам себе задавал, и логичных ответов на эти вопросы.

Вопрос 1: зачем на какой-то номер вообще могут приходить смски от бинанса? Объяснения два: а) это подстраивают мошенники с какими-то своими целями; б) смс отправляет сам бинанс для подтверждения реальных действий на их сайте. Какую выгоду могут получить мошенники, если они подделывают смс? Никакую, потому что в ссылка в смс ведёт не на фишинговый, а на реальный сайт binance.com. Тем более с октября в смсках вообще нет ссылок, только код. Если сообщение подставное, то код тоже вымышленный, причём самими мошенниками, и смысла от него для этих же мошенников нет. Вывод: рассылать смс «якобы» от Binance мошенникам незачем (см. спойлер), а значит сообщения отправляет сам Binance. Логичный ответ: 1б).

В смсках, которые приходили мне, не было бы выгоды, отправляйся они мошенниками. Однако существует возможность того, что разным людям приходят разные сообщения, и у 1% (цифра от балды) получивших смс «от бинанса» ссылка в сообщении таки будет вести не на официальный сайт бинанса, а на фишинговый. Человек пойдёт в интернет, выяснит, что это надёжная платформа, что там речь про биржу и возможную прибыль от крипты и т.д., перейдёт по фишинговой ссылке из смс и там потеряет реальные деньги. Почему я отмёл эту призрачную вероятность: 1) Даже если всего 1% смс ведёт на фишинговый сайт, пострадавшие были бы (собственно, а ради чего ещё мошенничество затевать), а в интернете было бы полно жалоб на фишинг. Однако таких жалоб я не нашёл, все получившие смс просто в недоумении (возможно я плохо искал). 2) Это слишком хитроумная схема, которая сильно сужает количество потенциальных жертв: скольким людям надо отправить безобидные смс, чтобы в интернете сформировать мнение, что всё действительно безобидно (просто смс по ошибке, но как минимум сама платформа ни при чём, а пострадавшему надо просто сменить все пароли), ради условного 1% с фишингом. А ведь потом надо будет, чтобы человек именно из смс по ссылке перешёл, потом ещё реальные деньги завёл на этот фишинговый сайт, ни разу не зашёл на реальный сайт через поисковые системы и т.п. В общем, слишком много мороки с высоким шансом провалиться, мошенники обычно более прямолинейны (и эта прямолинейность, к сожалению, работает в достаточном количестве случаев, чтобы мошенничество продолжало процветать). 3) В статье Х с реальным кейсом выяснилось, что личный кабинет уже был создан на момент прихода смсок. Значит, как минимум в одном известном случае смс-рассылка действительно была от бинанса. В совокупности это уменьшает вероятность рассылки мошенниками с крайне малой до практически нулевой. Зато, если вы прочитали этот свёрнутый текст, вы теперь понимаете, что в поисках ответов я пытался просчитать все сценарии – даже самые невероятные.

Если сообщения отправляет сам Binance, значит он таким образом подтверждает какие-то операции. Однако для любых операций на сайте необходима регистрация. Отсюда:

Вопрос 2: создан ли личный кабинет на мой номер? Сразу скажу, что пытаться «восстановить» доступ к фантомному личному кабинету, который я не регистрировал, отправляя попутно видео с паспортом в поддержку, я не стал. Так что просто гипотетически рассмотрим оба ответа: а) лучший ответ – нет, не создан; б) худший ответ – да, создан. В лучшем случае эти коды из смс как раз должны были подтверждать регистрацию на мой номер телефона, а в худшем – коды подтверждают какие-то операции внутри личного кабинета, который я не регистрировал. В обоих случаях действия производила третья сторона, а не я. Рассмотрим оба варианта и предположим для начала лучший, тогда

Вопрос 2,5: зачем кому-то кроме меня пытаться зарегистрировать аккаунт на мой номер телефона, к которому доступ только у меня? Объяснения три: а) это делает кто-то из моего окружения, у кого доступ к моему номеру есть; б) это делает кто-то из моих знакомых, чтобы меня позлить; в) это делает кто-то, кто взломал мой телефон / склонировал сим-карту и имеет доступ к номеру. Первые два варианта легко разбиваются о массовость явления: допустим, кто-то захотел позлить меня, но что касательно сотен (или тысяч?) других людей, получающих те же сообщения от бинанса? Нас всех решили позлить наши знакомые и не сговариваясь выбрали одну и ту же платформу, на которой делают одни и те же действия? Или нас всех обманывают наши родители / парни / девушки / соседи по общежитию, дабы в одну коварную ночь таки зарегистрироваться от нашего имени… чтобы что? Думаю, всем очевидно, что это бред. Третий вариант возможен, однако тут я сошлюсь на тезис из статьи Х: если кто-то получил доступ к моему номеру (а заодно и сотен / тысяч других людей), то самое глупое – это начать пытаться зарегистрироваться на бинансе. Вместо взлома соцсетей, переводов денег на карту и других простых способов напрямую перевести себе деньги или начать шантажировать жертву. Тем более что как мы уже знаем из статьи Х, есть случаи, когда кабинет уже был зарегистрирован на момент отправки смс. Таким образом, все три объяснения отметаем – логичных объяснений нет – и возвращаемся на шаг назад.

Итак, выходит, что всё-таки аккаунт уже создан. Логичный ответ на вопрос 2: 2б). Для регистрации кабинета необходимо указать электронную почту, придумать пароль и подтвердить номер телефона. Значит, тот, кто зарегистрировал личный кабинет, знает пароль и почту, тем не менее в качестве номера телефона зачем-то был указан мой, к которому доступа у третьей стороны нет. И регистрация тем не менее тоже была пройдена. При этом доступа к моим финансам тоже нет. Так что мошенники из этого кабинета получить ничего не могут. Отсюда следует два дальнейших логичных вопроса:

Вопрос 3: зачем кому-то регистрировать личный кабинет на мой номер телефона, если он пуст? Если жертва не восстановит доступ в личный кабинет, то вся затея с регистрацией бессмысленна. Если жертва восстановит доступ в кабинет (который она не создавала, но тем не менее который зарегистрирован), она поменяет почту и пароль, и тогда доступа в кабинет у третьей стороны больше не будет. Однако в одном из комментариев к статье Х я прочитал, что мошенники могли создать API-ключ, тогда можно будет проводить операции даже без авторизации в личном кабинете после того, как жертва заменит логин/пароль. Про API многие вообще не знают (в том числе и что это такое), в настройки тоже не все лезут. Так что в этом случае регистрация имеет смысл – ведь в личном кабинете оставлен троянский конь. Так что пока что единственный логичный ответ на вопрос 3: а) в кабинете заранее создаётся API-ключ, который в случае, если жертва всё-таки воспользуется платформой и заведёт деньги, в дальнейшем позволит их вывести уже мошеннику. Косвенно это подтверждается тем, что якобы имеются люди, у которых с баланса бинанса пропадала часть денег или крипты. Об этом я узнал опять-таки из комментариев к статье Х, однако никаких доказательств. В интернете тоже жалобы такие есть но их немного (в отличие от жалоб на сообщения от бинанса), но тоже без номеров транзакций, скринов и других доказательств. Может быть, средства списались из-за каких-то сложных финансовых инструментов, в которых люди не до конца разобрались (не разобраться во фьючерсах или торговле с плечом проще, чем забыть, что ты регистрировал личный кабинет)). Может быть, есть и какие-то другие варианты скрытого или отложенного мошенничества, но я их не нашёл. Впрочем, поскольку я не стал создавать личный кабинет и «восстанавливать» существующий (если он существует), то я не знаю весь функционал кабинета и мог что-то пропустить.

А теперь перейдём к вопросу 4. Какие бы схемы ни использовались для вывода денег с аккаунта жертвы, его для этого нужно сначала создать. Регистрация на телефонный номер жертвы сама по себе хорошая идея – это гарантирует то, что жертва воспользуется именно тем кабинетом, который заранее создали мошенники, а не создаст свой новый кабинет сама. Однако для такой регистрации необходим код подтверждения с номера телефона жертвы.

Вопрос 4: как же регистрация могла быть пройдена без подтверждения номера телефона? Объяснения: а) доступ на самом деле есть; б) в системе Binance есть дыра в безопасности, которая позволяет как-то обойти подтверждение номера телефона. С первым вариантом мы разобрались: в случае доступа к телефону самый глупый вариант со стороны мошенников – создавать пустой личный кабинет в надежде на то, что когда-то жертва заведёт туда деньги. К слову лично я пользуюсь не МТС или Билайном, которые упоминались в статье Х как потенциальные источники утечек данных и возможно перехвата смс, – у меня Мегафон. А дополнительная сим-карта от МТС, которую я нигде не указывал (в смысле в любых сервисах) лежит без смсок. Так что логичнее отбросить вариант с похищением номера, вирусами в телефоне, недобросовестными операторами связи и рассмотреть ответ б) – у платформы есть дыры в безопасности. Однако любую дыру в коде можно исправить, а судя по количеству людей, которые получают сообщения от бинанса, и переписки автора статьи Х с их службой поддержки, бинанс в курсе, но ничего не делает. Серьёзно, если все эти рассылки затевались ради того, чтобы в будущем списать средства с тех, кто попадётся на удочку, то бинанс больше других заинтересован в том, чтобы пользователи платформы знали об этой уязвимости. Чтобы скорее поменяли все ключи, пароли, привязанную почту или что там ещё нужно поменять, чтобы уменьшить риск кражи средств с аккаунта. Но бинанс этого не делает. Может быть, просто надеются, что никто ничего не узнает, что единичные случаи хищения средств можно будет списать на неосторожность самих клиентов, а сам бинанс сохранит репутацию. Или есть другое объяснение.

Я верю в действия ради изменений. Если мы едим, то проходит голод. Если мы едим десерт, то голод не проходит, но мы получаем вкусовое удовольствие. Если мы жалуемся на повышение цен, мы не понижаем их, но поделившись с окружающими проблемой, нас волнующей, получаем эмоциональную разрядку и поддержку. Без изменений любые действия бессмысленны. В результате этих сообщений я не перевёл никому деньги, не сообщил свои данные мошенникам, а если бы и сообщил, то поддержке бинанса. Единственное изменение, которое произошло, – это то, что я узнал о платформе бинанс. Я не занимаюсь инвестициями, не майню и не покупаю криптовалюту, так что в финансовых платформах не шарю. Поскольку в моих поисковых запросах нет ничего (или практически ничего) про крипту, то и контекстная реклама такое мне не показывает (или показывает так редко, что я эти единичные случаи не фиксирую). Я не знал о Binance. И судя по отзывам в интернете, очень многие из тех, кому пришли смски, тоже впервые узнали о Binance из этих смс и дальнейших поисков объяснений в интернете. Кому выгодно то, что люди узнают о бинансе? Самому бинансу.

Смс-сообщения не очень дорогие, особенно если рассылка массовая. Кто-то подключит блокировку, кто-то проигнорирует, а кто-то заинтересуется или испугается за свои финансы и перейдёт на сайт, скачает приложение. В дальнейшем начнёт заводить на платформу реальные деньги. Таргетированная реклама не знаю, дороже или дешевле смсок, но в любом случае она не затрагивает всю потенциальную аудиторию и её воздействие не такое, как сообщения с кодом подтверждения, которые верно приходят всем подряд. Опять-таки количество поисковых запросов, пусть даже и про назойливые сообщения от бинанса, возможно улучшает поисковую выдачу конкретно бинанса среди других платформ (но лучше у специалистов по SEO спросить). Даже без этого вариант с рекламой через такие смс выглядит не таким уж невероятным. Если кто-то думает, что платформа не стала бы опускаться до чёрного пиара, то может он и прав. В любом случае, если сообщения рассылает всё-таки сам бинанс для увеличения своей известности и вовлечения новых пользователей, то что насчёт вопросов, на которые мы пытались отвечать, пытаясь проанализировать всю эту мутную схему с смсками?

Вопрос 1: зачем на какой-то номер вообще могут приходить смски от бинанса? Ответ: сотрудники бинанса (скорее всего боты, см. сноску ниже) периодически пытаются осуществить вход в личный кабинет ради отправки сообщений владельцам номеров.

Вопрос 2: создан ли личный кабинет на мой номер [и на сотни / тысячи других номеров]? Ответ: да, это сделал сам бинанс.

Вопрос 2,5 отпадает.

Вопрос 3: зачем кому-то регистрировать личный кабинет на мой номер телефона, если он пуст? Ответ: это нужно самому бинансу, чтобы иметь формальный повод для отправления смсок с саморекламой. И чтобы поддержке было что отвечать на вопрос «а почему мне от вас смски приходят?» – «Так у вас личный кабинет заведён на ваш номер, не хотите восстановить доступ?»

Вопрос 4: как же регистрация могла быть пройдена без подтверждения номера телефона? Ответ: подтверждение телефона обязательно при регистрации через сайт. Однако с точки зрения цифровой информации любой личный кабинет – это всего лишь строчка или несколько строчек (или таблица) в базе данных на сервере платформы. Эти строчки или таблица содержит всю информацию о пользователе и его операциях, включая номер телефона. У пользователей есть только один способ создать свой аккаунт, то бишь создать новую строчку в базе данных платформы – через сайт, а там встроена проверка телефона через отправку кода подтверждения. А вот сами владельцы сервера могут просто вручную ввести в свою базу данных нужную таблицу или строчку и указать там тот номер телефона, который хотят. Собственно, когда доступ восстанавливают сотрудники поддержки, они именно это и делают – вручную правят какие-то данные пользователя (например руками меняют забытую почту на новую или привязывают другой номер телефона). Так что то, что не могут сделать мошенники, может сделать сам Binance.

Вопрос 5 (бонусный): откуда у Binance мой номер и другие номера? Ответ: оттуда же, откуда у Совкомбанка, который предлагает мне оформить кредитную карту, или Билайна, который предлагает мне свой проводной интернет.

Касательно ботов: в той части текста, где я рассуждаю про вероятность случайного совпадения времени смсок, я как раз к этому веду. То, что нельзя объяснить случайным совпадением, легко объясняется ботом, который рассылает сообщения по расписанию. Разные номера могут попадать в разные временные интервалы, моему номеру вот повезло оказаться в рассылке, которая начинается в начале часа. Возможно летом я был в другой таблице номеров, поэтому смски приходили и после 30-ой минуты, а может летом алгоритм был другой. Кстати, такой автоматической рассылкой могли бы и мошенники заниматься, теоретически. Я лишь хочу подчеркнуть, что такое совпадение тоже не противоречит теории, что за всем стоит сам бинанс.

В качестве итога хочу сказать, что я не знаю правды. Я сделал не всё возможное – например, не стал связываться со службой поддержки, использовав вместо этого опыт из статьи Х. Так что всё это лишь мои предположения, но они логически обоснованы и почти не имеют внутренних противоречий. Если я прав, то никаких дыр у бинанса нет (ну или есть, но с нашим кейсом они никак не связаны), и это хорошая новость для пользователей платформы. При этом лично я считаю, что такие методы грязной рекламы крайне неэтичны и не повышают репутацию платформы (что, однако, никак не связано с их внутренними финансовыми сервисами). И меньше всего я бы хотел поучаствовать в рекламной кампании бинанса, но не удивлюсь, если публикация этой статьи привлечёт к платформе дополнительное внимание и, как следствие, новых клиентов. С другой стороны, возможно кто-то из прочитавших эту статью решит, что Binance – не та компания, которой он хотел бы доверить свои деньги. В любом случае, я даже не факт что прав, так что решать каждый должен сам для себя. Надеюсь, что кто-то смог осилить эту статью и даже не умер от тоски)

77
26 комментариев

Все просто у мошенников есть база с телефонами,емейлами и возможно паролями.Они автоматически проверяют эту базу по телефону, если сайт пишет что телефон уже зарегистрирован то работают с этими данными дальше.Если сообщение отправилось то забивают на эти строки.Обычная проверка на регистрацию аккаунта на сервисе.

3

Скореи всего в телефоне троянец. Который читает смс но не может их удалять рута нет. Аккаунт зарегистрировали и теперь завлекают жертву. И пофиг даже на другои номер он зарегится вставит симку в ломаный смарт свои и деньги снимут как только он их заведет на биржу.

1

Комментарий недоступен

1

По сути многа буков, что или жулики binance или жулики кто-то другой. А вообще похоже на скрытую рекламу Binance, так как говоря о том какие binance плохие, автор заставляет нас заинтересоваться что это такое, что такое крипта и что на ней можно разбогатеть. И тем самым продвигает нам этот сервис. Пойду качать приложение

2

Да. Мне такие смс тоже шлют.

И да. Я тоже там не регистрировался.

Шлют с августа.

Я даже вообще не знаю про что это.

Сначала смс были такие:

(Binance) Код подтверждения: хрухру. Никому его не сообщайте.
Загрузите мобильное приложение: www.binance.com/ru/download?i=sms

1

сообщения то шлет бинанс, но запрашивает их отправкку наверняка бот, перебирающий базу номеров в поисках незащищенных аккаунтов или возможности зарегать новый,

1

И? Кто косячит то? Я разве давал бинансу согласие слать мне эту хрень?