Пользователи биржи Exmo жалуются на кражу средств

Информацию о трех случаях пропажи активов со счетов торговой платформы  Exmo мы получили от нашего читателя В материале мы рассказываем, при каких обстоятельства произощел незаконный вывод активов и как на это отреагировала сама биржа

Об Exmo

Биржа Exmo запущена разработчиками из СНГ, сегодня площадку развивает международная группа  из Испании, России, Индии и Таиланда. Штаб-квартира располагается в Великобритании, имеются филиалы в Барселоне.

Востребованность Exmo вызвана тем, что на бирж можно выводить фиатные валюты (USD и EUR) напрямую на банковскую карту.  Но эта могут сделать только верифицированные пользователи. А сама верификация  занимает много времени (в некоторых случая больше меясца) и включает в себя предоставление паспортных данных, информации о месте регистрации, подписания соглашения, а также селфи-фото с документом на фоне персонального аккаунта в EXMO.

Помимо этого, при каждом выводе средств надо подтвердить по e-mail, либо с помощью двухфакторной аутентификации по смс или по TOTP (Google Authenticator).. Фактически это происходит следующим образом: после того, как вы в своем профиле запросили вывод средств, на почту приходит сообщение с ссылкой, перейдя по которой вы подтверждаете операцию. После чего ваш запрос на вывод средств отправляется на обработку и проверку.

Как написали работники биржи на одном из форумов, на проверку запроса может уйти до трех суток. Практически обработка вывода средств действительно требуется много времени,  за которое может измениться курс, что, в свою очередь приводит к потери дохода.

На фото ниже показана проверка. На данный адрес неоднократно выводились деньги с российского ip-адреса. Несмотря на это, обработка запроса на вывод средств  заняла 16 часов.

Существует еще один способ вывести активы без подтверждения — с помощью API. Это делается вручную через запрос в техническую поддержку биржи.

При этом при смене пароля и типа защиты  система  замораживает  вывод средств на 48 часов.

Что общего у трех случаев пропажи средств

В каждом примере вывод средств походил в относительно небольшие сроки, запрос шел через прокси, при том, что ни один пользователь биржи не применял эту функцию. Во всех трех случаях  на биржу входили  с российских IP-адресов, а мошенники запрашивали вывод средств с зарубежных адресов. Имена всех героев изменены.

Первая история

Первая жертва, которую мы назовем Алекс, пользовался  почтой Gmail, адрес защищен двухфакторной аутентификацией, для входа на биржу двухфакторная аутентификация не применялась. Алекс — программист, работает на Windows, то есть  технически осведомленный пользователь. Он работает на Chrome, сомнительных плагинов не использует, применяет разные пароли для разных сервисов.

Хронология событий:

— 26 января в 7:48 аккаунт Алекса проходит верификацию,

— 28 января в 18:24 злоумышленник заходит в аккаунт из Люксембурга,

— 28 января в 18:38 злоумышленник покупает криптовалюту в паре DOGE/BTC,

— 28 января в 18:41 злоумышленник выводит средства DOGE с аккаунта.

Важно, что в 18:41 был подтвержден вывод средств, а не создана заявка.

Оповещения по электронный ящик Алекс не получил, ссылки для  для подтверждения вывода средств он не получал.

UPD. Представители биржи уверяют, что письмо для подтверждения вывода средств  было отправлено. На изображении ниже:

Таким образом за три минуты после покупки криптовалюты Doge незаконно вывели $1800 . По неизвестным причина обработка запроса прошла быстро, а служба безопасности не обратила внимания на то, что пользователь зашел с люксембургского адреса и использовал новый адрес.

Случай второй

 Боб тоже вложил средства в биржу, покупал и продавал монеты, иногда выводил прибыль на электронные кошельки. На сайте Exmo он включил  двухфакторную аутентификацию по смс. ПО неизвестным причинам месяц Боб не мог войти в свой аккаунт, в том числе и тогда, когда средства были выведены. Техническая поддержка биржи реагировала на сообщения медленно и неохотно.

Ход событий:

— 30 декабря в 9:22 злоумышленник заходит на биржу из Амстердама. Боб не появлялся на сайте биржи с 27 декабря, 30 декабря сообщение для подтверждении входа на биржу он не получил,

— 30 декабря в 9:23 злоумышленник меняет валюту в паре WAVES/BTC,

— 30 декабря в 9:26 злоумышленник выключает аутентификацию по смс и включает TOTP (Google Authenticator). Здесь же видно, что идет запрос на восстановление  пароля в 9:22 , через минуту видим вход в аккаунт,

— 2 января в 9:29 злоумышленник выводит деньги. Через 48 часов после смены способа защиты. Так проверку запроса на вывод средств опять получилось миновать, несмотря на нетипичный IP-адрес, новый адрес вывода, а также смену способа защиты и пароля.

В результате было украдено порядка $300. Боб смог зайти в свой аккаунт лишь в феврале.

UPD. Сотрудники биржи отрицают  использование Бобом двухфакторной аутентификации по смс: «У пользователя НЕ был настроен СМС-вход (2FA) , самой верхней строчкой видно что пользователь указал телефон на который ему был отправлен код для настройки смс — входа, но код не был введен и следовательно настройка НЕ была завершена».

Третья история

Третью жертву зовут  Виктория, она долго время торгует и обменивает криптовалюты, у нее хороший рейтинг   на сервисе LocalBitcoin.

Виктория работает на Mac OS X, следит за конфиденциальностью,  плагинов не устанавливает, использует аккаунт  Mail.ru с функцией аутентификации по смс. Пароли от профиля Exmo и почты Mail.ru у Виктории совпадали.

Злоумышленник выключил  двухфакторную аутентификацию на почте Mail.ru, и неизвестным образом заполучил паспортные данные Виктории и предоставил их технической поддержке. Это подтвердила служба подержки Mail.ru.

В данной истории средства были выведены не только с биржи Exmo, но и с кошелька LocalBitcoin и биржи Yobit.

Хронология событий:

— 4 февраля в 12:07 злоумышленник входит в аккаунт биржи Exmo,

— 7 февраля в 18:33 злоумышленнику входит на почту Mail.ru после отключения верификации,

— 7 февраля в 18:42 (15:42) злоумышленник проводит торги, переводя все средства в BTC,

— 7 февраля в 19:13 (16:13) злоумышленник полностью выводит все BTC с аккаунта биржи Exmo.

Вывод средств BTC одобрили за 30 минут. Суммарно со всех площадок вывели  $35,000.

UPD. Комментарий биржи: «Так как пароли были одинаковые, то был получен доступ к аккаунту, где пользователь загружал данные на верификацию (картинку скачать злоумышленник не мог, но знал данные пользователя: дату рождения, номер паспорта и мог найти данные в базе банков), также раз пароли совпадают на почте и сайте EXMO, вероятнее всего, что они совпадают и на других сервисах откуда могли получить личные данные пользователя».

Информация к размышлению. Как работает сброс пароля

Если установить двухфакторную аутентификацию, выйти из аккаунта и запросить восстановление пароля, то можно получить новый пароль в открытом виде на почте.

При этом прежний пароль еще работает.

В связи с этим возникает несколько вопросов:

Хранит ли Exmo пароли пользователей в открытом виде?

Акова вероятность того, что сотрудники могут перехватывать письма, которые отправляют пользователям, и так выводить средства со счетов?

Официальная реакция биржи Exmo

Жертвы обращались в техническую поддрежку биржи Exmo , но это не разрешило ситуацию (12) . Служба биржи отвечают раз в несколько дней, и эти ответы стандартизированы.

Мы направили редакционный запрос бирже Exmo . Но представители не  стали рассказывать о том, происходили такие инциденты ранее, могут ли сотрудники  выводить средства пользователей, и будут ли предприняты какие-то меры для повышения надежности биржи. PR-менеджер Exmo дал обещание разобраться в произошедшем, но на повторный запрос никто не среагировал.

UPD. После публикации этого материала нам пришло письмо от представителей биржи, которые прокомментировали каждый случай и ответили на наши вопросы.

— Как часто у вас происходят подобные мошеннические случаи вывода средств?

Действительно, такие случаи встречаются, однако крайне редко и связаны исключительно с тем, что пользователи не соблюдают рекомендации и правила по обеспечению безопасности своих аккаунтов на платформе.

— Будут ли предприняты какие-то дополнительные меры для повышения надежности биржи?

Платформа постоянно работает над повышением безопасности аккаунтов и предоставляет весь доступный спектр современных инструментов для защиты. Также со стороны EXMO происходит регулярное информирование пользователей о необходимости защиты аккаунтов и доступных инструментах безопасности. При этом, каждый пользователь несет персональную ответственность за сохранность своих личных средств на биржевом счете.

— Рассматриваете ли вы версию, что сотрудники биржи могут незаконно выводить средства пользователей?

Подобные сценарии исключены, поскольку работа департаментов децентрализована таким образом, чтобы сотрудники имели доступ только ограниченному количеству информации необходимому для решения операционных задач. Ни один из сотрудников EXMO не обладает достаточным количеством доступов, чтобы совершить мошеннические действия.

Мы надеемся привлечь внимание администрации Exmo к данной проблеме, а почтовый сервис Mail.ru призываем пересмотреть свои инструкции по безопасности при отключении двухфакторной аутентификации.

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ