Atention: Un bug logique dans JUICE peut vous faire perdre tout votre argent
Read this article in English | lire sa lartik la en Creole
Cela fait quelques mois que nous recevons des appels à l'aide concernant certaines victimes d'escroqueries en ligne. Nous essayons de ne pas interférer ou de trop nous impliquer ces jours-ci, principalement en raison de notre emploie du temps et d'autres engagements plus urgents, mais après avoir vu tant de victimes de telles escroqueries, nous avions l'obligation morale d'écrire au moins quelques lignes à ce sujet.
Tout a commencé quelque semaines de cela où cet homme de 30 ans, un habitant du Sud qui nous a contacté en panique, disant que tout son argent avait disparu de son compte bancaire. Le jeune homme, "aide-maçon" de profession vit dans un quartier pauvre de notre ile. Sa mère et lui ont économisé chaque centime qu'ils pouvaient pour qu'ils puissent tous les deux acheter une nouvelle maison. Ils avaient en fait atteint le montant d'argent dont ils avaient besoin pour le logement et étaient sur le point de déménager, mais malheureusement, le jeune homme Armo (nom fictif), a commencé à recevoir des appels téléphoniques sur WhatsApp venant de l'étranger. Après avoir entendu ce qu'il avait à dire, je lui ai conseillé d'aller d'urgence à la police et de mettre une plainte. Il est allé à l'unité informatique de la police où les policiers l'ont guidé et ont pris son cas. On aussi noté que à l'unité informatique de la police, il y avait une énorme file d'attente de personnes qui ont vécu le même problème. J'ai passé un peu de temps au cours des dernières semaines à parler à chacune de ces personnes pour essayer de comprendre ce qui leur était arrivé. Quand j'ai réalisé ce qui s'était passé, j'ai été profondément choqué. Sans l'avoir préalablement étudié j'aurais instantanément reproché aux gens d'être assez stupides pour avoir donné leurs détails, mais j'ai réalisé qu'il y avait autre chose.
Armo ne connaît pas très bien la langue Anglaise et il n'est pas très calé en ce qui concerne la technologie de l'information. Avant d'avoir perdu tout son argent., Armo est allé à sa banque il y a quelque temps et avait demandé à recevoir un système sur son téléphone où il peut VOIR son solde et celui de sa mère (dont il a un compte joint). Remarquez, il voulait juste VOIR son solde en paix depuis chez lui.
L'attaque
Malheureusement, Armo a commencé à recevoir ces appels téléphoniques frauduleux via Whatsapp. Ces escrocs étaient de professionels, ils ont discuté avec Armo en prétendant d'être des employés de banque et l'ont convaincu que son numéro de téléphone avait gagné une grosse somme d'argent (nous savons tous que c'est douteux, mais rappelez-vous que Armo comme beaucoupe d'autres personne ne connait pas grand chose en ce qui concerne la technologie). Je pense donc que c'est parfaitement compréhensible qu'il soit tombé dans le panneau, mais de toute façon, l'escroc a progressivement commencé à demander à converser avec Armo. Finalement, en demandant simplement des informations personnelles à Armo, le fraudeur a pu enregistré un profil bancaire en ligne sur compte d'Armo. Bizarrement, Armo n'a jamais de sa vie, selon ce qu'il dit, accepté d'avoir des services bancaires en ligne, encore une fois, rappelez-vous qu'Armo voulait juste un moyen de voir son solde.
Eh bien, finalement, Armo a commencé à recevoir des SMS One Time Password sur son téléphone et l'escroc lui a demandé le code, Armo n'étant pas informé de ce qu'est un OTP (mot de passe à usage unique), il a facilement donné les détails en pensant que c'était la banque qui lui demandait pour un code qu'ils lui ont eux-mêmes envoyé afin qu'ils puissent lui transférer de l'argent.
Malheureusement pour Armo, en seulement 24 heures, près de 900 000 roupies ont été volées de son compte via les services bancaires en ligne.
Armo n'est pas le premier ni le dernier, au cours des dernières semaines d'enquêtes, j'ai rencontré d'autres personnes qui ont été victimes de la même arnaque, personne n'en a parlé dans les médias et la banque en question n'a même pas émis d'avertisement pour proteger ces client de ce genre de fraudes. Je connais une autre fille qui a perdu Rs.5000 et peut-être Rs.80,000 de plus sous une fausse escroquerie d'investissement. Une autre personne s'est fait voler Rs.1M de la même manière mais a préfèré garder son anonymat. Un néophyte pourrait dire qu'il ne s'agit pas d'une vulnérabilité mais plutôt que ces personnes elles-mêmes qui ont été dupées en donnant leurs coordonnées, eh bien dans ce cas, les développeurs et les propriétaires de produits doivent assumer leur responsabilité.
Lorsque vous proposez un produit, vous devez vous assurer qu'il est compris par votre clientèle, et que tout le processus autour de votre logiciel est aussi compris par votre utilisateurs. Dans ce cas, la personne n'a en aucun cas voulu donner ses économies. C'est une tragédie car différents gardiens de données ont agi de manière irresponsable lorsqu'on leur a confié la responsabilité de protéger l'argent durement gagné par ces gens.
La vulnérabilité dans ce cas n'est pas vraiment de nature technique, mais plutôt logique et peut être décomposée comme suit :
- Comment puis-je avoir un accès en ligne à mon compte bancaire si je n'en ai pas créé un et que j'ai n'est pas fait la demande en face à face à ma banque?
- Si, lorsque quelqu'un s'inscrit sur l'application Juice, le responsable de la banque vous fait-il simplement signer aveuglément quelque chose qui donne accès aux services bancaires en ligne ? si tel est le cas, je ne suis pas avocat, ne viole-t-il pas d'une manière ou d'une autre le contrat qu'il a avec le client ? c'est-à-dire exploiter le fait qu'il ne sait pas et lui faire signer pour quelque chose qu'il n'a pas demandé ?
- Juice utilise-t-il une API spécifique ou utilise-t-il également la même API pour les services bancaires en ligne ?
- N'y a-t-il pas de limite quant au montant que vous pouvez transférer quotidiennement ? Je gagne décemment, mais je ne peux pas transférer autant d'argent depuis ma banque en ligne sans que ma banque ne m'appelle et me dise "Monsieur, nous avons remarqué que vous transfériez X montant, êtes-vous sûr ?", alors comment se fait-il que quelqu'un qui gagne si peu n'a pas de limites sur le montant transféré et que Rs.900k s'est volatilisé en moins de 48 heures ?
- Même s'il s'agissait d'un achat en ligne, n'y aurait t'il pas dû avoir une limite?
La solution à cela aurait été très simple, pour activer les services bancaires en ligne, vous devez être présent en personne à la banque, demander accès en ligne à votre compte bancaire et signer pour cela. Il devrait également y avoir des limites quotidiennes dans le nombre de virements que vous pouvez faire avec votre banque en ligne ! C'était un bug stupide et honteux et ces personnes auraient toujours leur argent si les processus autour de l'application avaient été conçus en tenant compte d'aspects très évidents de la cybersécurité. Et ce n'est même pas la faute des développeurs, c'est la responsabilité de celui qui a conçu le produit de s'assurer que ces processus ont des limites appropriées lorsqu'il s'agit de l'argent durement gagné des clients.
Tous ces points m'amènent à croire que c'est une faille logique dans l'idée de cette application qui a causé un tel problème.
Cet article a été écrit par Pirabarlen au nom de hackers.mu dans l'espoir que nous puissions empêcher quelqu'un d'autre de perdre de l'argent à cause de ce type particulier de fraude. Il est vraiment douloureux de voir quelqu'un perdre ses économies à cause de quelque chose d'aussi simple qu'une mauvaise pratique de sécurité et cela aussi venant d'un endroit où nous attendons tous que tous les aspects de la sécurité soient présent.
Note: Cet article ne vise pas à blâmer les banques ou les gens. Nous réalisons que les deux parties essaient de prendre des mesures pour sécuriser leurs infrastructures (espérons-le), mais cela expose un problème très présent dans notre société que les banques peuvent réduire en y ajoutant une couche humaine, que je connais déjà certaines banques fait à Maurice et ailleurs.