Paypal هو نظام دفع عبر الإنترنت شائع جدًا وتحظى بقبول كبير في جميع البلدان تقريبًا بالإضافة إلى أنظمة الدفع الأخرى مثل Google Pay تقوم بعمل رابط للدفع بالأموال الموجودة في حسابات Paypal ، والتي بدورها ، إن لم يتم احتسابها ، تأخذ الأموال من بطاقات الخصم أو الائتمان المرتبطة.
قد يكون هذا محيرًا إلى حد ما عندما يمكنك ببساطة الدفع ببطاقاتك وهذا كل شيء ، لكن الكثير من الناس يفضلون إجراء مدفوعات بهذه الطريقة لمنع استنساخ البلاستيك الخاص بهم أو ببساطة لأن ما يريدون دفعه مهم بهذه السهولة (بشكل عام عبر الإنترنت ).
بيرو يبدو أن هذا قد ولّد مشكلة أكبر بكثير هذا العدد بدأ الأشخاص في الإبلاغ عن اكتشافهم لمدفوعات غير مصرح بها باستخدام حساب PayPal الخاص بك على منصات مختلفة ، مثل منتديات PayPal أو Twitter ، وكلها تشترك التقارير في أنها استخدمت جميعها تكامل Google Pay مع PayPal.
منذ يوم الجمعة 21 فبراير ، تظهر المعاملات التي تتجاوز أحيانًا ألف يورو في سجل PayPal الخاص بك ، كما لو أنها أتت من حساب Google Pay الخاص بك.
قالت إحدى الضحايا على تويتر إنها لاحظت عملية شراء غير عادية ثلاثة أزواج من AirPods ، بما يعادل 500 دولار أمريكي. لذلك ، من المستحيل إلغاء الشراء. وتشير التقارير العامة إلى أن الأضرار المقدرة حاليًا تصل إلى عشرات الآلاف من اليورو.
وفقًا لماركوس فينسكي ، باحث في الأمن السيبراني مع الاسم المستعار "iblue" على تويتر ، استغل المتسللون ثغرة في تكامل Google Pay مع PayPal. ويزعم الخبير على موقع تويتر أنه حذر الشركة من وجود انتهاك في فبراير 2019 ، لكن المجموعة لم تجعله أولوية.
عندما يكون حساب PayPal مرتبطًا بحساب Google Pay ، ينشئ PayPal بطاقة ائتمان افتراضية ، برقم بطاقتك وتاريخ انتهاء الصلاحية ورقم CVV ، كما يقول Fenske.
«يسمح PayPal بالدفع بدون تلامس من خلال Google Pay. إذا قمت بتكوينه ، يمكنك قراءة تفاصيل بطاقة بطاقة الائتمان الافتراضية من الهاتف المحمول. المصادقة ليست مطلوبة "، يأسف ماركوس فينسكي.
في هذه الظروف ، يمكن للقراصنة جمع البيانات من البطاقات الافتراضية. بفضل هذه البيانات ، لا يجد المخترق صعوبة في إجراء عمليات شراء في المتجر على حسابه.
غالبًا ما يكون مستلمو المعاملات هم المتاجر المستهدفة، والتي يشار إليها في الإعلانات بالصيغة "Target T-". يحدد بحث Google موقع هذه المتاجر المختلفة بسرعة إلى حد ما.
وقال المحقق إنه قد تكون هناك ثلاث طرق يمكن للمهاجم من خلالها الحصول على التفاصيل من بطاقة افتراضية.
أولاً ، من خلال قراءة تفاصيل البطاقة على هاتف أو شاشة المستخدم. ثانيًا ، من خلال إصابة البرامج الضارة بجهاز المستخدم. أخيرا تخمين ذلك.
وقال فينسكي: "من الممكن أن يكون المهاجم قد فرض رقم البطاقة وتاريخ انتهاء الصلاحية ، وهو في حدود حوالي عام". هذا يجعلها مساحة بحث صغيرة جدًا. ولتوضيح أن "رمز التحقق من البطاقة (CVC) لا يهم" موضحًا أن "كل شيء مقبول".
حتى قبل أن يتم استغلال الثغرة الأمنية ، قدم المتسللون مقالًا حول الشكاوى في التعامل مع الثغرات الأمنية التي اكتشفها PayPal. إلالنقد هو أن PayPal يقدم برنامج مكافآت خطأ عبر HackerOne ، لكن هذه واجهة خالصة.
قال مؤلفو المقال إنهم أبلغوا عن العديد من نقاط الضعف ، لكن ردود PayPal لم تكن مفيدة على الإطلاق. على سبيل المثال ، تتيح لك إحدى الثغرات المذكورة تجاوز 2FA ، بينما تتيح لك أخرى تسجيل هاتف جديد بدون رقم تعريف شخصي.
يعتقد Fenske ذلك لقد وجدت عائلة Hagak طريقة لاكتشاف تفاصيل هذه "البطاقات الافتراضية" وهم يستخدمون تفاصيل البطاقة للمعاملات غير المصرح بها في المتاجر الأمريكية والألمانية (معظم الضحايا في ألمانيا).