Paypal er et populært online betalingssystem og med stor accept i næsten alle lande ud over andre betalingssystemer såsom Google Pay opretter et link at være i stand til at betale med de midler, der findes på Paypal-konti, som igen, hvis de ikke tælles, tager pengene fra de tilknyttede debet- eller kreditkort.
Dette kan være noget forvirrende, når du bare kan betale med dine kort, og det er det, men mange foretrækker at foretage betalinger på denne måde for at forhindre, at deres plast bliver klonet eller simpelthen fordi det, de vil betale, tæller med den lethed (generelt online ).
Pero det ser ud til, at dette har skabt et meget større problem så mange folk er begyndt at rapportere, at de har opdaget uautoriserede betalinger med din PayPal-konto på forskellige platforme, såsom PayPal-fora eller Twitter, hvoraf alle Rapporterne har det til fælles, at de alle har brugt Google Pay-integrationen med PayPal.
Siden denne fredag den 21. februar vises transaktioner, der undertiden overstiger tusind euro, i din PayPal-historie, som om de kom fra din Google Pay-konto.
Et af ofrene på Twitter sagde, at hun havde bemærket et usædvanligt køb på tre par AirPods, svarende til $ 500. Derfor er det umuligt at annullere købet. Ifølge offentlige rapporter er de anslåede skader i øjeblikket i titusinder af euro.
Ifølge Markus Fenske, en cybersikkerhedsforsker med aliaset "iblue" på Twitter, Hackerne udnyttede en fejl i Google Pay-integrationen med PayPal. På Twitter hævder eksperten at have advaret virksomheden om eksistensen af et brud i februar 2019, men gruppen har ikke prioriteret det.
Når en PayPal-konto er knyttet til en Google Pay-konto, PayPal opretter et virtuelt kreditkort, med dit eget kortnummer, udløbsdato og CVV, siger Fenske.
«PayPal tillader kontaktløse betalinger via Google Pay. Hvis du konfigurerer det, kan du læse kortoplysningerne på et virtuelt kreditkort fra mobilen. Godkendelse er ikke påkrævet ”, beklager Markus Fenske.
Under disse forhold hackere kan indsamle data fra virtuelle kort. Takket være disse data har en hacker ingen problemer med at købe i butikken på sin konto.
Modtagere af transaktioner er ofte målbutikker, som der henvises til i erklæringer i form "Target T-". En Google-søgning identificerer placeringen af disse forskellige butikker ret hurtigt.
Efterforskeren sagde, at der kunne være tre måder, en angriber kunne få detaljerne på af et virtuelt kort.
Først ved at læse kortoplysningerne på en brugers telefon eller skærm. For det andet ved malware, der inficerer en brugers enhed. Gæt det endelig.
”Det kunne være muligt, at angriberen simpelthen tvang kortnummeret og udløbsdatoen, som ligger i området omkring et år,” sagde Fenske. 'Dette gør det til et ganske lille forskningsrum. Og for at præcisere, at "CVC'en ikke betyder noget" og forklare, at "Alt er accepteret."
Allerede før sårbarheden blev udnyttet, hackere lavede en artikel om klagerne om håndtering af sikkerhedshuller fundet af PayPal. LKritikken er, at PayPal tilbyder et belønningsprogram fejl via HackerOne, men dette er en ren facade.
Artiklenes forfattere sagde, at de rapporterede om flere sårbarheder, men PayPal's svar var alt andet end nyttige. For eksempel giver et af de nævnte huller dig mulighed for at omgå 2FA, et andet giver dig mulighed for at registrere en ny telefon uden en PIN-kode.
Det tror Fenske Hagaks har fundet en måde at finde detaljerne i disse "virtuelle kort" og de bruger kortoplysningerne til uautoriserede transaktioner i amerikanske og tyske butikker (de fleste ofre er i Tyskland).
Tak for info!
Jeg kan godt lide disse typer artikler, informative om sikkerhed.