Paypal ist ein beliebtes Online-Zahlungssystem und mit großer Akzeptanz in fast allen Ländern zusätzlich zu Andere Zahlungssysteme wie Google Pay stellen einen Link her in der Lage zu sein, mit dem auf den Paypal-Konten gefundenen Geld zu bezahlen, das wiederum, wenn es nicht gezählt wird, das Geld von den verknüpften Debit- oder Kreditkarten abzieht.
Dies kann etwas verwirrend sein, wenn Sie einfach mit Ihren Karten bezahlen können und das war's, aber viele Leute ziehen es vor, Zahlungen auf diese Weise zu tätigen, um zu verhindern, dass ihre Kunststoffe geklont werden, oder einfach, weil das, was sie bezahlen möchten, so einfach ist (normalerweise online) ).
Birne es scheint, dass dies ein viel größeres Problem erzeugt hat so viele Menschen haben angefangen zu melden, dass sie nicht autorisierte Zahlungen entdeckt haben mit Ihrem PayPal-Konto auf verschiedenen Plattformen wie PayPal-Foren oder Twitter, von denen alle Den Berichten ist gemeinsam, dass alle die Google Pay-Integration mit PayPal verwendet haben.
Seit diesem Freitag, dem 21. Februar, werden Transaktionen, die manchmal mehr als tausend Euro betragen, in Ihrem PayPal-Verlauf so angezeigt, als ob sie von Ihrem Google Pay-Konto stammen.
Eines der Opfer auf Twitter sagte, sie habe einen ungewöhnlichen Kauf bemerkt von drei AirPod-Paaren für umgerechnet 500 US-Dollar. Daher ist es unmöglich, den Kauf zu stornieren. Der geschätzte Schaden liegt laut öffentlichen Berichten derzeit bei Zehntausenden von Euro.
Laut Markus Fenske ein Cybersicherheitsforscher mit dem Alias "iblue" auf Twitter, Die Hacker haben einen Fehler in der Google Pay-Integration mit PayPal ausgenutzt. Auf Twitter behauptet der Experte, das Unternehmen vor einem Verstoß im Februar 2019 gewarnt zu haben, aber die Gruppe hat dies nicht zu einer Priorität gemacht.
Wenn ein PayPal-Konto mit einem Google Pay-Konto verknüpft ist, PayPal erstellt eine virtuelle Kreditkarte, mit eigener Kartennummer, Ablaufdatum und CVV, sagt Fenske.
«PayPal ermöglicht kontaktloses Bezahlen über Google Pay. Wenn Sie es konfigurieren, können Sie die Kartendetails einer virtuellen Kreditkarte vom Mobiltelefon aus lesen. Eine Authentifizierung ist nicht erforderlich “, bedauert Markus Fenske.
Unter diesen Bedingungen Hacker können Daten von virtuellen Karten sammeln. Dank dieser Daten hat ein Hacker keine Schwierigkeiten, auf seinem Konto Einkäufe im Geschäft zu tätigen.
Empfänger von Transaktionen sind häufig Zielspeicher, auf die in Deklarationen in der Form "Target T-" verwiesen wird. Eine Google-Suche identifiziert den Standort dieser verschiedenen Geschäfte ziemlich schnell.
Der Ermittler sagte, es könne drei Möglichkeiten geben, wie ein Angreifer die Details erfahren könne einer virtuellen Karte.
Lesen Sie zunächst die Kartendetails auf dem Telefon oder Bildschirm eines Benutzers. Zweitens durch Malware, die das Gerät eines Benutzers infiziert. Endlich erraten.
"Es ist möglich, dass der Angreifer einfach die Kartennummer und das Ablaufdatum erzwungen hat, was im Bereich von etwa einem Jahr liegt", sagte Fenske. 'Dies macht es zu einem ziemlich kleinen Forschungsraum. Und um zu verdeutlichen, dass "der CVC keine Rolle spielt" und zu erklären, dass "alles akzeptiert wird".
Noch bevor die Sicherheitslücke ausgenutzt wurde, Die Hacker machten einen Artikel über die Beschwerden zum Umgang mit Sicherheitslücken, die PayPal gefunden hat. L.Die Kritik ist, dass PayPal ein Prämienprogramm anbietet Fehler über HackerOne, aber das ist eine reine Fassade.
Die Autoren des Artikels gaben an, mehrere Sicherheitslücken gemeldet zu haben, aber die Antworten von PayPal waren alles andere als hilfreich. In einer der genannten Lücken können Sie beispielsweise 2FA umgehen, in einer anderen können Sie ein neues Telefon ohne PIN registrieren.
Fenske glaubt das Die Hagaks haben einen Weg gefunden, die Details dieser "virtuellen Karten" zu entdecken. und sie verwenden die Kartendaten für nicht autorisierte Transaktionen in amerikanischen und deutschen Geschäften (die meisten Opfer sind in Deutschland).