Paypal היא מערכת תשלומים מקוונת פופולרית ועם קבלה רבה כמעט בכל המדינות בנוסף ל מערכות תשלום אחרות כגון Google Pay יוצרות קישור כדי להיות מסוגל לשלם בכספים שנמצאו בחשבונות Paypal, אשר בתורם, אם לא נספרים, לוקח את הכספים מכרטיסי החיוב או האשראי המקושרים.
זה יכול להיות קצת מבלבל כאשר אתה יכול פשוט לשלם בכרטיסים שלך וזהו, אך אנשים רבים מעדיפים לבצע תשלומים בדרך זו כדי למנוע את שיבוט הפלסטיק שלהם או פשוט מכיוון שמה שהם רוצים לשלם יש את הקלות הזו (בדרך כלל באינטרנט) .
אבל נראה כי הדבר יצר בעיה גדולה בהרבה שכל כך הרבה אנשים החלו לדווח שגילו תשלומים לא מורשים עם חשבון ה- PayPal שלך בפלטפורמות שונות, כגון פורומים של PayPal או Twitter, שכולם המשותף לדוחות הוא שכולם השתמשו בשילוב Google Pay עם PayPal.
מאז יום שישי הקרוב, 21 בפברואר, עסקאות העולות לעתים על אלף יורו מופיעות בהיסטוריית ה- PayPal שלך, כאילו הגיעו מחשבון Google Pay שלך.
אחת הקורבנות בטוויטר אמרה כי הבחינה ברכישה יוצאת דופן של שלושה זוגות AirPods, תמורת סכום שווה ערך ל 500 $. לכן אי אפשר לבטל את הרכישה. הנזקים המשוערים הם כיום בעשרות אלפי אירו, על פי דיווחים פומביים.
לדברי מרקוס פנסקה, חוקר אבטחת סייבר עם הכינוי "iblue" בטוויטר, ההאקרים ניצלו פגם בשילוב Google Pay עם PayPal. בטוויטר טוען המומחה כי הזהיר את החברה מפני קיומה של הפרה בפברואר 2019, אך הקבוצה לא העדיפה אותה.
כאשר חשבון PayPal מקושר לחשבון Google Pay, PayPal יוצרת כרטיס אשראי וירטואלי, עם מספר כרטיס משלך, תאריך תפוגה ו- CVV, אומר פנסקה.
«PayPal מאפשרת תשלומים ללא מגע באמצעות Google Pay. אם תגדיר את זה, תוכל לקרוא את פרטי הכרטיס של כרטיס אשראי וירטואלי מהנייד. אימות אינו נדרש ", מצטער מרקוס פנסקה.
בתנאים אלה, האקרים יכולים לאסוף נתונים מכרטיסים וירטואליים. בזכות נתונים אלה, האקר לא מתקשה לבצע רכישות בחנות על חשבונו.
מקבלי עסקאות הם לעתים קרובות חנויות יעד, המוזכרים בהצהרות בצורה "יעד T-". חיפוש בגוגל מזהה את מיקום החנויות השונות הללו די מהר.
החוקר אמר שיכולות להיות שלוש דרכים שתוקף יכול לקבל את הפרטים של כרטיס וירטואלי.
ראשית, על ידי קריאת פרטי הכרטיס בטלפון או במסך של המשתמש. שנית, על ידי תוכנות זדוניות שמדביקות את המכשיר של המשתמש. סוף סוף מנחש את זה.
"יכול להיות שהתוקף פשוט כפה את מספר הכרטיס ותאריך התפוגה, שהם בטווח של כשנה", אמרה פנסקה. 'זה הופך אותו למרחב מחקר די קטן. ולהבהיר כי "ה- CVC לא משנה", ולהסביר כי "הכל מתקבל."
עוד לפני שנוצלה הפגיעות, ההאקרים הכינו מאמר על התלונות על טיפול בחורי אבטחה שנמצאו על ידי PayPal. להביקורת היא ש- PayPal מציעה תוכנית תגמולים שגיאה באמצעות HackerOne, אבל זו חזית טהורה.
מחברי המאמר אמרו כי הם דיווחו על מספר נקודות תורפה, אך התגובות של פייפאל היו מועילות. לדוגמא, אחד הפערים שהוזכרו מאפשר לך לעקוף את 2FA, אחר מאפשר לך לרשום טלפון חדש ללא PIN.
פנסקה מאמינה בכך ההארקים מצאו דרך לגלות את הפרטים של "הכרטיסים הווירטואליים" האלה והם משתמשים בפרטי הכרטיס לעסקאות לא מורשות בחנויות אמריקאיות וגרמניות (רוב הקורבנות נמצאים בגרמניה).