Paypal은 인기있는 온라인 결제 시스템입니다. 거의 모든 국가에서 Google Pay와 같은 다른 결제 시스템은 링크를 만듭니다. Paypal 계정에서 찾은 자금으로 지불 할 수 있으며, 계산되지 않으면 연결된 직불 카드 또는 신용 카드에서 자금을 가져옵니다.
카드로 간단히 결제 할 수있을 때 다소 혼란 스러울 수 있지만, 많은 사람들이 플라스틱이 복제되는 것을 방지하기 위해 이러한 방식으로 결제하는 것을 선호합니다. ).
하지만 이것이 훨씬 더 큰 문제를 일으킨 것 같습니다 그 많은 사람들은 무단 결제를 발견했다고보고하기 시작했습니다. PayPal 포럼 또는 Twitter와 같은 다양한 플랫폼에서 PayPal 계정으로 보고서에는 모두 PayPal과 Google Pay 통합을 사용했다는 공통점이 있습니다.
21 월 XNUMX 일 금요일 이후로 때때로 천 유로를 초과하는 거래가 Google Pay 계정에서 발생한 것처럼 PayPal 내역에 표시됩니다.
트위터의 피해자 중 한 명이 비정상적인 구매를 발견했다고 말했습니다. $ 500 상당의 AirPods XNUMX 쌍. 따라서 구매를 취소 할 수 없습니다. 공공 보고서에 따르면 추정 피해액은 현재 수만 유로입니다.
Markus Fenske에 따르면 사이버 보안 연구원 트위터에서 "iblue"라는 별칭으로 해커는 PayPal과 Google Pay 통합의 결함을 악용했습니다. 트위터에서 전문가는 2019 년 XNUMX 월 위반 사실을 회사에 경고했다고 주장하지만 그룹은이를 우선 순위로 삼지 않았습니다.
PayPal 계정이 Google Pay 계정에 연결되면 PayPal은 가상 신용 카드를 생성하고 Fenske는 자신의 카드 번호, 만료일 및 CVV를 사용합니다.
«PayPal은 Google Pay를 통한 비접촉 결제를 허용합니다. 이를 구성하면 모바일에서 가상 신용 카드의 카드 정보를 읽을 수 있습니다. 인증이 필요하지 않습니다.”라고 Markus Fenske는 후회합니다.
이러한 조건에서 해커는 가상 카드에서 데이터를 수집 할 수 있습니다. 이 데이터 덕분에 해커는 자신의 계정으로 상점에서 구매하는 데 어려움이 없습니다.
거래 수신자는 종종 대상 상점입니다., "Target T-"형식의 선언에서 참조됩니다. Google 검색은 이러한 다양한 상점의 위치를 상당히 빠르게 식별합니다.
조사관은 공격자가 세부 정보를 얻을 수있는 세 가지 방법이있을 수 있다고 말했습니다. 가상 카드의.
먼저 사용자의 전화 또는 화면에서 카드 세부 정보를 읽습니다. 둘째, 멀웨어가 사용자의 기기를 감염시킵니다. 마침내 그것을 추측합니다.
Fenske는 "공격자가 단순히 카드 번호와 만료일을 강요했을 가능성이 있습니다.이 기간은 약 XNUMX 년입니다."라고 말했습니다. '이것은 꽤 작은 연구 공간을 만듭니다. 그리고 "CVC는 중요하지 않다"는 것을 명확히하기 위해 "모든 것이 받아 들여진다"고 설명합니다.
취약점이 악용되기 전에도 해커가 불만에 대한 기사를 작성했습니다. PayPal에서 발견 한 보안 허점 처리 엘비판은 PayPal이 보상 프로그램을 제공한다는 것입니다. HackerOne을 통한 오류, 그러나 이것은 순수한 외관입니다.
기사 작성자는 몇 가지 취약점을보고했지만 PayPal의 답변은 도움이되지 않았습니다. 예를 들어, 언급 된 공백 중 하나는 2FA를 우회 할 수 있도록하고 다른 하나는 PIN없이 새 전화기를 등록 할 수 있도록합니다.
Fenske는 haraks는 이러한 "가상 카드"의 세부 사항을 발견하는 방법을 찾았습니다. 그리고 그들은 미국과 독일 상점에서 무단 거래를 위해 카드 정보를 사용하고 있습니다 (대부분의 피해자는 독일에 있습니다).
정보에 대해서 감사드립니다!
나는 보안에 관한 유익한 이러한 유형의 기사를 좋아합니다.