„Paypal“ yra labai populiari internetinė mokėjimo sistema ir be didelių sutikimų beveik visose šalyse kitos mokėjimo sistemos, pvz., „Google Pay“, sukuria nuorodą mokėti „Paypal“ sąskaitose rastomis lėšomis, kurios, savo ruožtu, jei neskaičiuojamos, paima lėšas iš susietų debeto ar kredito kortelių.
Tai gali būti šiek tiek painu, kai galite paprasčiausiai atsiskaityti kortelėmis, ir viskas, tačiau daugelis žmonių nori mokėti tokiu būdu, kad būtų išvengta jų plastiko klonavimo, arba paprasčiausiai dėl to, kad tai, ką jie nori mokėti, yra taip lengva (paprastai internete) .
Bet atrodo, kad tai sukėlė daug didesnę problemą kad daug žmonių pradėjo pranešti, kad aptiko neteisėtus mokėjimus su savo „PayPal“ paskyra įvairiose platformose, pavyzdžiui, „PayPal“ forumuose ar „Twitter“, iš kurių visi Ataskaitoms būdinga tai, kad jos visos naudojo „Google Pay“ integraciją su „PayPal“.
Nuo šio penktadienio, vasario 21 d., Operacijos, kurios kartais viršija tūkstantį eurų, „PayPal“ istorijoje atsiranda tarsi iš jūsų „Google Pay“ paskyros.
Viena iš „Twitter“ aukų teigė pastebėjusi neįprastą pirkinį trijų porų „AirPod“, už 500 USD ekvivalentą. Todėl neįmanoma atšaukti pirkimo. Apskaičiuota žala šiuo metu siekia keliasdešimt tūkstančių eurų, teigiama visuomenės pranešimuose.
Pasak Markus Fenske, kibernetinio saugumo tyrinėtojas su pseudonimu „iblue“ „Twitter“, Piratai pasinaudojo „Google Pay“ integracijos su „PayPal“ trūkumu. „Twitter“ tinkle ekspertas teigia perspėjęs bendrovę apie pažeidimo buvimą 2019 m. Vasario mėn., Tačiau grupė to nepadarė prioritetu.
Kai „PayPal“ paskyra susieta su „Google Pay“ paskyra, „PayPal“ sukuria virtualią kredito kortelę, su savo kortelės numeriu, galiojimo pabaigos data ir CVV, sako Fenske.
«„ PayPal “leidžia mokėti bekontakčiu būdu per„ Google Pay “. Jei sukonfigūruosite, iš mobiliojo telefono galėsite perskaityti virtualios kreditinės kortelės duomenis. Autentifikuoti nereikia “, - apgailestauja Markusas Fenske.
Šiomis sąlygomis įsilaužėliai gali rinkti duomenis iš virtualių kortelių. Dėl šių duomenų įsilaužėliui nekyla jokių sunkumų perkant parduotuvėje savo sąskaitoje.
Operacijų gavėjai dažnai būna „Target“ parduotuvės, kurie nurodomi deklaracijose „Target T-“ forma. „Google“ paieška gana greitai nustato šių skirtingų parduotuvių vietą.
Tyrėjas teigė, kad užpuolikas gali sužinoti tris būdus virtualios kortelės.
Pirma, skaitydami kortelės duomenis vartotojo telefone ar ekrane. Antra, kenkėjiška programa užkrėsdama vartotojo įrenginį. Pagaliau atspėjęs.
„Gali būti, kad užpuolikas tiesiog privertė kortelės numerį ir galiojimo laiką, kuris yra maždaug vienerių metų intervale“, - sakė Fenske. „Tai daro gana mažą tyrimų erdvę. Ir paaiškinti, kad „CVC neturi reikšmės“, paaiškindamas, kad „viskas priimta“.
Dar prieš išnaudojant pažeidžiamumą, įsilaužėliai padarė straipsnį apie skundus apie „PayPal“ aptiktų saugumo spragų tvarkymą. LKritika yra ta, kad „PayPal“ siūlo atlygio programą klaida per „HackerOne“, bet tai grynas fasadas.
Straipsnio autoriai teigė, kad pranešė apie keletą pažeidžiamumų, tačiau „PayPal“ atsakymai buvo ne kas kita, o naudingi. Pavyzdžiui, viena iš paminėtų spragų leidžia apeiti 2FA, kita - užregistruoti naują telefoną be PIN kodo.
Fenske tuo tiki harakai rado būdą sužinoti šių „virtualių kortelių“ detales ir jie naudoja kortelės duomenis neteisėtoms operacijoms Amerikos ir Vokietijos parduotuvėse (dauguma aukų yra Vokietijoje).
Ačiū už informaciją!
Man patinka tokio tipo straipsniai, informaciniai, apie saugumą.