Zachowaj ostrożność, jeśli dokonujesz płatności za pomocą Google Pay za pomocą środków Paypal

Google

Paypal to popularny system płatności online i cieszą się dużą akceptacją w prawie wszystkich krajach inne systemy płatności, takie jak Google Pay, tworzą link w celu zapłaty środkami znajdującymi się na kontach Paypal, które z kolei, jeśli nie są policzone, pobiera środki z powiązanych kart debetowych lub kredytowych.

Może to być nieco mylące, gdy możesz po prostu zapłacić kartą i to wszystko, ale wiele osób woli dokonywać płatności w ten sposób, aby zapobiec klonowaniu plastiku lub po prostu dlatego, że to, co chcą zapłacić, ma taką łatwość (zwykle online ).

Pero wydaje się, że spowodowało to znacznie większy problem tak wiele ludzie zaczęli zgłaszać, że odkryli nieautoryzowane płatności z kontem PayPal na różnych platformach, takich jak fora PayPal lub Twitter, z których wszystkie Raporty mają wspólną cechę, że wszystkie korzystały z integracji Google Pay z PayPal.

Od tego piątku, 21 lutego, transakcje, które czasami przekraczają tysiąc euro, pojawiają się w Twojej historii PayPal, tak jakby pochodziły z konta Google Pay.

Jedna z ofiar na Twitterze powiedziała, że ​​zauważyła nietypowy zakup trzech par AirPods za równowartość 500 dolarów. Dlatego nie ma możliwości anulowania zakupu. Według raportów publicznych szacowane szkody sięgają obecnie dziesiątek tysięcy euro.

Według Markusa Fenske, badacz cyberbezpieczeństwa z aliasem „iblue” na Twitterze, Hakerzy wykorzystali lukę w integracji Google Pay z PayPal. Na Twitterze ekspert twierdzi, że ostrzegł firmę o istnieniu naruszenia w lutym 2019 roku, ale grupa nie uczyniła tego priorytetem.

Gdy konto PayPal jest połączone z kontem Google Pay, PayPal tworzy wirtualną kartę kredytową, z własnym numerem karty, datą ważności i CVV, mówi Fenske.

«PayPal umożliwia płatności zbliżeniowe za pośrednictwem Google Pay. Jeśli to skonfigurujesz, możesz odczytać dane wirtualnej karty kredytowej z telefonu komórkowego. Uwierzytelnienie nie jest wymagane ”, ubolewa Markus Fenske.

W tych warunkach hakerzy mogą zbierać dane z kart wirtualnych. Dzięki tym danym haker nie ma trudności z dokonywaniem zakupów w sklepie na swoim koncie.

Odbiorcami transakcji są często sklepy Target, które są przywoływane w deklaracjach w postaci „Docelowe T-”. Wyszukiwarka Google dość szybko identyfikuje lokalizację tych różnych sklepów.

Śledczy powiedział, że mogą istnieć trzy sposoby, aby napastnik mógł uzyskać szczegóły wirtualnej karty.

Po pierwsze, odczytując dane karty na telefonie lub ekranie użytkownika. Po drugie, przez złośliwe oprogramowanie infekujące urządzenie użytkownika. Wreszcie zgaduję.

„Możliwe, że napastnik po prostu wymusił numer karty i datę ważności, czyli około roku” - powiedział Fenske. „To sprawia, że ​​jest to dość mała przestrzeń badawcza. I wyjaśnienie, że „Kod CVC nie ma znaczenia”, wyjaśniając, że „Wszystko jest akceptowane”.

Jeszcze zanim luka została wykorzystana, hakerzy napisali artykuł o skargach dotyczące obsługi luk w zabezpieczeniach znalezionych przez PayPal. LKrytyka jest taka, że ​​PayPal oferuje program nagród błąd przez HackerOne, ale to jest czysta fasada.

Autorzy artykułu powiedzieli, że zgłosili kilka luk w zabezpieczeniach, ale odpowiedzi PayPal nie były pomocne. Na przykład jedna z wymienionych luk pozwala ominąć 2FA, inna pozwala zarejestrować nowy telefon bez kodu PIN.

Fenske w to wierzy haraki znalazły sposób, aby odkryć szczegóły tych „wirtualnych kart” i wykorzystują dane karty do nieautoryzowanych transakcji w sklepach amerykańskich i niemieckich (większość ofiar znajduje się w Niemczech).


2 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Falken powiedział

    Dzięki za informację!

  2.   Anonimowy powiedział

    Lubię tego typu artykuły informacyjne o bezpieczeństwie.