Будьте осторожны, если вы совершаете платежи через Google Pay, используя свои средства Paypal.

Google

Paypal - популярная система онлайн-платежей и с большим успехом почти во всех странах, помимо другие платежные системы, такие как Google Pay, делают ссылку чтобы иметь возможность платить с помощью средств, найденных на счетах Paypal, которые, в свою очередь, если не подсчитаны, снимают средства со связанных дебетовых или кредитных карт.

Это может немного сбивать с толку, когда вы можете просто расплачиваться своей картой, и все, но многие люди предпочитают производить платежи таким образом, чтобы предотвратить клонирование своих пластмасс, или просто потому, что то, что они хотят заплатить, имеет такую ​​легкость (обычно онлайн) .

Перо кажется, что это породило гораздо большую проблему так много люди начали сообщать об обнаружении несанкционированных платежей с вашей учетной записью PayPal на различных платформах, таких как форумы PayPal или Twitter, все из которых Общим для отчетов является то, что все они использовали интеграцию Google Pay с PayPal.

С этой пятницы, 21 февраля, транзакции, которые иногда превышают тысячу евро, появляются в вашей истории PayPal, как если бы они были произведены из вашей учетной записи Google Pay.

Одна из пострадавших в Twitter сообщила, что заметила необычную покупку. трех пар AirPods, что эквивалентно 500 долларам США. Поэтому отменить покупку невозможно. Согласно публичным сообщениям, предполагаемый ущерб в настоящее время исчисляется десятками тысяч евро.

По словам Маркуса Фенске, исследователь кибербезопасности с псевдонимом "iblue" в Твиттере, Хакеры воспользовались недостатком интеграции Google Pay с PayPal. В Twitter эксперт утверждает, что предупредил компанию о существовании взлома в феврале 2019 года, но группа не сделала это приоритетным.

Когда учетная запись PayPal связана с учетной записью Google Pay, PayPal создает виртуальную кредитную карту, с вашим собственным номером карты, сроком действия и CVV, - говорит Фенске.

«PayPal позволяет осуществлять бесконтактные платежи через Google Pay. Если вы настроите его, вы можете прочитать данные виртуальной кредитной карты с мобильного телефона. Аутентификация не требуется », - сожалеет Маркус Фенске.

В этих условиях хакеры могут собирать данные с виртуальных карт. Благодаря этим данным хакер без труда совершает покупки в магазине в своем аккаунте.

Получателями транзакций часто являются целевые магазины., которые упоминаются в объявлениях в форме "Target T-". Поиск в Google довольно быстро определяет местонахождение этих различных магазинов.

Следователь сказал, что злоумышленник может получить информацию тремя способами. виртуальной карты.

Во-первых, считывая данные карты на телефоне или экране пользователя. Во-вторых, вредоносным ПО, заражающим устройство пользователя. Наконец догадываюсь.

«Возможно, злоумышленник просто ввел номер карты и дату истечения срока действия, которая находится в диапазоне около года», - сказал Фенске. «Это делает его довольно небольшим исследовательским пространством. И пояснить, что «CVC не имеет значения», пояснив, что «Все принято».

Еще до того, как уязвимость была использована, хакеры написали статью о жалобах по устранению дыр в безопасности, обнаруженных PayPal. LКритика заключается в том, что PayPal предлагает программу вознаграждений. ошибка через HackerOne, но это чистый фасад.

Авторы статьи заявили, что сообщили о нескольких уязвимостях, но ответы PayPal были совсем не полезными. Например, один из упомянутых пробелов позволяет обойти 2FA, другой позволяет зарегистрировать новый телефон без ПИН-кода.

Фенске считает, что хараки нашли способ узнать подробности этих "виртуальных карт" и они используют данные карты для несанкционированных транзакций в американских и немецких магазинах (большинство жертв находится в Германии).

 


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

2 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Falken сказал

    Спасибо за информацию!

  2.   Анонимный сказал

    Мне нравятся такие статьи, информативные, о безопасности.