Paypal - популярная система онлайн-платежей и с большим успехом почти во всех странах, помимо другие платежные системы, такие как Google Pay, делают ссылку чтобы иметь возможность платить с помощью средств, найденных на счетах Paypal, которые, в свою очередь, если не подсчитаны, снимают средства со связанных дебетовых или кредитных карт.
Это может немного сбивать с толку, когда вы можете просто расплачиваться своей картой, и все, но многие люди предпочитают производить платежи таким образом, чтобы предотвратить клонирование своих пластмасс, или просто потому, что то, что они хотят заплатить, имеет такую легкость (обычно онлайн) .
Перо кажется, что это породило гораздо большую проблему так много люди начали сообщать об обнаружении несанкционированных платежей с вашей учетной записью PayPal на различных платформах, таких как форумы PayPal или Twitter, все из которых Общим для отчетов является то, что все они использовали интеграцию Google Pay с PayPal.
С этой пятницы, 21 февраля, транзакции, которые иногда превышают тысячу евро, появляются в вашей истории PayPal, как если бы они были произведены из вашей учетной записи Google Pay.
Одна из пострадавших в Twitter сообщила, что заметила необычную покупку. трех пар AirPods, что эквивалентно 500 долларам США. Поэтому отменить покупку невозможно. Согласно публичным сообщениям, предполагаемый ущерб в настоящее время исчисляется десятками тысяч евро.
По словам Маркуса Фенске, исследователь кибербезопасности с псевдонимом "iblue" в Твиттере, Хакеры воспользовались недостатком интеграции Google Pay с PayPal. В Twitter эксперт утверждает, что предупредил компанию о существовании взлома в феврале 2019 года, но группа не сделала это приоритетным.
Когда учетная запись PayPal связана с учетной записью Google Pay, PayPal создает виртуальную кредитную карту, с вашим собственным номером карты, сроком действия и CVV, - говорит Фенске.
«PayPal позволяет осуществлять бесконтактные платежи через Google Pay. Если вы настроите его, вы можете прочитать данные виртуальной кредитной карты с мобильного телефона. Аутентификация не требуется », - сожалеет Маркус Фенске.
В этих условиях хакеры могут собирать данные с виртуальных карт. Благодаря этим данным хакер без труда совершает покупки в магазине в своем аккаунте.
Получателями транзакций часто являются целевые магазины., которые упоминаются в объявлениях в форме "Target T-". Поиск в Google довольно быстро определяет местонахождение этих различных магазинов.
Следователь сказал, что злоумышленник может получить информацию тремя способами. виртуальной карты.
Во-первых, считывая данные карты на телефоне или экране пользователя. Во-вторых, вредоносным ПО, заражающим устройство пользователя. Наконец догадываюсь.
«Возможно, злоумышленник просто ввел номер карты и дату истечения срока действия, которая находится в диапазоне около года», - сказал Фенске. «Это делает его довольно небольшим исследовательским пространством. И пояснить, что «CVC не имеет значения», пояснив, что «Все принято».
Еще до того, как уязвимость была использована, хакеры написали статью о жалобах по устранению дыр в безопасности, обнаруженных PayPal. LКритика заключается в том, что PayPal предлагает программу вознаграждений. ошибка через HackerOne, но это чистый фасад.
Авторы статьи заявили, что сообщили о нескольких уязвимостях, но ответы PayPal были совсем не полезными. Например, один из упомянутых пробелов позволяет обойти 2FA, другой позволяет зарегистрировать новый телефон без ПИН-кода.
Фенске считает, что хараки нашли способ узнать подробности этих "виртуальных карт" и они используют данные карты для несанкционированных транзакций в американских и немецких магазинах (большинство жертв находится в Германии).
Спасибо за информацию!
Мне нравятся такие статьи, информативные, о безопасности.