Paypal je priljubljen sistem za spletno plačevanje in z velikim sprejetjem v skoraj vseh državah drugi plačilni sistemi, kot je Google Pay, naredijo povezavo za plačilo s sredstvi, ki jih najdete na Paypal računih, ta pa, če se ne štejejo, prevzame sredstva s povezanih debetnih ali kreditnih kartic.
To je lahko nekoliko zmedeno, če lahko preprosto plačujete s svojimi karticami in to je to, toda mnogi raje plačujejo na ta način, da preprečijo kloniranje plastike ali preprosto zato, ker je to, kar želijo plačati, tako enostavno (običajno v spletu) .
Hruška zdi se, da je to ustvarilo veliko večji problem toliko ljudje so začeli poročati, da so odkrili nepooblaščena plačila z vašim računom PayPal na različnih platformah, kot so forumi PayPal ali Twitter, od tega vsi Poročilom je skupno, da so vsi uporabljali integracijo Google Pay in PayPal.
Od tega petka, 21. februarja, se v zgodovini PayPal pojavljajo transakcije, ki včasih presežejo tisoč evrov, kot da bi prišle iz vašega računa Google Pay.
Ena od žrtev na Twitterju je povedala, da je opazila nenavaden nakup treh parov AirPods, v protivrednosti 500 USD. Zato je nemogoče preklicati nakup. Ocenjena škoda naj bi po poročanju javnosti trenutno znašala več deset tisoč evrov.
Po mnenju Markusa Fenskeja raziskovalec kibernetske varnosti z vzdevkom "iblue" na Twitterju, Hekerji so izkoristili napako pri integraciji Googla Pay s PayPal. Na Twitterju strokovnjak trdi, da je družbo februarja 2019 opozoril na obstoj kršitve, vendar ji skupina ni postavila prioritete.
Ko je račun PayPal povezan z računom Google Pay, PayPal ustvari navidezno kreditno kartico, s svojo številko kartice, datumom veljavnosti in CVV, pravi Fenske.
«PayPal omogoča brezstično plačevanje prek storitve Google Pay. Če jo konfigurirate, lahko podrobnosti o kartici navidezne kreditne kartice preberete z mobilnega telefona. Preverjanje pristnosti ni potrebno, «obžaluje Markus Fenske.
V teh pogojih hekerji lahko zbirajo podatke z virtualnih kartic. Zahvaljujoč tem podatkom heker nima težav pri nakupih v trgovini na svoj račun.
Prejemniki transakcij so pogosto ciljne trgovine, na katere se sklicuje v izjavah v obliki "Target T-". Iskanje v Googlu dokaj hitro prepozna lokacijo teh različnih trgovin.
Preiskovalec je dejal, da lahko napadalec na tri načine pridobi podrobnosti navidezne kartice.
Najprej z branjem podrobnosti kartice na uporabnikovem telefonu ali zaslonu. Drugič, z zlonamerno programsko opremo, ki okuži uporabnikovo napravo. Končno ugibanje.
"Mogoče je, da je napadalec preprosto prisilil številko kartice in datum poteka, ki je približno eno leto," je dejal Fenske. „Zaradi tega je precej majhen raziskovalni prostor. In pojasniti, da "CVC ni pomemben", z obrazložitvijo, da "Vse je sprejeto."
Še preden je bila ranljivost izkoriščena, hekerji so objavili članek o pritožbah o ravnanju z varnostnimi luknjami, ki jih je našel PayPal. LKritika je, da PayPal ponuja program nagrad napaka prek HackerOne, ampak to je čista fasada.
Avtorji članka so povedali, da so poročali o več ranljivostih, vendar so bili odgovori PayPala vse prej kot koristni. Na primer, ena od omenjenih vrzeli vam omogoča, da obidete 2FA, druga pa, da lahko registrirate nov telefon brez kode PIN.
Fenske verjame v to haraki so našli način, kako odkriti podrobnosti o teh "virtualnih karticah" podatke o kartici uporabljajo za nepooblaščene transakcije v ameriških in nemških trgovinah (večina žrtev je v Nemčiji).
Hvala za informacije!
Všeč so mi tovrstni članki, informativni, o varnosti.