Paypal është një sistem i popullarizuar i pagesave në internet dhe me pranim të madh në pothuajse të gjitha vendet përveç sisteme të tjera pagese si Google Pay bëjnë një lidhje në mënyrë që të paguani me fondet e gjetura në llogaritë Paypal, të cilat nga ana tjetër, nëse nuk llogariten, marrin fondet nga kartat e lidhura të debitit ose të kreditit.
Kjo mund të jetë disi konfuze kur thjesht mund të paguani me kartat tuaja dhe kjo është e gjitha, por shumë njerëz preferojnë të bëjnë pagesa në këtë mënyrë në mënyrë që të parandalojnë klonimin e plastikës së tyre ose thjesht sepse ajo që ata duan të paguajnë e kanë atë lehtësi (përgjithësisht në internet) .
Por duket se ky ka gjeneruar një problem shumë më të madh kaq shumë njerëzit kanë filluar të raportojnë se kanë zbuluar pagesa të paautorizuara me llogarinë tuaj PayPal në platforma të ndryshme, të tilla si forume të PayPal ose Twitter, nga të cilat të gjitha Raportet kanë të përbashkët që të gjithë kanë përdorur integrimin e Google Pay me PayPal.
Që nga kjo e Premte, 21 Shkurt, transaksionet që nganjëherë tejkalojnë një mijë euro shfaqen në historinë tuaj të PayPal, sikur të vijnë nga llogaria juaj Google Pay.
Një nga viktimat në Twitter tha se kishte vërejtur një blerje të pazakontë prej tre palë AirPods, për ekuivalentin e 500 $. Prandaj, është e pamundur të anulohet blerja. Dëmet e vlerësuara janë aktualisht në dhjetëra mijëra euro, sipas raporteve publike.
Sipas Markus Fenske, një studiues i sigurisë kibernetike me pseudonimin "iblue" në Twitter, Hakerat shfrytëzuan një të metë në integrimin e Google Pay me PayPal. Në Twitter, eksperti pretendon të ketë paralajmëruar kompaninë për ekzistencën e një shkeljeje në Shkurt 2019, por grupi nuk e ka bërë atë një përparësi.
Kur një llogari PayPal është e lidhur me një llogari Google Pay, PayPal krijon një kartë krediti virtuale, me numrin e kartës suaj, datën e skadimit dhe CVV, thotë Fenske.
«PayPal lejon pagesa pa kontakt përmes Google Pay. Nëse e konfiguroni, mund të lexoni të dhënat e kartës së një karte krediti virtuale nga celulari. Vërtetimi nuk kërkohet ”, pendohet Markus Fenske.
Në këto kushte, hakerat mund të mbledhin të dhëna nga kartat virtuale. Falë këtyre të dhënave, një haker nuk e ka të vështirë të bëjë blerje në dyqan në llogarinë e tij.
Marrësit e transaksioneve shpesh janë dyqanet e synuara, referuar në deklaratat në formën "Target T-". Një kërkim në Google identifikon vendndodhjen e këtyre dyqaneve të ndryshme mjaft shpejt.
Hetuesi tha se mund të ketë tre mënyra se si një sulmues mund të marrë detajet të një karte virtuale.
Së pari, duke lexuar detajet e kartës në telefonin ose ekranin e një përdoruesi. Së dyti, duke keq infektuar pajisjen e përdoruesit. Më në fund duke e menduar.
"Mund të jetë e mundur që sulmuesi thjesht të detyrojë numrin e kartelës dhe datën e skadimit, e cila është në intervalin prej rreth një viti," tha Fenske. 'Kjo e bën atë një hapësirë mjaft të vogël kërkimore. Dhe për të sqaruar se "CVC nuk ka rëndësi", duke shpjeguar se "Gjithçka pranohet".
Edhe para se të shfrytëzohej dobësia, hakerat bënë një artikull në lidhje me ankesat në trajtimin e vrimave të sigurisë të gjetura nga PayPal. LKritikat janë se PayPal ofron një program shpërblimesh gabim përmes HackerOne, por kjo është një fasadë e pastër.
Autorët e artikullit thanë se ata raportuan disa dobësi, por përgjigjet e PayPal ishin gjithçka tjetër veçse e dobishme. Për shembull, një nga boshllëqet e përmendura ju lejon të anashkaloni 2FA, një tjetër ju lejon të regjistroni një telefon të ri pa PIN.
Fenske beson se harakët kanë gjetur një mënyrë për të zbuluar detajet e këtyre "kartave virtuale" dhe ata janë duke përdorur detajet e kartës për transaksione të paautorizuara në dyqanet amerikane dhe gjermane (shumica e viktimave janë në Gjermani).
Faleminderit për informacionin!
Më pëlqejnë këto lloj artikujsh, informues, për sigurinë.