Paypal là một hệ thống thanh toán trực tuyến rất phổ biến và với sự chấp nhận lớn ở hầu hết các quốc gia ngoài các hệ thống thanh toán khác như Google Pay tạo liên kết để thanh toán bằng các khoản tiền có trong tài khoản Paypal, nếu không được tính, số tiền này sẽ lấy tiền từ thẻ ghi nợ hoặc thẻ tín dụng được liên kết.
Điều này có thể hơi khó hiểu khi bạn chỉ có thể thanh toán bằng thẻ của mình và thế là xong, nhưng nhiều người thích thực hiện thanh toán theo cách này để ngăn đồ nhựa của họ bị sao chép hoặc đơn giản vì những gì họ muốn thanh toán được tính dễ dàng ).
Nhưng có vẻ như điều này đã tạo ra một vấn đề lớn hơn nhiều rất nhiều mọi người đã bắt đầu báo cáo rằng họ đã phát hiện ra các khoản thanh toán trái phép bằng tài khoản PayPal của bạn trên các nền tảng khác nhau, chẳng hạn như diễn đàn PayPal hoặc Twitter, tất cả Các báo cáo có điểm chung là đều sử dụng tích hợp Google Pay với PayPal.
Kể từ Thứ Sáu này, ngày 21 tháng XNUMX, các giao dịch đôi khi vượt quá một nghìn euro sẽ xuất hiện trong lịch sử PayPal của bạn, như thể chúng đến từ tài khoản Google Pay của bạn.
Một trong những nạn nhân trên Twitter cho biết cô ấy đã nhận thấy một giao dịch mua bất thường trong số ba cặp AirPods, tương đương với $ 500. Do đó, không thể hủy giao dịch mua. Các thiệt hại ước tính hiện lên đến hàng chục nghìn euro, theo các báo cáo công khai.
Theo Markus Fenske, một nhà nghiên cứu an ninh mạng với bí danh "iblue" trên Twitter, Các tin tặc đã khai thác một lỗ hổng trong việc tích hợp Google Pay với PayPal. Trên Twitter, chuyên gia tuyên bố đã cảnh báo công ty về sự tồn tại của một vi phạm vào tháng 2019 năm XNUMX, nhưng nhóm đã không ưu tiên nó.
Khi tài khoản PayPal được liên kết với tài khoản Google Pay, PayPal tạo một thẻ tín dụng ảo, với số thẻ, ngày hết hạn và CVV của riêng bạn, Fenske nói.
«PayPal cho phép thanh toán không tiếp xúc thông qua Google Pay. Nếu bạn định cấu hình nó, bạn có thể đọc chi tiết thẻ của thẻ tín dụng ảo từ điện thoại di động. Xác thực là không cần thiết ”, Markus Fenske tiếc nuối.
Trong những điều kiện này, tin tặc có thể thu thập dữ liệu từ thẻ ảo. Nhờ dữ liệu này, một hacker không gặp khó khăn gì khi mua hàng trong cửa hàng trên tài khoản của mình.
Người nhận giao dịch thường là các cửa hàng Mục tiêu, được tham chiếu trong các khai báo ở dạng "Target T-". Tìm kiếm của Google xác định vị trí của các cửa hàng khác nhau khá nhanh chóng.
Điều tra viên cho biết có thể có ba cách mà kẻ tấn công có thể lấy được thông tin chi tiết của một thẻ ảo.
Đầu tiên, bằng cách đọc chi tiết thẻ trên điện thoại hoặc màn hình của người dùng. Thứ hai, do phần mềm độc hại lây nhiễm vào thiết bị của người dùng. Cuối cùng cũng đoán được.
Fenske nói: “Có thể kẻ tấn công chỉ ép số thẻ và ngày hết hạn trong khoảng một năm. 'Điều này làm cho nó trở thành một không gian nghiên cứu khá nhỏ. Và để làm rõ rằng "CVC không quan trọng", giải thích rằng "Mọi thứ đều được chấp nhận."
Ngay cả trước khi lỗ hổng bảo mật được khai thác, tin tặc đã thực hiện một bài báo về các khiếu nại về việc xử lý các lỗ hổng bảo mật do PayPal tìm thấy. LLời chỉ trích là PayPal cung cấp một chương trình phần thưởng lỗi qua HackerOne, nhưng đây là một mặt tiền thuần túy.
Các tác giả của bài báo cho biết họ đã báo cáo một số lỗ hổng, nhưng phản hồi của PayPal là bất cứ điều gì nhưng hữu ích. Ví dụ: một trong những lỗ hổng được đề cập cho phép bạn bỏ qua 2FA, một lỗ hổng khác cho phép bạn đăng ký điện thoại mới mà không cần mã PIN.
Fenske tin rằng Hagaks đã tìm ra cách để khám phá chi tiết của những "thẻ ảo" này và họ đang sử dụng chi tiết thẻ cho các giao dịch trái phép tại các cửa hàng của Mỹ và Đức (hầu hết nạn nhân là ở Đức).
Cảm ơn bạn về thông tin!
Tôi thích những loại bài báo, thông tin, về bảo mật.