- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
СМИ обратили внимание, что в конце прошлой недели пользователи со всего мира начали массово жаловаться на несанкционированные платежи, осуществляемые через их аккаунты PayPal. Сообщения о таких проблемах можно найти на официальных форумах PayPal, Reddit, Twitter, а также на страницах поддержки Google Pay на русском и немецком языках.
Описанные жертвами инциденты очень похожи: злоумышленники используют Google Pay, чтобы покупать различные товары, а для оплаты используют связанные аккаунты PayPal. Судя по скриншотам и различным свидетельствам, большинство таких нелегальных транзакций осуществляется через американские магазины (чаще всего сети Target).
Большинство пострадавших от этих атак находятся в Германии. Если опираться на открытые источники, можно предположить, что нанесенный пользователям ущерб уже исчисляется десятками тысяч евро: хакеры, как правило, начинают с тестовых платежей в размере от 0,01 до 4 евро, а затем берутся за дело серьезно, и в итоге некоторые транзакции превышают 1000 евро.
При этом какую именно проблему эксплуатируют злоумышленники, пока останется неясным.
Немецкий ИБ-эксперт Маркус Фенске (Markus Fenske) предполагает в Twitter, что хакеры используют баг, о котором компанию PayPal еще год назад предупреждал исследователь Андреас Майер (Andreas Mayer). Дело в том, что когда учетную запись PayPal связывают с учетной записью Google Pay, PayPal создает для этого виртуальную карту с собственным номером, сроком действия и кодом CVC. Когда пользователь Google Pay осуществляет бесконтактный платеж, используя счет PayPal, средства снимаются с этой виртуальной карты.
Фенске объясняет, что такие карты не ограничены исключительно PoS-транзакциями и могут использоваться для оплаты в онлайне. Судя по всему, злоумышленники нашли способ получать данные этих виртуальных карт, и теперь используют их для несанкционированных транзакций. По мнению эксперта, вероятно, для этого хватило бы обычного перебора и брутфорса. Но есть и другие варианты:
«PayPal разрешает бесконтактные платежи через Google Pay. Если вы их настроили, можно считать данные виртуальной кредитной карты с телефона, если мобильное устройство включено. Без аутентификации. То есть любой человек, находящийся рядом с вашим телефоном, имеет виртуальную кредитную карту, которая снимает деньги с вашего счета PayPal. И нет никаких ограничений по количеству или правомочности платежей», — говорит Фенске.
Представители PayPal пока не дают официальных комментариев и лишь уверяют, что расследование происходящего уже ведется.
В свою очередь пострадавшие пользователи из Facebook-группы, посвященной атакам, сообщают, что PayPal уже начала возмещать некоторым их них ущерб и отменять мошеннические платежи.
Описанные жертвами инциденты очень похожи: злоумышленники используют Google Pay, чтобы покупать различные товары, а для оплаты используют связанные аккаунты PayPal. Судя по скриншотам и различным свидетельствам, большинство таких нелегальных транзакций осуществляется через американские магазины (чаще всего сети Target).
Большинство пострадавших от этих атак находятся в Германии. Если опираться на открытые источники, можно предположить, что нанесенный пользователям ущерб уже исчисляется десятками тысяч евро: хакеры, как правило, начинают с тестовых платежей в размере от 0,01 до 4 евро, а затем берутся за дело серьезно, и в итоге некоторые транзакции превышают 1000 евро.
При этом какую именно проблему эксплуатируют злоумышленники, пока останется неясным.
Немецкий ИБ-эксперт Маркус Фенске (Markus Fenske) предполагает в Twitter, что хакеры используют баг, о котором компанию PayPal еще год назад предупреждал исследователь Андреас Майер (Andreas Mayer). Дело в том, что когда учетную запись PayPal связывают с учетной записью Google Pay, PayPal создает для этого виртуальную карту с собственным номером, сроком действия и кодом CVC. Когда пользователь Google Pay осуществляет бесконтактный платеж, используя счет PayPal, средства снимаются с этой виртуальной карты.
Фенске объясняет, что такие карты не ограничены исключительно PoS-транзакциями и могут использоваться для оплаты в онлайне. Судя по всему, злоумышленники нашли способ получать данные этих виртуальных карт, и теперь используют их для несанкционированных транзакций. По мнению эксперта, вероятно, для этого хватило бы обычного перебора и брутфорса. Но есть и другие варианты:
«PayPal разрешает бесконтактные платежи через Google Pay. Если вы их настроили, можно считать данные виртуальной кредитной карты с телефона, если мобильное устройство включено. Без аутентификации. То есть любой человек, находящийся рядом с вашим телефоном, имеет виртуальную кредитную карту, которая снимает деньги с вашего счета PayPal. И нет никаких ограничений по количеству или правомочности платежей», — говорит Фенске.
Представители PayPal пока не дают официальных комментариев и лишь уверяют, что расследование происходящего уже ведется.
В свою очередь пострадавшие пользователи из Facebook-группы, посвященной атакам, сообщают, что PayPal уже начала возмещать некоторым их них ущерб и отменять мошеннические платежи.
