Злоумышленники обчищают кошельки PayPal через неизвестную уязвимость
Киберпреступники эксплуатируют уязвимость в интеграции PayPal с Google Pay.
Киберпреступники обнаружили уязвимость в интеграции PayPal с Google Pay и активно эксплуатируют ее для незаконных денежных переводов. Начиная с 21 февраля 2020 года, пользователи стали замечать неизвестные транзакции в своих историях платежей PayPal, осуществленных через Google Pay. Жалобы пользователей появляются на разных платформах, в том числе на форумах PayPal, Reddit, Twitter, а также на немецких и русских форумах поддержки Google Pay.
По словам пользователей, через их учетные записи Google Pay, привязанные к PayPal, злоумышленники оплачивают товары. Судя по представленным ими скриншотам, большинство покупок совершается в магазинах США, в частности в сети Target в Нью-Йорке. Большая часть пострадавших пользователей – жители Германии. Стоимость некоторых покупок превышает 1 тыс. евро.
Какого рода уязвимость эксплуатируют киберпреступники, пока неясно. Компания PayPal проводит расследование ситуации.
По словам немецкого исследователя безопасности Маркуса Фенске (Markus Fenske), происходящее очень напоминает уязвимость, о которой он и его коллега Андреас Майер (Andreas Mayer) сообщили PayPal в феврале 2019 года. В то время компания не посчитала ее исправление приоритетной задачей.
Как пояснил Фенске, уязвимость заключается в том, что во время привязки учетной записи PayPal к учетной записи Google Pay PayPal создает виртуальную карту с собственным номером, сроком действия и CVC. Когда пользователь Google Pay решает воспользоваться функцией бесконтактных платежей PayPal, оплата производится с этой виртуальной карты.
Если бы виртуальная карта использовалась только для оплаты через PoS-терминалы, проблем бы не было. Однако виртуальная карта может использоваться и для online-платежей. Вероятно, злоумышленники нашли способ похищения данных виртуальных карт и с их помощью оплачивают покупки в американских магазинах, считает Фенске.
По словам исследователя, есть три возможных способа похищения данных виртуальных карт. Первый – подсмотреть их на экране смартфона/компьютера жертвы. Второй способ – похитить данные, заразив устройство жертвы вредоносным ПО, и третий – получить данные методом перебора.
«Вполне вероятно, атакующий просто подобрал номера и даты истечения срока действия карт с помощью брутфорса, что могло занять около года. CVC не имеет значения, подойдет любое значение», – сообщил Фенске изданию ZDNet.
Источник: SecurityLab
Читайте также:
Электронные услуги: Передача данных в АИС учета многодетных семей
На Интернет-портале Президента Беларуси напомнили о новой цифровой услуге по передаче данных в автоматизированную ИС, ведущую учет многодетных семей. Нововведение функционирует через единый портал электронных услуг с конца января 2020 года.
Цифровизация экономит бюджет Казахстана
Внедрение цифровых технологий в работу государства путем развертывания на их базе социально-трудовых и других проектов помогло сохранить практически 190 млрд тенге бюджетных средств.