Киберпреступники эксплуатируют уязвимость в интеграции PayPal с Google Pay.
Киберпреступники обнаружили уязвимость в интеграции PayPal с Google Pay и активно эксплуатируют ее для незаконных денежных переводов. Начиная с 21 февраля нынешнего года, пользователи стали замечать неизвестные транзакции в своих историях платежей PayPal, осуществленных через Google Pay. Жалобы пользователей появляются на разных платформах, в том числе на форумах PayPal (
https://www.paypal-community.com/t5/...g/td-p/2041978 ,
https://www.paypal-community.com/t5/...e/td-p/2043637 ,
https://www.paypal-community.com/t5/...0/td-p/2043631 ,
https://www.paypal-community.com/t5/...3/td-p/2042743 ,
https://www.paypal-community.com/t5/...0/td-p/2042520 ,
https://www.paypal-community.com/t5/...y/td-p/2042495 ,
https://www.paypal-community.com/t5/...n/td-p/2043359 ), Reddit (
https://old.reddit.com/r/paypal/comm...hrough_paypal/ ,
https://old.reddit.com/r/paypal/comm...ion_overnight/ ), Twitter, (
https://twitter.com/aquaero/status/1232021754433937410 ,
https://twitter.com/ChrisPerezOne/st...72180730560512 ), а также на немецких и русских форумах поддержки Google Pay (
https://support.google.com/pay/thread/29529465?hl=de ,
https://support.google.com/pay/thread/29648121?hl=en ,
https://support.google.com/pay/thread/29556543?hl=en ,
https://support.google.com/pay/thread/29616379?hl=en ,
https://support.google.com/pay/thread/29627601?hl=en ,
https://support.google.com/pay/thread/29662905?hl=en ,
https://support.google.com/pay/thread/29658195?hl=en ,
https://support.google.com/pay/thread/29651542?hl=en ,
https://support.google.com/pay/thread/29602667?hl=en ,
https://support.google.com/pay/thread/29700101?hl=ru ).
По словам пользователей, через их учетные записи Google Pay, привязанные к PayPal, злоумышленники оплачивают товары. Судя по представленным ими скриншотам, большинство покупок совершается в магазинах США, в частности в сети Target в Нью-Йорке. Большая часть пострадавших пользователей – жители Германии. Стоимость некоторых покупок превышает 1 тыс. евро.
Какого рода уязвимость эксплуатируют киберпреступники, пока неясно. Компания PayPal проводит расследование ситуации.
https://twitter.com/iblueconnection/...62980964847618 немецкого исследователя безопасности Маркуса Фенске (Markus Fenske), происходящее очень напоминает уязвимость, о которой он и его коллега Андреас Майер (Andreas Mayer) сообщили PayPal в феврале 2019 года. В то время компания не посчитала ее исправление приоритетной задачей.
Как пояснил Фенске, уязвимость заключается в том, что во время привязки учетной записи PayPal к учетной записи Google Pay PayPal создает виртуальную карту с собственным номером, сроком действия и CVC. Когда пользователь Google Pay решает воспользоваться функцией бесконтактных платежей PayPal, оплата производится с этой виртуальной карты.
Если бы виртуальная карта использовалась только для оплаты через PoS-терминалы, проблем бы не было. Однако виртуальная карта может использоваться и для online-платежей. Вероятно, злоумышленники нашли способ похищения данных виртуальных карт и с их помощью оплачивают покупки в американских магазинах, считает Фенске.
По словам исследователя, есть три возможных способа похищения данных виртуальных карт. Первый – подсмотреть их на экране смартфона/компьютера жертвы. Второй способ – похитить данные, заразив устройство жертвы вредоносным ПО, и третий – получить данные методом перебора. «Вполне вероятно, атакующий просто подобрал номера и даты истечения срока действия карт с помощью брутфорса, что могло занять около года. CVC не имеет значения, подойдет любое значение», – сообщил Фенске изданию ZDNet.