СМИ обратили внимание,
что в конце прошлой недели пользователи со всего мира начали массово
жаловаться на несанкционированные платежи, осуществляемые через их
аккаунты PayPal. Сообщения о таких проблемах можно найти на официальных
форумах PayPal (1, 2, 3, 4, 5, 6, 7), Reddit (1, 2), Twitter (1, 2), а также на страницах поддержки Google Pay на русском и немецком языках (1, 2, 3, 4, 5, 6, 7, 8, 9, 10).
Описанные жертвами инциденты очень похожи: злоумышленники используют
Google Pay, чтобы покупать различные товары, а для оплаты используют
связанные аккаунты PayPal. Судя по скриншотам и различным
свидетельствам, большинство таких нелегальных транзакций осуществляется
через американские магазины (чаще всего сети Target).
Большинство пострадавших от этих атак находятся в Германии. Если
опираться на открытые источники, можно предположить, что нанесенный
пользователям ущерб уже исчисляется десятками тысяч евро: хакеры, как
правило, начинают с тестовых платежей в размере от 0,01 до 4 евро, а
затем берутся за дело серьезно, и в итоге некоторые транзакции превышают
1000 евро.
При этом какую именно проблему эксплуатируют злоумышленники, пока останется неясным.
Немецкий ИБ-эксперт Маркус Фенске (Markus Fenske) предполагает в Twitter,
что хакеры используют баг, о котором компанию PayPal еще год назад
предупреждал исследователь Андреас Майер (Andreas Mayer). Дело в том,
что когда учетную запись PayPal связывают с учетной записью Google Pay,
PayPal создает для этого виртуальную карту с собственным номером, сроком
действия и кодом CVC. Когда пользователь Google Pay осуществляет
бесконтактный платеж, используя счет PayPal, средства снимаются с этой
виртуальной карты.
Фенске объясняет, что такие карты не ограничены исключительно
PoS-транзакциями и могут использоваться для оплаты в онлайне. Судя по
всему, злоумышленники нашли способ получать данные этих виртуальных
карт, и теперь используют их для несанкционированных транзакций. По
мнению эксперта, вероятно, для этого хватило бы обычного перебора и
брутфорса. Но есть и другие варианты:
«PayPal разрешает бесконтактные платежи через Google Pay.
Если вы их настроили, можно считать данные виртуальной кредитной карты с
телефона, если мобильное устройство включено. Без аутентификации. То
есть любой человек, находящийся рядом с вашим телефоном, имеет
виртуальную кредитную карту, которая снимает деньги с вашего счета
PayPal. И нет никаких ограничений по количеству или правомочности
платежей», — говорит Фенске.
Представители PayPal пока не дают официальных комментариев и лишь уверяют, что расследование происходящего уже ведется.
В свою очередь пострадавшие пользователи из Facebook-группы, посвященной атакам, сообщают, что PayPal уже начала возмещать некоторым их них ущерб и отменять мошеннические платежи.