إهمال مستخدمي PayPal مما يسمح لهم بسرقة حساباتهم وأموالهم [ثابت]

مساء الخير أيها الزملاء الأعزاء!

أنا مستخدم لخدمة الدفع الشهيرة PayPal. بالإضافة إلى ذلك ، أنا متخصص في مجال الأمن التقني في مجال حماية البيانات الشخصية. أريد أن أخبركم كيف اكتشفت وجود ثغرة أمنية في النظام سمحت لي بتسجيل الدخول إلى حساب مستخدم في PayPal ، وكذلك إجراء تغيير غير واضح لكلمة المرور ، وفتح الوصول إلى حساب العميل الشخصي دون علمه ، لسحب الأموال.



لذلك ، دعونا نبدأ ...

بادئ ذي بدء ، أنا جزئياً يتلقى مكافأته من خلال خدمة PayPal. وأثناء الجلوس في المنزل ، ومرة ​​أخرى التحقق من الإيصالات إلى حساب PayPal الخاص بي من هاتفي المحمول ، واجهت مشكلة في الوصول إلى حسابي الشخصي. غالبًا ما أستخدم نظام المصادقة عبر Touch ID ، وأضع إصبعي والدخول في الحساب الشخصي للخدمة. لكن هذه المرة ، لسبب ما ، سقطت Touch Touch على هاتفي المحمول واضطررت إلى تذكر كلمة المرور المعتادة ، والتي كانت تواجه الكثير من المشاكل ، لأنها معقدة ولا يمكن إدخالها من الجهاز المحمول. بعد بعض المحاولات الفاشلة لتذكر كلمة المرور الصحيحة ، قررت استخدام نظام استعادة كلمة المرور وهنا تبدأ المتعة! :)

في الحقيقة ، مثل جميع الخدمات الشائعة اليوم ، لدى PayPal نظام لاستعادة كلمة المرور ، وهو متعدد الاتجاهات للغاية - يمكننا استرداد كلمة المرور عن طريق البريد ، مع الإشارة إلى بريد حسابنا ، يمكننا الإشارة إلى إجابة سؤال الأمان ... لكنني كنت مهتمًا بهذا الخيار استعادة الوصول إلى حسابك باستخدام "بطاقة الائتمان" .


الصورة 1 - خيارات لاستعادة الوصول إلى حساب PayPal الخاص بك
(تظهر لقطات الشاشة أعلاه المجال لاستعادة الوصول إلى الحساب من خلال خيارات مختلفة)

لماذا هذه اللحظة مدمن مخدرات علي؟ حسنًا ، لأنني أعرف كيف يرتبط الأشخاص ، على الأقل في روسيا ، ببياناتهم الشخصية ، ولا يفهمون تمامًا أيًا منهم يمكن نشره على الإنترنت وأيهم لا يستطيع! لفهم هذا ، قررت إجراء تجربة ومعرفة ما يمكن أن يهدد هذا العميل - مباشرةً بالنسبة لي ، مع المستخدمين الآخرين في خدمة الدفع PayPal.

لاستعادة الوصول إلى حسابك عن طريق رقم البطاقة المصرفية - تعرض الخدمة لنا آخر رقمين من رقم البطاقة. يطرح سؤال منطقي - كيف يمكنني معرفة العدد الكامل لبطاقة العميل البنكية؟ وهنا تقدم الخدمات المصرفية المختلفة للدفع عبر الإنترنت إلى مساعدتنا (لا نتحدث عن إهمال الأشخاص الذين يتركون بياناتهم الشخصية). عن ماذا تتحدث أعني تطبيقات البنوك التي يقوم الأشخاص بتثبيتها على هواتفهم المحمولة ، على سبيل المثال ، تطبيق "Sberbank Online" و "VTB" وغيرها. كيف يمكن أن يساعد هذا المهاجم؟ معرفة هاتف الضحية المحتملة - يمكننا اختراق تطبيق رقم البطاقة المصرفية لمالك هذا الهاتف جزئيًا. الخدمة الرقيقة التي يقدمها البنك ستُظهر لنا "الاسم" و "الاسم الأوسط" لحامل البطاقة ، بالإضافة إلى رقم بطاقته ، وسيتم تغطية بعضها بالنجمة.

ملاحظة: في رأيي ، في عام 2018 أو أوائل عام 2019 ، تم تنبيهي أيضًا إلى أن بنك VTB في أطرافه كشف أيضًا جزئيًا عن البيانات الشخصية للعميل إذا أدخلت بطاقة الائتمان الموجودة في المحطة الطرفية ، وأدخلت كلمة المرور "من الجرافة" و سترى نافذة المحطة التحية "مرحبًا ، اللقب ، الاسم الأول ، الرعائية!" ... ثم تم تنبيهي بهذه الحقيقة.

الصورة 1 - تطبيق سبيربنك على الإنترنت
(أعلاه عبارة عن لقطات لتطبيقات Sberbank و VTB ، والتي تعرض جزئيًا معلومات حول اسم العميل ورقم بطاقته)



(أعلاه عبارة عن لقطة شاشة للبحث عن المعلومات في محركات البحث / الشبكات الاجتماعية)
لكن بدونها. يساعدنا هذا الكم من المعلومات في تحديد هوية الضحية المحتملة باستخدام البحث على الإنترنت ، أو المواقع الاحتيالية ، أو الإهمال البشري العادي والسذاجة.

لهذا السبب هذه اللحظة تثيرني. تخيل مهاجمًا يتظاهر بأنه عميل يحتاج إلى تطوير موقع ويب. إنه يبحث عن عمل حر ، من خلال منصة شعبية. يكتب إلى المستقل ويعرض عليه شروطًا ، على سبيل المثال ، يعرض عليه أن يدفع له العمل فورًا ، ولكن في المقابل يطلب رقم بطاقة مصرفية لتحويل الأموال. إنه وضع طبيعي. بعد تلقي رقم البطاقة المصرفية "بالحجم" الكامل ، لم يتبق للمهاجم سوى شيء واحد - لمعرفة البريد الإلكتروني الذي يتم تسجيل حساب المستقل عليه. للقيام بذلك ، يحتاج المهاجم فقط إلى قيادة عنوان البريد الإلكتروني للضحية عبر رابط الوصول إلى الاسترداد وتأكد من أن الخدمة شاهدت بريده الإلكتروني ، وبعد ذلك نختار ببساطة خيار استعادة الوصول إلى حساب الضحية ليس عن طريق البريد ، ولكن عن طريق إدخال رقم بطاقة بنكية و ... ونحصل على الوصول الكامل إلى حساب عميل PayPal الخاص بك!


الصورة 1 - تأكد من أن البريد الإلكتروني المستلم موجود في نظام PayPal
الصورة 1.1 - انظر التأكيد ، أو رؤية فشل النظام


الصورة 2 - تغيير طريقة الاسترداد من البريد الإلكتروني إلى رقم بطاقة البنك


الصورة 2.1 - نتأكد من أن رقم البطاقة المشار إليه من قبل الضحية يتوافق مع الرقم المرتبط في الحساب للأحرف 2-4 الأخيرة.
(ما سبق هو مثال لكيفية تحديد مراسلات البريد الإلكتروني وملزمة بطاقة مصرفية محددة من قِبل المستقل)

بعد أن يكون المهاجم مقتنعًا بأن هذه البيانات كافية ويتوافق مع ما توضحه لنا خدمة PayPal ، يقوم المهاجم ببساطة بتسجيل الدخول إلى النظام وفي نفس الوقت يقوم بتعيين كلمة المرور الخاصة به. ومع ذلك ، لا يتم عرض كل هذه الإجراءات على بريد الضحية. على ما يبدو ، تعتقد الخدمة أنه نظرًا لأنك تحدد رقم البطاقة ، فهي عميل بنسبة 100٪ وليست مهاجمًا ، وببساطة لا ترسل معلومات حول تغيير كلمة المرور إلى البريد. هذا محفوف بالعواقب.


الصورة 1 - انتقل إلى النظام لاستعادة الوصول إلى حساب PayPal الخاص بك


الصورة 2 - نشير إلى طريقة الاسترداد عن طريق رقم البطاقة المصرفية


الصورة 3 - أدخل رقم البطاقة المصرفية


الصورة 4 - تغيير كلمة المرور لحساب PayPal الخاص بك


الصورة 5 - نذهب إلى حساب PayPal لضحية محتملة
(تظهر لقطات الشاشة خطوات الوصول بحرية إلى حساب PayPal الخاص بك)

حررت! لمثل هذا "الاختراق" لا يتطلب استخدام أموال إضافية. يتم الكشف عن جميع المعلومات إما من خلال الخدمات القياسية ، أو ببساطة من المصادر المفتوحة = (

كما ترون ، دون أي صعوبة ، باستخدام المعلومات والخدمات المتوفرة فقط من المصادر المفتوحة ، تمكنا من تسجيل الدخول إلى حساب مستخدم نظام الدفع PayPal ، راجع حسابه ، معلومات عن الإيصالات (من أين ، وكم ، ومتى) ، والتي يجب أن تكون محمية بواسطة الخدمات المصرفية سر. بدون علم صاحب الحساب ، تمكنا من تغيير كلمة المرور الخاصة به.

تمكنا أيضًا من الوصول إلى إعدادات ملف تعريف المستخدم ، وفي هذه الإعدادات يمكننا أن نرى البيانات الشخصية للعميل ، وأين يعيش ، والأهم من ذلك ، يمكننا تغيير عنوان البريد الإلكتروني للحساب الذي تأتي إليه إخطارات النقل. نعم ، بالطبع ، لا يمكن للمرء القيام به دون تناثر البريد الرئيسي للمالك - وإلا فسيتمكن من رؤية رسالة النظام التي تفيد بأن تسجيل الدخول الرئيسي الخاص به قد تم تغييره إلى آخر ، ولكن بسبب البريد العشوائي ، قد لا يتم ملاحظة ذلك ، أليس كذلك؟

إذا قمنا بتغيير بريد الحساب ، في هذه الحالة ، عندما يقوم المحتال بسحب / تحويل أموال الضحية إلى حساب آخر بالخدمة - إشعار إلى النظام يقول "مرحبًا يا عميل! إننا نقوم بتحويل الأموال إلى حساب آخر ... بمبلغ ... "سنرى فقط ، ولن يعرف الضحية أن أمواله قد فقدت حتى يحاول إدخال حسابه ، وأنه لن ينجح على الفور ، ومن ثم قد يكون المال بالفعل سحبت من النظام إلى أي حسابات احتيال احتيالية.

لماذا أنا قلق للغاية بشأن هذه المشكلة ، تسأل؟ نعم ، أنا أدرك أن الأشخاص الذين لديهم كميات كبيرة من حسابات PayPal هم أكثر عرضة لحماية المعلومات المتعلقة ببياناتهم الشخصية ، ومعرفة كيفية تخزينها والقوانين التي يحمونها من أجل العمل على الشركات التي يمكن أن "يضيء" هذه البيانات بأي شكل من الأشكال على الإنترنت ، أو يحيلها إلى 3 أشخاص ، والذين قد يسربون هذه البيانات ... نعم ، أنا أتفق معك تمامًا. ولكن ، إذا ألقيت نظرة فاحصة ، يستخدم نظام PayPal من قبل العديد من الأشخاص الذين ليسوا أصدقاء بسيطين لتكنولوجيا المعلومات - فهناك ظروف ملحة تتطلب منهم إنشاء حساب وتلقي الأموال اللازمة لذلك.

عندما اكتشفت كيفية تحديد عناوين البريد الإلكتروني الضرورية وأرقام الهواتف المحمولة وأرقام البطاقات المصرفية ... لن تصدق ذلك - في مرحلة ما ، قمت ببساطة بإرسال استعلام بحث في شبكة اجتماعية شعبية واحدة من الطبيعة التالية: "رقم بنك PayPal الإلكتروني" البطاقات "وفي نتائج البحث ، حصلت على مئات البيانات التي يمكن للمهاجمين أخذها ونسخها ولصقها واستخدام نظام القرصنة الذي وصفته أعلاه.


الصورة 1 - أدخل الطلب في شبكة البحث في فكونتاكتي. لن أقوم بنشر بقية لقطات الشاشة - يمكنك التحقق من ذلك بنفسك. لا أظن أن سكان روسيا وحدهم لديهم مثل هذا الموقف البسيط تجاه بياناتهم الشخصية ، وأعتقد أن الدول الأخرى لديها نفس المشكلة ...

(تُظهر لقطات الشاشة مقدار المعلومات التي تحتوي على تفاصيل محددة للحسابات والبطاقات والبريد الإلكتروني ، والتي يمكن الحصول عليها بسهولة وببساطة من المصادر المفتوحة على الإنترنت)

يتم نشر معظم هذه البيانات دون تردد من قبل الأشخاص الذين يجمعون الأموال لعلاج أطفالهم وأقاربهم ، والحيوانات الأليفة الحبيب. هؤلاء الأشخاص ، وهذا أمر مفهوم ، لا يفكرون في أمان حسابهم على PayPal - بالنسبة لهم ، فإن إنقاذ الحياة في المقام الأول. وفهم ذلك ، أعتقد أن خدمة PayPal يجب أن تغير النهج لاستعادة الوصول إلى حساب من خلال الإشارة إلى رقم البطاقة المصرفية. بالإضافة إلى رقم البطاقة المصرفية ، سيكون من المعقول إرسال طلب مع "رمز" إلى بريد العميل أو هاتفه.
سيساعد ذلك في الوقت المناسب على تحديد محاولات المحتالين للوصول إلى حسابك ، حتى أنه من الممكن تحديد المحتالين في هذه الحياة الواقعية في الوقت الحالي (إذا كان ذلك مفاجأة لهم ويمكن تتبع تصرفاتهم).

ما يجب على المستخدمين فعله لتعزيز أمان مستخدمي PayPal:

1. تمكين ترخيص عاملين في حسابك.
2. لا تنشر أرقام البطاقات ورسائل البريد الإلكتروني المرتبطة بحساب PayPal في المجال العام على الإنترنت.
3. لا تنشر بياناتك الشخصية على الشبكات الاجتماعية والمنتديات والرسائل الفورية.
4. استخدم البريد الإلكتروني ، الذي لم يتم الإشارة إليه في أي مكان باستثناء PayPal (غير معروف لأي شخص باستثناءك).

ما الذي يجب أن تفعله الخدمة لتعزيز أمان مستخدمي PayPal:

1. عند استخدام وظيفة استعادة الوصول إلى حساب من خلال الإشارة إلى بطاقة مصرفية ، أدخل إرسالًا إضافيًا لرمز التأكيد إلى بريد العميل أو إلى رقم هاتف جوال ، وبعد ذلك التأكيد يُسمح بالفعل بتغيير كلمة المرور إلى كلمة مرور جديدة.
2. إبلاغ العميل بمحاولة تغيير كلمة المرور من الحساب إلى البريد.
3. لإبلاغ العميل بالتغييرات التي تطرأ على الحساب - بما في ذلك إبلاغه بتغيير البريد الإلكتروني والاسم وتفاصيل التفاصيل.

تم كتابة هذا التقرير في 31 ديسمبر 2019. منذ 26 كانون الأول (ديسمبر) ، كانت هناك محاولات فاشلة للاتصال بخدمة دعم PayPal - لقد تلقيت ردًا على إلغاء الاشتراك فقط وسيقوم متخصصو القسم الفني بالاتصال بي ، لكنهم لم يتصلوا به.

محدث: اعتبارًا من 01/13/2020 ، تم إصلاح مشكلة عدم الحصانة هذه.

روابط مفيدة حول هذه المشكلة من متخصص أمني آخر اكتشف مشكلة مماثلة تسمح لك بسرقة اسم مستخدم وكلمة مرور PayPal [ اقرأ ... ]