Kecerobohan pengguna PayPal yang memungkinkan mereka untuk mencuri akun dan uang mereka [Tetap]

Selamat siang, kawan-kawan tercinta!

Saya adalah pengguna layanan pembayaran populer PayPal. Juga, dalam kombinasi, saya adalah seorang spesialis dalam keamanan teknis di bidang perlindungan data pribadi. Saya ingin memberi tahu Anda bagaimana saya menemukan kerentanan dalam sistem yang memungkinkan saya untuk masuk ke akun pengguna PayPal, serta membuat perubahan kata sandi yang tidak menarik, dan membuka akses ke akun pribadi klien tanpa sepengetahuannya, untuk menarik dana.



Jadi, mari kita mulai ...

Untuk memulainya, saya sebagian adalah seorang freelancer yang menerima penghargaannya melalui layanan PayPal. Dan ketika duduk di rumah, dan sekali lagi memeriksa tanda terima ke akun PayPal saya dari ponsel, saya punya masalah mengakses akun pribadi saya. Saya sangat sering menggunakan sistem otentikasi melalui Touch ID, meletakkan jari saya dan masuk ke akun pribadi layanan. Tetapi kali ini, untuk beberapa alasan, Touch ID jatuh pada ponsel saya dan saya harus mengingat kata sandi yang biasa, yang merupakan banyak masalah, karena rumit dan tidak dapat dimasukkan dari perangkat seluler. Setelah beberapa upaya yang gagal untuk mengingat kata sandi yang benar, saya memutuskan untuk menggunakan sistem pemulihan kata sandi dan di sini kesenangan dimulai! :)

Faktanya adalah, seperti semua layanan yang populer saat ini, PayPal memiliki sistem pemulihan kata sandi, dan sangat multi arah - kami dapat memulihkan kata sandi melalui surat, menunjukkan surat akun kami, kami dapat menunjukkan jawaban untuk pertanyaan keamanan ... Tapi saya tertarik dengan opsi ini pulihkan akses ke akun Anda dengan "kartu kredit" .


Foto 1 - Opsi untuk memulihkan akses ke akun PayPal Anda
(Cuplikan layar di atas menunjukkan bidang untuk memulihkan akses ke akun melalui berbagai opsi)

Mengapa saat ini begitu terpikat pada saya? Ya, karena saya tahu bagaimana orang, setidaknya di Rusia, berhubungan dengan data pribadi mereka, sama sekali tidak memahami yang mana dari mereka yang dapat dipublikasikan di Internet dan mana yang tidak bisa! Memahami hal ini, saya memutuskan untuk melakukan percobaan dan mencari tahu apa yang dapat mengancam klien - secara langsung kepada saya, baik, bersama dengan sisa pengguna layanan pembayaran PayPal.

Untuk mengembalikan akses ke akun Anda dengan nomor kartu bank - layanan menunjukkan kepada kami 2 digit terakhir dari nomor kartu. Sebuah pertanyaan logis muncul - bagaimana saya bisa mengetahui jumlah penuh kartu bank klien? Dan di sini berbagai layanan perbankan pembayaran online datang untuk membantu kami (kami tidak berbicara tentang kecerobohan orang yang meninggalkan data pribadi mereka). Apa yang kamu bicarakan Maksud saya aplikasi bank yang dipasang orang di ponsel mereka, misalnya, aplikasi "Sberbank Online", "VTB" dan lainnya. Bagaimana ini bisa membantu penyerang? Mengetahui ponsel dari calon korban - kita sebagian dapat menerobos aplikasi nomor kartu bank dari pemilik ponsel ini. Layanan ramah bank akan menunjukkan kepada kita "Nama" dan "Nama Tengah" dari pemegang kartu, serta nomor kartunya, beberapa di antaranya akan ditutupi dengan tanda bintang.

PS: Menurut pendapat saya, pada tahun 2018 atau awal 2019, saya juga diberitahu oleh fakta bahwa VTB Bank di terminalnya juga mengungkapkan sebagian data pribadi klien jika Anda memasukkan kartu kredit yang ditemukan ke dalam terminal, memasukkan kata sandi "dari buldoser" dan jendela terminal akan melihat sapaan "Halo, Nama Keluarga, Nama Depan, Patronimik!" ... Saya kemudian diberitahu oleh fakta ini.

Foto 1 - Aplikasi Sberbank Online
(Di atas adalah tangkapan layar aplikasi Sberbank, VTB, yang sebagian menunjukkan informasi tentang nama klien, dan nomor kartunya)



(Di atas adalah tangkapan layar dari pencarian informasi di mesin pencari / jejaring sosial)
Tapi tanpa itu. Jumlah informasi ini membantu kami mengidentifikasi calon korban menggunakan pencarian Internet, situs penipuan, atau kecerobohan manusia dan mudah tertipu manusia.

Jadi itu sebabnya saat ini membuatku bersemangat. Bayangkan penyerang menyamar sebagai pelanggan yang perlu mengembangkan situs web. Dia mencari pekerja lepas, melalui beberapa platform populer. Dia menulis kepada pekerja lepas dan menawarkan syarat-syaratnya, misalnya, menawarkan untuk membayarnya segera, tetapi sebagai imbalannya meminta nomor kartu bank untuk mentransfer uang. Ini situasi normal. Setelah menerima nomor kartu bank dalam "ukuran" penuh, penyerang hanya memiliki satu hal yang tersisa - untuk mengetahui ke E-mail mana akun freelancer terdaftar. Untuk melakukan ini, penyerang hanya perlu mengarahkan alamat email korban melalui tautan pemulihan akses dan memastikan bahwa layanan melihat emailnya, setelah itu kami cukup memilih opsi untuk memulihkan akses ke akun korban bukan melalui surat, tetapi dengan memasukkan nomor kartu bank dan ... Dan kami mendapatkan akses penuh ke akun pelanggan PayPal Anda!


Foto 1 - Pastikan email yang diterima ada di sistem PayPal
Foto 1.1 - lihat konfirmasi, atau lihat kegagalan sistem


Foto 2 - Ubah metode pemulihan dari E-mail ke nomor kartu bank


Foto 2.1 - Kami memastikan bahwa nomor kartu yang ditunjukkan oleh korban sesuai dengan yang ditautkan dalam akun untuk 2-4 karakter terakhir.
(Di atas adalah contoh bagaimana Anda dapat mengidentifikasi korespondensi E-mail dan mengikatnya dari kartu bank yang ditentukan oleh freelancer)

Setelah penyerang yakin bahwa data ini memadai dan sesuai dengan apa yang ditunjukkan oleh layanan PayPal kepada kami, penyerang hanya masuk ke sistem dan pada saat yang sama menetapkan kata sandi. Namun, semua tindakan ini tidak ditampilkan pada surat korban. Rupanya, layanan percaya bahwa karena Anda menentukan nomor kartu, itu adalah 100% klien mereka, bukan penyerang, dan sama sekali tidak mengirim informasi tentang mengubah kata sandi ke surat. Ini penuh dengan konsekuensi.


Foto 1 - Buka sistem untuk memulihkan akses ke akun PayPal Anda


Foto 2 - Kami menunjukkan metode pemulihan dengan nomor kartu bank


Foto 3 - Masukkan nomor kartu bank


Foto 4 - Ubah kata sandi akun PayPal Anda


Foto 5 - Kami masuk ke akun PayPal dari calon korban
(Tangkapan layar menunjukkan langkah-langkah untuk secara bebas mengakses akun PayPal Anda)

DIBUAT! Untuk "peretasan" seperti itu tidak memerlukan penggunaan dana tambahan. Semua informasi diungkapkan baik melalui layanan standar, atau hanya dari sumber terbuka = ​​(

Seperti yang Anda lihat, tanpa kesulitan, hanya menggunakan informasi dan layanan yang tersedia dari sumber terbuka, kami dapat masuk ke akun pengguna sistem pembayaran PayPal, melihat akun mereka, informasi tentang tanda terima (dari mana, berapa banyak, dan kapan), yang harus dilindungi oleh perbankan sebuah rahasia. Tanpa sepengetahuan pemilik akun, kami dapat mengubah kata sandi.

Kami juga dapat mengakses pengaturan profil pengguna, dan dalam pengaturan ini kita dapat melihat data pribadi klien, di mana dia tinggal, dan yang paling penting, kita dapat mengubah alamat email akun tempat pemberitahuan tentang transfer datang. Ya, tentu saja, seseorang tidak dapat melakukannya tanpa mengotori surat utama pemilik - jika tidak, ia akan dapat melihat surat sistem yang menyatakan bahwa login utamanya telah diubah ke yang lain, tetapi karena spam ini mungkin tidak diperhatikan, bukan?

Jika kami mengubah email akun, dalam hal ini, ketika penipu menarik / mentransfer uang korban ke akun lain dari layanan - pemberitahuan ke sistem yang mengatakan "Halo, Klien! Kami mentransfer dana ke akun lain ... dalam jumlah ... "hanya kita yang akan melihat, dan korban tidak akan tahu bahwa uangnya telah hilang sampai ia mencoba memasuki akunnya, bahwa ia tidak akan berhasil segera, pada saat itu uang itu mungkin sudah ditarik dari sistem ke akun penipuan yang curang.

Mengapa saya begitu khawatir tentang masalah ini, Anda bertanya? Ya, saya menyadari bahwa orang yang dapat memiliki akun PayPal dalam jumlah besar lebih cenderung melindungi informasi tentang data pribadi mereka, tahu cara menyimpannya, dan hukum apa yang mereka lindungi untuk beroperasi di perusahaan yang mereka berpotensi "menerangi" data ini dengan cara apa pun di Internet, atau mengirimkannya kepada 3 orang, yang kemudian dapat membocorkan data ini ... Ya, saya sepenuhnya setuju dengan Anda. Tetapi, jika Anda melihat lebih dekat, sistem PayPal digunakan oleh banyak orang yang sederhana dan tidak terlalu berteman dengan Teknologi Informasi - hanya ada keadaan mendesak yang mengharuskan mereka untuk membuat akun dan menerima dana untuk itu.

Ketika saya menemukan cara mengidentifikasi alamat email, nomor ponsel, nomor kartu bank yang diperlukan ... Anda tidak akan mempercayainya - pada titik tertentu saya hanya mengarahkan kueri pencarian ke jejaring sosial populer berikut: "E-mail nomor bank PayPal kartu ”dan dalam hasil pencarian saya mendapatkan ratusan data sehingga penyerang dapat dengan mudah mengambil, menyalin, menempel dan menggunakan skema peretasan yang saya jelaskan di atas.


Foto 1 - masukkan permintaan ke jaringan pencarian di VKontakte. Saya tidak akan memposting tangkapan layar lainnya - Anda sendiri dapat memeriksanya. Saya tidak berpikir bahwa hanya penduduk Rusia yang memiliki sikap sederhana terhadap data pribadi mereka, saya percaya bahwa negara-negara lain memiliki masalah yang sama ...

(Tangkapan layar menunjukkan seberapa banyak informasi dengan perincian spesifik tentang akun, kartu, email, dapat dengan mudah dan sederhana diperoleh dari sumber terbuka di Internet)

Sebagian besar data ini diterbitkan tanpa ragu-ragu oleh orang-orang yang mengumpulkan dana untuk perawatan anak-anak mereka, kerabat, hewan peliharaan kesayangan. Orang-orang ini, dan ini bisa dimengerti, jangan berpikir tentang keamanan akun PayPal mereka - bagi mereka, menyelamatkan nyawa adalah yang utama. Memahami hal ini, saya percaya bahwa layanan PayPal harus mengubah pendekatan untuk memulihkan akses ke akun dengan menunjukkan nomor kartu bank. Selain nomor kartu bank, akan lebih bijaksana untuk mengirim permintaan dengan "kode" ke surat atau telepon klien.
Ini akan membantu dalam waktu untuk mengidentifikasi upaya oleh scammers untuk mendapatkan akses ke akun Anda, bahkan mungkin untuk mengidentifikasi scammers kehidupan nyata seperti saat ini (jika itu mengejutkan mereka dan tindakan mereka dapat dilacak).

Apa yang harus dilakukan pengguna untuk meningkatkan keamanan pengguna PayPal:

1. Aktifkan otorisasi dua faktor di akun Anda.
2. Jangan memposting nomor kartu, E-mail yang terikat ke akun PayPal Anda di domain publik di Internet.
3. Jangan mempublikasikan data pribadi Anda di jejaring sosial, forum, dan pesan instan.
4. Gunakan E-mail, yang tidak ditunjukkan di mana pun kecuali PayPal (tidak diketahui siapa pun kecuali Anda).

Apa yang harus dilakukan layanan untuk meningkatkan keamanan pengguna PayPal:

1. Saat menggunakan fungsi mengembalikan akses ke akun dengan menunjukkan kartu bank, lakukan pengiriman kode konfirmasi tambahan ke email klien atau ke nomor ponsel, setelah konfirmasi yang sudah diizinkan untuk mengubah kata sandi menjadi yang baru.
2. Beri tahu klien tentang upaya mengubah kata sandi dari akun ke surat.
3. Untuk memberi tahu klien tentang perubahan dalam akun - termasuk untuk memberi tahu tentang perubahan E-mail, nama, detail detail.

Laporan ini ditulis pada tanggal 31 Desember 2019. Sejak 26 Desember, ada upaya yang gagal untuk menghubungi layanan dukungan PayPal - Saya hanya menerima balasan berlangganan bahwa spesialis departemen teknis akan menghubungi saya, tetapi mereka belum menghubungi.

UPD: Pada 01/13/2020, kerentanan ini telah diperbaiki.

Tautan yang bermanfaat untuk masalah ini dari spesialis keamanan lain yang menemukan masalah serupa yang memungkinkan Anda mencuri nama pengguna dan kata sandi PayPal [ Baca ... ]