СМИ обратили внимание, что в конце прошлой недели пользователи со всего мира начали массово жаловаться на несанкционированные платежи, осуществляемые через их аккаунты PayPal. Сообщения о таких проблемах можно найти на официальных форумах PayPal (1, 2, 3, 4, 5, 6, 7), Reddit (1, 2), Twitter (1, 2), а также на страницах поддержки Google Pay на русском и немецком языках (1, 2, 3, 4, 5, 6, 7, 8, 9, 10).
Описанные жертвами инциденты очень похожи: злоумышленники используют Google Pay, чтобы покупать различные товары, а для оплаты используют связанные аккаунты PayPal. Судя по скриншотам и различным свидетельствам, большинство таких нелегальных транзакций осуществляется через американские магазины (чаще всего сети Target).
Большинство пострадавших от этих атак находятся в Германии. Если опираться на открытые источники, можно предположить, что нанесенный пользователям ущерб уже исчисляется десятками тысяч евро: хакеры, как правило, начинают с тестовых платежей в размере от 0,01 до 4 евро, а затем берутся за дело серьезно, и в итоге некоторые транзакции превышают 1000 евро.
При этом какую именно проблему эксплуатируют злоумышленники, пока останется неясным.
Немецкий ИБ-эксперт Маркус Фенске (Markus Fenske) предполагает в Twitter, что хакеры используют баг, о котором компанию PayPal еще год назад предупреждал исследователь Андреас Майер (Andreas Mayer). Дело в том, что когда учетную запись PayPal связывают с учетной записью Google Pay, PayPal создает для этого виртуальную карту с собственным номером, сроком действия и кодом CVC. Когда пользователь Google Pay осуществляет бесконтактный платеж, используя счет PayPal, средства снимаются с этой виртуальной карты.
Reported a critical issue to PayPal ONE YEAR AGO.
— iblue (@iblueconnection) February 24, 2020
"Not an issue. Please self-close". Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it's actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
Фенске объясняет, что такие карты не ограничены исключительно PoS-транзакциями и могут использоваться для оплаты в онлайне. Судя по всему, злоумышленники нашли способ получать данные этих виртуальных карт, и теперь используют их для несанкционированных транзакций. По мнению эксперта, вероятно, для этого хватило бы обычного перебора и брутфорса. Но есть и другие варианты:
«PayPal разрешает бесконтактные платежи через Google Pay. Если вы их настроили, можно считать данные виртуальной кредитной карты с телефона, если мобильное устройство включено. Без аутентификации. То есть любой человек, находящийся рядом с вашим телефоном, имеет виртуальную кредитную карту, которая снимает деньги с вашего счета PayPal. И нет никаких ограничений по количеству или правомочности платежей», — говорит Фенске.
Представители PayPal пока не дают официальных комментариев и лишь уверяют, что расследование происходящего уже ведется.
В свою очередь пострадавшие пользователи из Facebook-группы, посвященной атакам, сообщают, что PayPal уже начала возмещать некоторым их них ущерб и отменять мошеннические платежи.
