paypal пришел код безопасности на мой номер
Подозрительно: массовые смс с кодами активации от разных сервисов
С десятка номеров пришли однотипные смс, одно за другим — «Ваш код подтверждения…»:
Некоторые сообщения продублировались утром и вечером. Что это может быть?
Анна, кто-то мог отправить смс и вручную, вводя ваш номер на разных сайтах. Но более вероятно, что это работа автоматического скрипта — программного кода, который выполняет действия по заранее заданному алгоритму.
Попробую разобраться, чего хотел автор этого скрипта. Некоторые варианты выглядят безобидно, другие в будущем могут стоить вам денег. Вот что приходит на ум:
Обычная шутка
Начну с самого безобидного. Кто-то из знакомых, знающих ваш номер, решил ради шутки завалить ваш телефон сообщениями. Это делают с помощью программ, которые называются « смс-бомберы », или « смс-флудеры ». Не знаю, почему некоторые считают это смешным, но шутка достаточно популярная.
Как защититься. Если не планируете пользоваться сервисами, от которых пришли сообщения, просто заблокируйте имена отправителей.
Самозащита от мошенников
Создание баз номеров
Другая возможная цель такого скрипта — сбор информации. Скрипт пытается восстановить пароль на разных сервисах. Если процесс запустился, аккаунт с таким телефонным номером существует. Его вносят в базу номеров.
Использовать базу могут как угодно. Например, статистику о владельцах дисконтных карт одной торговой сети передадут в другую — и вы начнете получать от них уведомления об акциях и скидках. Или через некоторое время вам позвонит «сотрудник банка» и попытается выманить данные карты.
Как защититься. Существуют сервисы, которые подменяют телефонные номера, поэтому доля паранойи не помешает. Если вам звонят и просят срочно назвать три цифры с обратной стороны карты, чтобы заблокировать списание денег, не верьте — даже если это звонок с номера банка, указанного на карте. Положите трубку и перезвоните в банк.
Еще вариант защиты — завести отдельную симкарту для регистрации на сайтах и больше нигде ее не использовать. Если на этот номер позвонят или напишут из банка, вы будете точно знать, что это мошенник.
Попытка регистрации с подбором кода
Для рассылки спама с разводом и «мусорной» рекламой мошенники обычно создают аккаунты на чужое имя или используют взломанные. Смс с кодами активации могут говорить о том, что ваши аккаунты пытаются взломать — или зарегистрировать новые на ваш номер телефона.
При регистрации сервисы отправляют на указанный номер мобильного код проверки. Вводя этот код, вы подтверждаете, что номер принадлежит вам и вы соглашаетесь с регистрацией. У мошенника нет вашего телефона, но он может попытаться подобрать присланный вам код.
Чем длиннее код, тем сложнее это сделать. Например, если код состоит из четырех цифр, существует 10 тысяч разных вариантов, а если из шести — вариантов уже миллион.
Скрипт можно научить проверять все эти варианты и автоматически вводить коды проверки один за другим — от 000000 до 999999. Здесь все зависит от защиты сайта: ограничивает ли он количество попыток, если ограничивает, то сколько их. И можно ли повторить процедуру с тем же номером через какое-то время.
Чем больше попыток дает сайт, тем выше вероятность, что скрипт успеет подобрать код и подтвердить «вашу» учетную запись без доступа к телефону и тексту смс. Например, в 2017 году на «Хабре» писали про угон аккаунтов одного каршеринга.
Многие сайты защищены хуже, чем кажется. Специально для этой статьи я написал небольшой скрипт и попытался с его помощью подобрать шестизначный код подтверждения одной социальной сети. На удивление, сайт разрешил моему скрипту ввести больше ста разных кодов подтверждения — и только после этого сказал, что я слишком часто пытаюсь это сделать, и попросил подождать 10 минут.
Я не стал перезапускать скрипт. Но даже за одну попытку вероятность подбора — 100 к 1 000 000, то есть 0,01%. Если перебрать 10 тысяч номеров, один из них удастся подтвердить. А если длина кода всего четыре символа, то при тех же условиях хватит ста номеров, чтобы подобрать код к одному из них и получить доступ к подтвержденному аккаунту. После этого можно рассылать с него спам от чужого имени.
Анна, вы написали, что сообщения приходили с определенными интервалами, утром и вечером. Это увеличивает вероятность того, что речь идет о подборе кода. Мошенник подождал предложенное сайтом время и снова запустил свой скрипт. Возможно, пытались взломать ваши аккаунты или зарегистрировать новые на ваш номер телефона.
Как защититься. К сожалению, гарантированной защиты от такого взлома нет. Не исключено, что мошеннику удастся подобрать код и активировать аккаунт. Отдельная симкарта для интернета не поможет: мошенник все равно сможет зарегистрировать аккаунт на основную. Тут все зависит от безопасности конкретного сайта.
Если какие-то сайты вам важны или у вас уже есть там аккаунт, попробуйте сменить пароль или написать в техподдержку и описать ситуацию. Возможно, ваш аккаунт заблокируют и создадут новый или предложат какой-то другой вариант.
Утечка паролей
Время от времени в руки злоумышленников попадают базы данных с паролями пользователей различных сервисов — из-за взломов, утечек и социальной инженерии. Пароль также могут украсть с помощью троянских программ или вирусов. Более того, вы сами могли нечаянно передать пароль мошенникам, например на поддельном сайте.
Если у вас одинаковый пароль на многих сайтах, это дополнительный риск. Узнав ваш пароль к одному сайту, мошенники получают доступ и к остальным. Проверяют это тоже с помощью скрипта, который вводит украденный у вас пароль на всех сайтах подряд. Где-то пароль не подойдет, где-то аутентификация двухфакторная — сначала надо ввести пароль, потом код из смс. Если пароль подошел на нескольких таких сайтах, то и сообщений будет много.
Дальше код подтверждения попытаются подобрать по уже описанной схеме.
Как защититься. Используйте для каждого сайта уникальный пароль. Это не так сложно, как кажется: например, добавьте к вашему обычному паролю несколько первых или последних символов из названия сайта. Так вы хотя бы защититесь от автоматического перебора, если мошенники украдут один из паролей.
Маскировка важного смс
Последний вариант, который мне показался возможным, — попытка скрыть какое-то важное сообщение. Возможно, злоумышленник украл данные вашей карты и не хотел, чтобы вы увидели смс о снятии средств. Поток сообщений отодвинет нужное на второй экран, и есть шанс, что вы его пропустите и не заблокируете карту вовремя. Надеюсь, это не ваш случай.
Как защититься. Внимательно проверяйте все пришедшие сообщения и блокируйте смс от ненужных сервисов. Так проще убедиться, что сообщение от банка о снятии крупной суммы или от мобильного оператора о замене симкарты не затерялось в спаме.
Если увидели что-то подозрительное, пишите. Возможно, кто-то пытается украсть ваши деньги.
Как разводят пользователей PayPal
Наиболее распространенные способы отъема денег у пользователей PayPal с помощью спама, фишинга или разнообразных махинаций прямо на самой площадке.
Как пользоваться PayPal так, чтобы об этом не пришлось жалеть, мы уже рассказывали. Но мошенники каждый день идут на новые ухищрения, чтобы добраться до аккаунтов ничего не подозревающих пользователей и обчистить их электронные карманы. Сегодня мы расскажем, какими схемами чаще всего пользуются преступники.
Письма счастья и мошенничество с предоплатой
Классика интернет-разводов, так называемое мошенничество с предоплатой (advance fee fraud), вполне себе используется и применительно к PayPal. Вы получаете письмо, где говорится, что вам причитается некоторая сумма денег: якобы вы получили наследство, выиграли в лотерею, вам полагается компенсация по какому-нибудь поводу — количество вариантов безгранично, спасибо человеческой фантазии.
Для получения денег вам нужно внести небольшой предварительный платеж (в нашем случае через PayPal) или заполнить анкету с личными данными. Разумеется, после внесения платежа отправители письма пропадут навечно, а ваши личные данные из анкеты окажутся в какой-нибудь базе, выставленной на продажу в даркнете.
Как избежать: не переводите деньги и не раскрывайте данных о себе незнакомым людям. «Красных флагов» в большинстве подобных писем будет достаточно: абсурдные суммы выигрыша/компенсации; грамматические ошибки; адрес отправителя, больше подходящий роботу, чем живому человеку, и так далее. Главное — внимательнее относиться ко всему и не принимать поспешных решений.
Уведомления о проблемах с аккаунтом PayPal
Развод номер два: Хьюстон, у нас проблема. Вы получаете письмо якобы от PayPal, в котором утверждается, что с вашим аккаунтом что-то не так. Какая-то в нем, видите ли, возникла проблема. Но не беда, проблему можно исправить, главное — перейти по ссылке и залогиниться. Ба, да это же очень похоже на фишинг!
Страница по ссылке в 99% случаев внешне будет более или менее походить на настоящий сайт PayPal, хотя и находиться на слегка видоизмененном домене. Все данные, которые вы там введете для входа в аккаунт, моментально уйдут мошенникам. А дальше и до взлома недалеко.
В особо тяжелых случаях могут предлагать установить некую программу, которая якобы поможет вернуть доступ, — на самом деле это будет троянец со всеми вытекающими неприятностями.
Как избежать: опять же ищите ошибки в письме, левые домены, не совпадающие с официальным адресом. Да и вообще, не будет вам PayPal таким способом и в таких формулировках сообщать о проблеме.
Кстати, настоящий ли сайт или фишинговый, можно проверять с помощью нашего сервиса OpenTip. Или еще проще — установите защитное решение с защитой от фишинга и онлайн-мошенничества — оно автоматически распознает и заблокирует опасные страницы.
Сегодня случается, что фишинговые ссылки распространяются не только по электронной почте, но и в социальных сетях. Например, мошенники заводят аккаунт в твиттере под именем вроде PayPalGifts и начинают обрабатывать там доверчивых пользователей. Его, конечно, довольно быстро прикроют, но какой-то урожай он все-таки соберет.
Мошенничество типа «верните переплату»
Теперь про то, как мошенники могут вынудить отдать им деньги практически по доброй воле. Одни из самых распространенных способов в этой категории — скамы с переплатой. Представьте, что вы что-то продаете онлайн. Находится покупатель, отправляет вам деньги, но почему-то сумму, превышающую необходимую. Покупатель утверждает, что это ошибка, и просит вернуть разницу.
Если вы это сделаете, то самая первая транзакция тут же будет отменена: как правило, для таких переводов используются взломанные аккаунты, и когда владелец восстановит доступ, то резонно потребует вернуть деньги. В итоге вы лишитесь и той самой «переплаты», и стоимости товара. А если успеете отправить посылку, то и самого товара.
Еще существуют версии схемы, где вам пересылают дополнительную сумму, чтобы вы, например, заплатили некоему посреднику. Суть та же: «посреднику» вы отправите свои деньги, после чего входящий перевод вам будет отменен.
Как избежать: вот скажите, вы когда-нибудь отправляли по ошибке, например, 2000 долларов вместо 1000? Ну то есть всякое, конечно, бывает, но в большинстве случаев такая ситуация будет «красным флагом». При реальной ошибке для обеих сторон безопаснее отозвать ошибочную транзакцию и заново провести нужную сумму, внимательно проверив все единички, нолики и запятые. Если контрагент отказывается так делать, мы советуем напрячься и обратиться в службу поддержки.
Махинации с доставкой и отзывом платежа
Еще один часто встречающийся развод касается доставки. Иногда мошенники, прикидывающиеся покупателями, просят отправить товар через их «любимый» сервис, где у них якобы есть скидка. Для этого они даже готовы предоставить свой аккаунт там. Никогда не соглашайтесь на такие предложения: имея доступ к аккаунту, жулики изменят адрес доставки, а потом пожалуются на вас и заявят, что товар не был доставлен вовсе.
Бывает и такое, что компания-доставщик оказывается подставной, и тогда опять же нечестный покупатель почти законным способом сможет вернуть себе деньги за честно отправленный вами товар.
Другой вариант такого развода связан с подменой адреса. Покупатель указывает фейковый адрес, после нескольких неудачных попыток доставки компания уточняет у него, куда же привезти покупку. После этого посылку он получает, но на продавца опять же подает жалобу — якобы ему так ничего и не пришло. Учитывая наличие многочисленных сообщений о неудавшейся доставке, PayPal может в такой ситуации поверить именно мошеннику.
Как избежать: пользуйтесь только сервисами доставки, проверенными лично вами или людьми, которым вы доверяете. Никогда не отправляйте ничего до оплаты и обязательно сохраняйте все чеки и квитанции.
«Креативные» схемы оплаты
Обманывают честных людей и с помощью мутных схем оплаты. Например, у PayPal есть опция перевода денег для семьи и друзей, там действуют пониженные тарифы. Иногда мошенники просят перевести деньги таким способом, чтобы сэкономить на комиссии, и обещают за это сделать скидку.
Вот только по правилам платформы такой способ не предназначается для оплаты товаров, а значит, никакая программа защиты покупателей на такие переводы не распространяется. Стоит ли говорить, что отправленных денег, как и товара, вы уже не увидите.
Сюда же относятся любые предложения перевести деньги альтернативным способом, якобы более удобным, выгодным или соответствующим философско-этическим воззрениям продавца. В общем, если ваш собеседник настаивает на чем-то таком, начинает вешать вам на уши лапшу или торопить (последний шанс оформить сделку, через час улетаю в Благовещенск на 20 лет), скорее всего, что-то тут нечисто.
Как избежать: игнорируйте просьбы оплатить товар другими путями. У PayPal очень неплохие программы защиты как продавцов, так и покупателей, но работают они только для стандартных переводов внутри платформы.
Банальный развод на деньги под предлогом благотворительности или инвестиций
Говорят, отдельный котел в аду есть для людей, которые рассылают фейковые предложения о благотворительности и инвестиционных возможностях. Нередко эти нехорошие люди принимают «пожертвования» или «взносы» на PayPal. Отменить такой платеж, если мошенники оперативно его востребуют (а они наверняка постараются это сделать), скорее всего, уже не получится. Так что проверять все необходимо заранее.
К просьбам о благотворительном пожертвовании нужно быть особенно внимательным во время стихийных бедствий и прочих крупных форс-мажоров — будьте уверены, где-нибудь да найдутся жулики, желающие нажиться на чужой беде.
«Выгодные предложения» могут прилететь в любой момент и часто характеризуются обещаниями баснословных барышей без особых рисков, без регистрации и SMS — сами понимаете, правда жизни обычно выглядит иначе.
Как избежать: чтобы избежать таких обманов, обязательно проводите аудит предложения. Проверьте репутацию благотворительного фонда (или инвестиционной компании), а лучше всего, если у вас будут знакомые или друзья, которые с ним работали и могут подтвердить легитимность. Для проверки благотворительности в интернете существуют специальные сервисы типа Charity Navigator, Better Business Bureau и Charity Watch.
Как избежать неприятностей на PayPal
Подытожим и сформулируем общие советы, следуя которым можно защитить себя от большинства попыток обмана, угона аккаунта и прочих неприятностей:
Как верифицировать кошелек PayPal?
Чтобы верифицировать счет в PayPal, пользователю не потребуется выполнять сложные операции – полную проверку можно совершить в течение 15 минут. Осуществление нескольких простых процедур значительно упростит пользование сервисом в дальнейшем. Станет доступно свободно проводить онлайн транзакции без жестких лимитов.
Что такое верификация PayPal и для чего нужна
В общем понимании верификация представляет собой проверку введенной при регистрации информации. Процедура направлена на определение достоверности указанных сведений. Полная идентификация учетной записи PayPal включает в себя три этапа:
Прохождение проверки в первую очередь позволит держателю счета воспользоваться полным функционалом платформы. Если кошелек не верифицирован в электронной платежной системе PayPal, то пользователь сможет принимать и переводить средства только в рамках сервиса. Анонимному участнику вывод средств из сети не доступен.
Идентификация позволит избежать возможной блокировки доступа к электронному кошельку, повысит уровень безопасности подключения.
Для верифицированных профилей помимо прочего увеличиваются лимиты на остаток на счете и на единоразовые операции, снимаются ограничения на сумму платежей в каждом месяце. Финансовые операции с подтвержденным кошельком также могут выполняться в иностранной валюте.
Сроки
Чтобы проверить предоставленную информацию, сотрудникам платежной системы PayPal обычно требуется не более 10 минут. В отдельных случаях выполнение процедура может занять 2-3 рабочих дня – при возникновении сбоев или определенных трудностей с документами. Максимальный период проверки составляет 30 календарных дней.
Стоимость
Идентификация виртуального кошелька PayPal выполняется бесплатно. Однако при привязке банковской карты потребуется наличие на счете не менее 60 рублей. Соответствующая сумма будет списана для проверки платежеспособности указанного финансового источника. В дальнейшем платеж возвратиться в полном размере – в течение 2-3 дней.
Документы для верификации
Процедура верификации в PayPal
Проходить проверки рекомендуется сразу после регистрации для снятия изначально действующих ограничений. Однако не воспрещается направлять сведения позднее. Подтверждение достоверности информации в профили можно выполнять как через официальный сайт, также с помощью мобильного приложения. Чтобы подтвердить личность в электронной платежной системе с помощью браузера:
Перейти к идентификации доступно также через настройки личного кабинета или по ссылке «Проверить лимиты своего счета» на начальной странице.
После того счет в системе PayPal будет верифицирован, учетная запись пользователь получит статус «Проверенный покупатель». 
Подтверждение платежной карты
Перейти в привязке карты банка можно также через уведомления либо через раздел «Счет», расположенный в верхней панели управления. Чтобы подтвердить финансовый источник, изначально потребуется его добавить. Для этого нажмите по ссылке «Привяжите карту» в левой части экрана, укажите реквизиты и подтвердите действие.
Далее для верификации добавленного счета выполните следующие действия:
В дальнейшем привязанную карту можно использовать для онлайн-оплаты товаров и услуг через PayPal. При этом баланс на электронном кошельке может оставаться нулевым.
Безопасность подачи данных в систему
Международный платежный сервис PayPal обеспечивает высокий уровень защиты данных. Сведения пользователей хранятся в закрытой базе. При этом конфиденциальность также обеспечивается за счет автоматической шифровки информации. Ни покупатели, принимающие платежи, ни сотрудники компании не могут увидеть полные реквизиты держателя электронного счета.
Возможные ошибки
При возникновении трудностей рекомендуется обращаться в службу поддержки компании. Бесплатная горячая линия для российских пользователей – 8(800)333-26-76. Связаться с сервисом можно также через онлайн-чат или публичные сообщества в социальных сетях. К наиболее распространенным причинам неудачной верификации можно отнести:
При необходимости доступно воспользоваться альтернативным путем идентификации данных – через салоны «Связной» или «Евросеть».
Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]
Добрый день, уважаемые коллеги!
Я являюсь пользователем популярного платежного сервиса системы PayPal. Также, по совместительству, являюсь специалистом по технической безопасности в области защиты персональных данных. Хочу рассказать вам, каким образом я обнаружил уязвимость в системе, которая позволяла войти в аккаунт пользователя системы PayPal, а также произвести незаметную смену пароля, и открыть доступ к личному кабинету клиента без его ведома, вывести денежные средства.
Итак, приступим…
Начну с того, что я отчасти являюсь и фрилансером, который получает свою премию через сервис PayPal. И вот сидя дома, и проверяя в очередной раз поступления на свой счет PayPal с мобильного телефона у меня возникла проблема с входом в личный кабинет. Я очень часто пользовался системой аутентификации через Touch ID, прикладывая палец и попадая в личный кабинет сервиса. Но в этот раз, по какой-то причине, на моем мобильном телефоне отвалился Touch ID и мне пришлось вспоминать обычный пароль, что составило немало проблем, поскольку он сложный и с мобильного устройства его не ввести. После некоторых безуспешных попыток вспомнить правильный пароль, я решил воспользоваться системой восстановления паролей и вот тут начинается самое интересное! 🙂
Дело в том, что как и все популярные нынче сервисы, у PayPal есть система восстановления пароля, при этом очень разнонаправленная – мы можем восстановить пароль по почте, указав почту своего аккаунта, можем указать ответ на контрольный вопрос … Но меня в этой опции заинтересовало поле восстановления доступа к учетной записи по «банковской карте».
Фото 1 – Варианты восстановления доступов к аккаунту PayPal
(Выше на скриншотах показано поле восстановления доступа к аккаунту через различные варианты)
Почему этот момент меня так зацепил? Ну, потому что я знаю, как люди, по крайней мере в России, относятся к своим персональным данным, совершенно не понимая какие из них можно опубликовывать в сети Интернет, а какие нельзя! Понимая это, я решил провести эксперимент и выяснить, чем это может грозить клиенту – непосредственно мне, ну и заодно остальным пользователям платежного сервиса PayPal.
Для восстановления доступа к учетной записи по номеру банковской карты – сервис показывает нам последние 2 цифры номера карты. Возникает закономерный вопрос – как можно узнать полный номер банковской карты клиента? И тут нам на помощь приходят различные банковские сервисы онлайн платежей (про безалаберность людей, оставляющих свои ПДн пока не говорим). О чем речь? Я имею в виду приложения банков, которые люди устанавливают на свои мобильные телефоны, например приложение “СберБанк Online”, «ВТБ» и другие. Каким образом злоумышленнику может это помочь? Зная телефон потенциальной жертвы – мы можем частично пробить через приложение номер банковской карты владельца этого телефона. Любезный сервис банка покажет нам «Имя» и «Отчество» владельца карты, а также номер его карты, некоторые символы которого будут закрыты звездочками.
ЗЫ: По моему еще в 2018 или начале 2019 года меня также насторожил тот факт, что банк «ВТБ» в своих терминалах также частично раскрывал персональные данные клиента, если бы вы вставили в терминал найденную кредитную карту, ввели пароль «от балды» и в окне терминала увидели бы приветствие «Здравствуйте, Фамилия Имя Отчество!»… Меня тогда насторожил этот факт.
Фото 1 – Приложение СберБанк Online
(Выше показаны скриншоты приложений СберБанк, ВТБ, которые показывают частично информацию о ФИО клиента, и его номере карты)
(Выше показан скриншот поиска информации в поисковиках/социальных сетях)
Но и без этого. Данное количество информации помогает нам выявить потенциальную жертву, используя поиск в Интернете, мошеннические сайты, или обычную человеческую невнимательность и доверчивость.
Так вот, почему меня волнует этот момент. Представьте, что злоумышленник выдаст себя за заказчика, которому необходимо разработать сайт. Он ищет фрилансера, через какую-нибудь популярную площадку. Списывается с фрилансером и предлагает ему свои условия, например, предлагает сразу же оплатить ему работу, но взамен просит предоставить номер банковской карты для перевода денег. Вполне обычная, нормальная ситуация. Получая номер банковской карты в полном его «размере», злоумышленнику остается лишь одно – узнать на какую E-mail почту зарегистрирован аккаунт фрилансера. Для этого злоумышленнику достаточно просто вбить по ссылке восстановления доступа E-mail почту жертвы и убедиться что сервис увидел его почту, после чего мы просто выбираем опцию восстановления доступа к аккаунту жертвы не через почту, а уже через ввод номера банковской карты и… И мы получаем полный доступ к личному кабинету клиента PayPal!
Фото 1 – Проверяем, что полученный E-mail есть в системе PayPal
Фото 1.1 – видим подтверждение, или видим отказ системы
Фото 2 – Меняем способ восстановления с E-mail на номер банковской карты
Фото 2.1 – Убеждаемся, что указанный жертвой номер карты соответсвует привязанному в аккаунте по последним 2-4 символам.
(Выше представлен пример того, как можно выявить соответствие почты E-mail и привязки к ней банковской карты, указанной фрилансером)
После того, как злоумышленник убедится в том, что эти данные достаточные и они соответствуют тому, что нам показывает сам сервис PayPal – злоумышленник попросту заходит в систему, и при этом ставит свой пароль. При этом все эти действия не отображаются на почте жертвы. Видимо сервис полагает, что раз вы указываете номер карты то это 100% их клиент, а не злоумышленник, и просто не отправляет на почту информацию о смене пароля. Это чревато последствиями.
Фото 1 – Заходим в систему восстановления доступа к аккаунту PayPal
Фото 2 – Указываем способ восстановления по номеру банковской карты
Фото 3 – Вводим номер банковской карты
Фото 4 – Меняем пароль аккаунта PayPal
Фото 5 – Заходим в аккаунт PayPal потенциальной жертвы
(На скриншотах показаны этапы беспрепятственного получения доступа к аккаунту PayPal)
DONE! Для такого «взлома» не потребовалось использовать дополнительных стредств. Вся информация выявляется либо через стандартные сервисы, либо попросту из открытых источников =(
Как вы можете убедиться, мы без особого труда, используя лишь доступную из открытых источников информацию и сервисы, смогли войти в аккаунт пользователя платежной системы PayPal, увидеть его счет, информацию о поступлениях (от куда, сколько, и когда), которая должна защищаться банковской тайной. Без ведома владельца аккаунта мы смогли сменить его пароль.
Также мы смогли получить доступ к настройкам профиля пользователя, и в этих настройках мы можем посмотреть персональные данные клиента, где он живет, и самое важное – мы можем сменить почту E-mail аккаунта, на которую приходят уведомления о переводах. Да, тут конечно без замусоривания основной почты владельца не обойтись — иначе он сможет увидеть письмо системы, в котором говорится что его основной логин сменен на другой, но из-за спама это можно и не заметить, верно?
Если мы сменим почту аккаунта, в таком случае, при осуществлении мошенником снятия/перевода денежных средств жертвы на другой счет сервиса – уведомление системы, в котором говорится «Здравствуйте, Клиент! Мы переводим средства на другой счет … в размере …» увидим только мы, а жертва не будет знать о том, что его деньги пропали, пока не попытается войти в свой аккаунт, что у него сразу не получится, к тому времени деньги уже могут быть выведены из системы на какие-либо подставные счета мошенников.
Почему меня так сильно волнует эта проблема, спросите вы? Да, я даю себе отчет о том, что люди, у которых на счетах PayPal могут находиться большие суммы, скорее всего лучше защищают сведения о своих персональных данных, знают, как их хранить и какими законами они защищаются, чтобы оперировать этим в компаниях, которые потенциально могут «засветить» эти данные каким-либо образом в сети Интернет, или передать их 3-м лицам, у которых потом эти данные могут утечь… Да, я с вами совершенно согласен. Но, если взглянуть повнимательнее, то системой PayPal пользуются много людей, простых и не совсем дружащих с Информационными технологиями – просто появились срочные обстоятельства, по которым им приходится завести аккаунт и получать на него средства.
Когда я разбирался, каким образом можно выявлять необходимые E-mail адреса, номера мобильных телефонов, номера банковских карт… Вы не поверите – в какой то момент я попросту вбил в одной популярной социальной сети поисковый запрос следующего характера: «E-mail PayPal номер банковской карты» и в поисковой выдачи получил сотни таких данных, которые злоумышленники могут просто брать, копировать, вставлять и пользоваться той схемой взлома, которую я описал выше.
Фото 1 – вводим запрос в поисковую сеть в ВКонтакте. Не буду выкладывать остальные скриншоты — вы сами можете это проверить. Не думаю, что такое просто отношение к своим персональным данным только у жителей России, полагаю, что такая же проблема есть и в других странах…
(На скриншотах показано как много информации с конкретными данными счетов, карт, E-mail, можно легко и просто получить из открытых источников в Интернете)
Большинство таких данных публикуют не задумываясь люди, которые собирают средства на лечение своих детей, родственников, любимых питомцев. Эти люди, и это вполне понятно, не задумываются о безопасности своего аккаунта PayPal – для них на первом месте спасти жизнь. Понимая это, я считаю, что сервис PayPal должен изменить подход к восстановлению доступа к учетной записи посредством указания номера банковской карты. Помимо номера банковской карты, было бы разумно отправлять запрос с «кодом» на почту или телефон клиента.
Это поможет вовремя выявить попытки мошенников получить доступ к аккаунту, возможно даже выявить реально действующих таких мошенников на текущий момент (если для них это станет неожиданностью и за их действиями можно будет проследить).
Что следует предпринять пользователям для усиления безопасности пользователей PayPal:
Что следует предпринять сервису для усиления безопасности пользователей PayPal:
Данный отчет был написан 31.12.2019 года. Со службой поддержки PayPal с 26 декабря были безуспешные попытки связаться — получил лишь отписку, что со мной свяжутся специалисты технического отдела, но они так и не связались.
UPD: По состоянию на 13.01.2020 данную уязвимость исправили.
Полезные ссылки по данной проблеме от другого специалиста в области ИБ, который обнаружил схожую проблему, позволяющую украсть логин и пароль пользователя PayPal [Читать. ]