Уязвимости счетов PayPal, мошенничество refund transactions, взлом аккаунта

17.01.2018

Несмотря на разработку все новых и новых методов кибербезопасности, электронные кошельки и системы оплаты всегда будут лакомым кусочком для хакеров и других нечистых на руку людей, обитающих во Всемирной паутине. Уже не раз совершались попытки взлома платежных систем и попытки воровства банковских карт, но хакер из Ростова-на-Дону не так давно сумел взломать одну из самых распространенных в мире платежных систем PayPal и украсть у ее пользователей несколько миллионов рублей.

hacker-750x420.jpg

Не так давно по подозрению в киберпреступлении органы правопорядка Ростова-на-Дону задержали 21-летнего хакера. Как стало известно, молодой человек (имя и фамилию которого следствие не разглашает) в течение нескольких месяцев взламывал частные аккаунты пользователей PayPal и снимал с данных их счетов денежные средства. Как заявили в пресс-службе правоохранительных органов,

«Атакам подверглась в первую очередь популярная система PayPal, в которой хакеры обнаружили существенную уязвимость. Менее чем за полгода житель Ростова получил несколько миллионов рублей и планировал продолжать свою деятельность».

В ходе следствия удалось выяснить, что молодой человек с 15 лет увлекался программированием и информационной безопасностью. В какой-то момент он начал писать программы для того, чтобы можно было выяснять персональные данные пользователей. Видимо, после этого на него и вышли другие киберпреступники, которые предложили хакеру сотрудничество. В данный момент на ростовского хакера заведено уголовное дело по статье, связанной с созданием и распространением вредоносных программ. Ну а мы, в свою очередь, напомним, что для любых своих платежных систем старайтесь использовать как можно более лучшие системы защиты: двух- и трехэтапную аутентификацию, сложные пароли, биометрические данные и вообще все любые доступные средства.

Стремительное развитие электронных платежных систем и интернет-коммерции вызвало появление киберпреступности. В данной статье речь пойдет о таком явлении, как взлом PayPal — одного из известных международных платежных сервисов. Осуществить атаку на всю систему невозможно, и злоумышленники взламывают аккаунты отдельных пользователей. Для этого они применяют различные методы – от получения паролей обманным путем до использования продвинутых шпионских программ.kak-vzlamyvayut-paypal1.jpg

Содержание

Претензия рассматривается в течение 10 дней, и при обнаружении факта мошенничества сумма операции вернется на счет пользователя.

Вообще-то я не умею писать всякие умные статьи, про всякие умные фичи, но сейчас я решусь на это. Я не буду вам впаривать, что такое Paypal и с чем его едят, вы наверно это сами отлично знаете (если не знаете — смотрите предыдущую статью). Эту статью я хотел бы прежде всего посвятить работе с pp. Прежде чем штурмовать pp надо к этому основательно подготовиться. Прежде всего, надо вычистить все куки в винде (находятся они в директории c:windowscookies). И надо найти хороший прокси-лист с анонимными проксями. Его можно найти на сайте www.void.ru, там есть 10 проксей. Прокси должен быть анонимный. После этого начинается самая трудная часть, под анонимным прокси надо войти в Paypal, перед этим надо сделать емайл на домене com. Тыкаете Sign Up на pp, и вводите все данные с карты. О том, какая карта нужна на pp это отдельная история. Прежде всего нужна РАБОЧАЯ, штатовская, visa или mc, с большим балансом, и самое главное с cvv2 номером. CVV2 — это трехзначный номер который написан на задней стороне карты. Берете карточку и заполняете все поля данными с карты. На ваш e-mail вам придет письмо, вы открываете ваш e-mail и тыкаете на линк в вашем мейле. Таким образом вы зарегите ваш емайл в Paypal’е. Осталось все за малым — ввести вашу креду в pp. Для этого надо сделать Add Credit Card. Вы вводите вашу креду с CVV2 номером и если она проходит, то у вас будет Unverified Paypal Account, т.е. вы сможете снять с него только 250$. Вы задаете вопрос, а что же делать если нет CVV2 номера??? Вы можете попробовать девственную Mastercard. И использовать 3,4,5 номер карты в качестве CVV2 номера, но это не всегда проходит. Это примерно проходит в 1/3 случаев. Так что лучше иметь девственницу с CVV2  😉 

Если вы дочитали до этого места и кричите мне, что я ламер и.т.д  и.т.п, то сейчас я вам расскажу занимательную сказку как верифицировать Paypal. Если вам это не интересно, то вы можете прямо сейчас удалить мою статью с криками ОТСТОЙ!!! Если у вас pp просуществовал неделю и его не закрыли, то это круто 🙂 , а если серьезно, то он будет и дальше существовать n-ое время. Едешь потом на www.etrade.com. Е трэйд — это сервис который позволяет открывать onlin’овские банковские аккаунты. Теперь я вам в подробностях опишу процесс открытия банковского аккаунта.  Идите на www.etrade.com и нажмите там Open an Account, это находится в левом верхнем углу. Потом жмете на E*TRADE Account Express. Дальше я вам буду описывать процесс создания аккаунта пошагово.

Шаг N 1

Шаг N 2

Шаг N 3

Шаг N 4

Все права на статью принадлежатwww.carder.ru

← Ранее Программы оптимизаторы Windows #4Далее → Mico$oft — нашим багам нет предела!

Информационная безопасностьХочу рассказать о реальном случае мошенничества со счетом Paypal. Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость сохраняется. Ситуация была следущая: Мой знакомый, Владимир, перевел 560 евро в качестве предоплаты за аренду жилья некоему Дмитрию (с которым ранее сотрудничал). Через несколько дней бронь была отменена и Дмитрий перевел эту сумму обратно Владимиру. Стоит отметить, что Дмитрий вернул деньги Владимиру простым переводом, т.е. никак не связав это действие с первоначальной транзакцией. Надо сказать, что в PayPal есть такая операция как «refund», по-русски возмещение. По первоначальному замыслу, возмещение было придумано, скорее всего, для интернет магазинов, доставляющих товары по почте для возврата денег покупателю в случае, если товар не будет доставлен в течении месяца. Эта операция должна происходить с разрешения (с подтверждением) продавца, т.е. человека получившего деньги по запросу от покупателя (отправителя). Так вот. По прошествии без малого месяца Владимир получил письмо с таким содержанием: Тема письма: «Взлом вашего аккаунта Paypal» Текст (немного изменен):Доброго времени суток, меня зовут Максим. Мною получен доступ в Ваш PayPal аккаунт — info@******.ru на котором на данный момент находиться сумма в размере 5896 EUR. В качестве доказательства был возвращён платёж с ID ********94J ******** .ru в размере 560 EUR. Смена пароля не поможет. Я бы мог снять все ваши деньги, но делать этого не буду, могу предложить Вам сделку, за половину суммы на данном счёте я скажу как этого не допустить. При этом, в списке транзакций появилась refund transaction связанная с операции возврата Дмитрием 560 EUR. Соответственно, счет Владимира уменьшился на эту сумму. Владимир этой операции, естественно, не подтверждал и не получал никакого почтового извещения, что всегда происходит для любой транзакции при нормальных действиях со счетом. Владимир тут же связался со службой поддержки PayPal, где на этот случай есть топик «Сообщить о факте мошенничества или запрещенного использования», так же он написал об этом Дмитрию. Дмитрий этих денег на свой счет не получил. PayPal включил стандартную в таких случаях процедуру блокировки счета и повторной проверки идетификаций. Сразу скажу, что разбирательство ни к чему не привело, деньги возвращены не были, но и больше не пропало. PayPal по-видимому, в таких случаях, вообще никаких действий не предпринимает и ничего не проверяет, хотя на лицо очевидная дыра в системе: не авторизованная транзакция. Я был приглашен для оценки данной ситуации, т.к. в свое время занимался интеграцией платежных систем для сайта Владимира. Судя по письму хакера переводившего деньги, реального доступа к аккаунту Владимира он не получал, иначе он бы просто снял молча все деньги. Тем не менее, каким-то образом он смог узнать баланс счета Владимира и провести refund транзакции Дмитрия. Так как Владимир не подтверждал транзакцию и не получал никаких уведомлений, операция была проведена с использованием какой-то уязвимости refund transaction, в последний день месячного срока после первоначальной операции. Скорее всего, хакер получил какие-то сведения об операциях Дмитрия и смог их использовать с помощью имеющейся уязвимости. Так как Дмитрий денег тоже не получил, то они ушли на неизвестный счет или остались замороженными где-то в недрах системы. Я составил подробное письмо на английском для службы поддержки PayPal, в котором подробно объяснил ситуацию и приложил письмо хакера и его перевод (по их просьбе). Очевидно, что специалисты по безопасности могли отследить мошенническую транзакцию, куда ушли деньги и т.д. Но это было бы признанием недостатка их системы. Ответ был кратким: мы не нашли достаточных доказательств мошенничества. Вывод для всех пользователей PayPal из этой истории: по возможности следите за статусом всех полученных платежей, старайтесь сразу выводить их из системы или переводить на буферные счета. В случае спорных ситуаций не надейтесь на помощь администрации системы, им проще ничего не делать вообще (пример с утечкой аккаунтов e-bay) да и вообще лучше держаться от него (PayPal-a) подальше. Добавлю скриншоты писем:

  • О жизни
  • 19 декабря 2016, 09:39

Здравствуйте, бусинки! У меня проблема — взломали сегодня ночью мой аккаунт на PayPal и списали оттуда в два приёма 60 долларов и всё бы еще не так страшно было, но деньги там лежали «казённые» — на новогодние подарки детям в классе моего сына. Чего теперь делать не знаю. Мало того, что деньги списали, так еще и счёт отсоединили от аккаунта и я теперь туда войти не могу, потому как счёта нет и все оповещения хозяев сайта и платёжной системы типа «если Вы не совершали подобных действий, как можно скорее напишите нам…» и проч. — совершенно невозможно, так как тот «п… с», который взломал мой аккаунт всё там изменил, вплоть до адреса и я войти не могу. Регистрировать новый аккаунт и привязывать другой счёт? Что делать-то? Как вернуть средства? Возможно ли это? Может кто-то сталкивался?  Денег и так нет, а теперь еще и свои надо вкладывать — где взять-то их?  Меня изначально насторожила ситуация с этой платёжной системой, которая списывает деньги со счёта без подтверждения операции каким-нибудь кодом (типа сбербанк-онлайн) — теперь убедилась, что PayPal — крайне ненадёжна. Помогите советом, а?

Используемые источники:

  • https://hi-news.ru/internet/rostovskij-xaker-vzlomal-paypal.html
  • https://plategonline.ru/platezhnye-sistemy/paypal/vzlom-akkaunta.html
  • https://xakep.ru/2001/03/29/12229/
  • https://m.habr.com/ru/post/246695/
  • https://businka.org/life/2016/12/19/vzlomali-moy-paypal.html

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий