Хакеры могут делать покупки через PayPal за чужой счет

Несколько жителей Германии обнаружили, что якобы покупали что-то в магазинах сети Target и кофейнях Starbucks на другом полушарии.

Есть сведения, что киберзлоумышленники используют уязвимость в платежной системе Pay.

Киберзлоумышленники используют какой-то загадочный способ, чтобы выставлять ничего не подозревающим пользователям Pay.

Pal крупные счета на оплату, то есть, по сути, красть их средства.

К настоящему моменту известно о ряде случаев, когда обладатели счетов в платежной системе Pay.

Pal, проживающие в Германии, с удивлением обнаруживали, что они что-то покупали в подразделениях американских торговых сетей Target и Starbucks.

Мошеннические транзакции имеют различные размеры — от 1,73 до 1800 евро.

Начинается все с «пробного» перевода от 0,01 до 4 евро, после чего запрашиваются уже совсем другие суммы.

К настоящему моменту известно о 13 подразделениях Target, от лица которых выставлялись счета.

Все они располагаются в штатах Нью-Йорк и Северная Каролина в США.

Необходимо отметить, что все пострадавшие аккаунты Pay.

Но с чем именно связано произошедшее, с проблемами Pay.

Pay, остается пока неясным.

Hack 2020, объединившая тех, кто пострадал от мошеннических транзакций.

В ней на данный момент 109 человек.

Не исключено, что это не все жертвы.

В Pay.

Pal признали проблему и, хотя и не сразу, решили компенсировать жертвам их потери.

Годовалой давности уязвимость?.

После того как немецкие СМИ обратили внимание на эту ситуацию, исследователь по кибербезопасности Маркус Фенке (Marcus.

Fenke), известный как Iblue, написал в Twitter, что проблема может быть связана с критической уязвимостью, которую обнаружил в Pay.

Pal еще год назад Андреас Майер (Andres.

Майер в качестве фрилансера сотрудничает с фирмой Exablue.

GmbH, которую возглавляет Фенке.

Информацию об уязвимости в Pay.

Pal передали сразу же.

По данным эксперта, подключение Pay.

Pay позволяет производить бесконтактные платежи через виртуальную кредитную карту.

При этом уязвимость позволяет другим пользователям мобильных устройств, находящимся в диапазоне действия беспроводного платежного протокола, считывать данные с виртуальной кредитной карты и снимать деньги с аккаунта в Pay.

Pal без авторизации и ограничений размера транзакций.

Однако эта уязвимость никак не объясняет, почему жертвам в Германии выставляли счета из США.

«Если речь идет действительно об уязвимости, выявленной Iblue, то не факт, что она была изучена полностью, — считает эксперт по информационной безопасности компании SECConsult.

— С другой стороны, информации немного, и однозначно указывать, кто кроме мошенников является виновником проблемы, пока не представляется возможным.

То, что Pay.

Pal взялся возмещать убытки, может указывать на то, что мошенники воспользовались какими-то ошибками в инфраструктуре именно этого сервиса, но дело может быть и в чем-то совсем другом».

Со своей стороны, Маркус Фенке полагает, что для проведения транзакций вроде тех, что наблюдались в Германии, киберзлоумышленникам достаточно знать номер виртуальной платежной карты и дату окончания ее работы.

Поэтому Фенке рекомендует отказаться от бесконтактных платежей с применением Pay.

Pal, по крайней мере пока проблема не будет устранена.