Взлом PayPal от анонимных претензий: измените пароль PayPal

Стремительное развитие электронных платежных систем и интернет-коммерции вызвало появление киберпреступности. В данной статье речь пойдет о таком явлении, как взлом PayPal — одного из известных международных платежных сервисов. Осуществить атаку на всю систему невозможно, и злоумышленники взламывают аккаунты отдельных пользователей. Для этого они применяют различные методы – от получения паролей обманным путем до использования продвинутых шпионских программ.

Как происходит взлом аккаунта

Ответ на вопрос, как взломать PayPal, хакерам часто подсказывают доверчивые клиенты ПС. Например, пользователю приходит СМС тревожного содержания с просьбой позвонить по указанному номеру.

Напуганный человек совершает звонок и подтверждает, что имеет аккаунт в системе РР. Как правило, с ним разговаривает мошенник с хорошим знанием психологии, который прилагает массу усилий для получения сведений о счете с целью хищения средств.

Или же на смартфон приходит сообщение с неизвестной ссылкой. Перейдя по ней, пользователь попадает на мошеннический сайт, который получит из мобильного устройства всю нужную для взлома информацию.

Взлом PayPal на деньги также осуществляется при помощи фальшивых писем на электронную почту, часто замаскированных под сообщения от РР, например:

  1. Мошенник отправляет небольшой перевод на ваш счет, потом сообщает о том, что ошибочно совершил транзакцию, и просит вернуть деньги в указанном направлении. После выполнения такого перечисления можно лишиться всех своих средств.
  2. Под каким-либо предлогом вас просят перейти по присланной ссылке, где нужно авторизоваться с помощью своего пароля и заполнить определенную форму. Сайт может выглядеть идентично PayPal, но он создан для хищения учетных данных аккаунта.
  3. Переход по ссылке может повлечь за собой загрузку на ПК шпионской программы, которая будет ожидать вашей авторизации в профиле. Как только вы это сделаете, она скопирует ваши логин и пароль и отправит своему хозяину.

Уязвимые стороны PP

Слабые стороны PayPal иногда обнаруживаются, но тогда оперативно принимаются конкретные меры по устранению проблем. Например, в 2022 году была выявлена возможность обхода двухфакторной аутентификации и доступа к заблокированному счету через приложения iOS и Android.

В целях безопасности PayPal может заблокировать аккаунт и запросить подтверждение личности пользователя, которому в этом случае необходимо отправить сообщение или позвонить. Важно следовать всплывающей инструкции, так как в данной ситуации мошенники могут пытаться открыть заблокированный аккаунт методом многочисленных попыток авторизации.

Как защитить свой аккаунт

В большинстве случаев пользователи сами существенно облегчают задачу преступникам, пренебрегая безопасностью. Для защиты своих аккаунтов необходимо соблюдать следующие правила:

  1. Не используйте в качестве паролей имена, даты рождения родственников и т.д. Воры могут предварительно изучить ваши страницы в соцсетях и подобрать код. Слова и цифры в составе секретной комбинации не должны иметь с вами никакой связи.
  2. Не используйте одинаковые пароли для всех своих аккаунтов в платежных сервисах, почтовых службах и соцсетях – ведь, подобрав пароль от почты, можно легко вскрыть все остальное.
  3. Уделяйте должное внимание программной защите своего компьютера и мобильных устройств. Необходимо применять только надежные антивирусы с функцией защиты от фишинга (шпионских программ). Не стоит всецело доверять бесплатным антивирусам.
  4. Не сообщайте свои логины и пароли по телефону. Настоящие сотрудники РР и других аналогичных сервисов никогда не запрашивают их.
  5. Не отвечайте на подозрительные письма, не переходите по присланным ссылкам, особенно если вы не знаете их происхождение.

Распознать мошеннические сообщения на электронную почту можно по следующим признакам:

  1. Намеренно инсценированная иллюзия срочности. Например, в сообщении говорится, что ваш аккаунт PayPal взломали и для защищенного восстановления доступа нужно скачать и установить приложение, которое на самом деле является шпионской программой.
  2. Ложные ссылки на интернет-ресурсы. Присланные в письме ссылки имеют вид настоящих, но переход по ним может повлечь финансовые потери. Не переходите по ссылкам от неизвестных отправителей.
  3. Вложенные файлы в письме. Настоящие письма от РР никогда не содержат вложений и программных продуктов. Такие послания могут иметь вредоносный характер, поэтому не открывайте вложения от незнакомых пользователей.

Если вы получили подозрительное сообщение, перешлите его по адресу: Spoof@paypal.com. Специалисты смогут установить его происхождение и защитить вас от вероятного ущерба.

Мошенничество внутри системы

На PayPal мошенничество может встречаться в следующих формах:

  1. Получение злоумышленниками паролей путем хищения и совершение расходных операций с вашего счета.
  2. Взлом аккаунта и его продажа по цене в несколько раз ниже суммы на его счете третьим лицам.
  3. Покупатель оплачивает товар, а продавец не высылает его заказ.

В случае перечисленных ситуаций нужно незамедлительно обратиться в Центр разрешения проблем.

Оспаривание операций

Для оспаривания несанкционированной операции необходимо:

  1. В своем аккаунте зайти в раздел «Решить проблему в Центре разрешения проблем».
  2. Нажать «Оспорить операцию».
  3. Выбрать пункт «Несанкционированная операция».
  4. Ввести код оспариваемой платежной операции.
  5. Подробно описать проблему.

Претензия рассматривается в течение 10 дней, и при обнаружении факта мошенничества сумма операции вернется на счет пользователя.

Регистрация в PayPal: Видео

Блог компании Positive Technologies Информационная безопасность *Разработка веб-сайтов * В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.com в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена.

Детали уязвимости

При тестировании безопасности сайта manager.paypal.com в burp suite мое внимание привлек необычный параметр “oldFormData”, который выглядел как сложный Java-объект, закодированный в base64: В шестнадцатеричном виде он начинался с сигнатуры «aced 0005», по которой я понял, что это сериализованный Java-объект класса “java.util.HashMap” без какой-либо цифровой подписи. Это означало, что при отправке формы мы могли подменить его на объект совершенно другого класса — и на сервере будет вызван метод “readObject” (или “readResolve”) нового класса. Для эксплуатации мне необходимо было найти в исходниках приложения (или в библиотеках, которые оно использует) класс, который имеет что-то интересное в методе readObject или readResolve, например создание файла или исполнения системной команды с параметрами, на которые мы можем влиять. К счастью, Chris Frohoff (@frohoff) и Gabriel Lawrence (@gebl) в начале 2015 года проделали отличную работу и нашли цепочку подходящих классов в библиотеке Commons Collections. Они также выпустили утилиту ysoserial для генерации подходящих сериализованных объектов, которые в результате приводят к выполнению произвольного кода в методе readObject.

Эксплойт

Я немедленно скачал эту утилиту с их проекта на github и сгенерировал объект класса «sun.reflect.annotation.AnnotationInvocationHandler», десериализация которого приводит к выполнению команды «curl x.s.artsploit.com/paypal», если на сервере доступна библиотека Commons Collections. Выполнение команды curl отсылает на мой собственный внешний сервер запросы по протоколам DNS и HTTP, что хорошо для выявления так называемых слепых уязвимостей, при которых результат выполнения команды не выводится в ответе сервера. После этого я отправил полученный закодированный объект на сервер в параметре “oldFormData” и буквально не поверил своим глазам, когда в логе доступа на моем Nginx высветилась строчка: Адрес 173.0.81.65 принадлежал компании PayPal и в этот момент я понял, что могу выполнять произвольные команды на серверах сайта manager.paypal.com. Я мог бы загрузить бекдор, получить доступ к базам данных, которые использует приложение, или побродить по внутренней сети. Вместо этого я лишь прочитал файл “/etc/passwd” отослав его на свой сервер как подтверждение уязвимости: Я также записал видео, как воспроизвести эту уязвимость, и отправил всю информацию в PayPal.

Ответ от PayPal

После получения отчета в PayPal быстро пофиксили уязвимость и запросили у меня мой внешний IP-адрес, с которого я проводил тестирование, для проведения внутреннего расследования. Примерно через месяц PayPal назначили мне награду за найденную уязвимость, хотя баг в их системе числился как дубликат. Насколько я понял, другой исследователь, Mark Litchfield, также отправил им информацию о похожей уязвимости 11 декабря 2015 года, за два дня до моего отчета. В любом случае PayPal выплатили мне хорошее денежное вознаграждение, за что им большое спасибо.

Видео:

Как пользоваться PayPal так, чтобы об этом не пришлось жалеть, мы уже рассказывали. Но мошенники каждый день идут на новые ухищрения, чтобы добраться до аккаунтов ничего не подозревающих пользователей и обчистить их электронные карманы. Сегодня мы расскажем, какими схемами чаще всего пользуются преступники.

Письма счастья и мошенничество с предоплатой

Классика интернет-разводов, так называемое мошенничество с предоплатой (advance fee fraud), вполне себе используется и применительно к PayPal. Вы получаете письмо, где говорится, что вам причитается некоторая сумма денег: якобы вы получили наследство, выиграли в лотерею, вам полагается компенсация по какому-нибудь поводу — количество вариантов безгранично, спасибо человеческой фантазии.

Для получения денег вам нужно внести небольшой предварительный платеж (в нашем случае через PayPal) или заполнить анкету с личными данными. Разумеется, после внесения платежа отправители письма пропадут навечно, а ваши личные данные из анкеты окажутся в какой-нибудь базе, выставленной на продажу в даркнете.

Как избежать: не переводите деньги и не раскрывайте данных о себе незнакомым людям. «Красных флагов» в большинстве подобных писем будет достаточно: абсурдные суммы выигрыша/компенсации; грамматические ошибки; адрес отправителя, больше подходящий роботу, чем живому человеку, и так далее. Главное — внимательнее относиться ко всему и не принимать поспешных решений.

Уведомления о проблемах с аккаунтом PayPal

Развод номер два: Хьюстон, у нас проблема. Вы получаете письмо якобы от PayPal, в котором утверждается, что с вашим аккаунтом что-то не так. Какая-то в нем, видите ли, возникла проблема. Но не беда, проблему можно исправить, главное — перейти по ссылке и залогиниться. Ба, да это же очень похоже на фишинг!

Страница по ссылке в 99% случаев внешне будет более или менее походить на настоящий сайт PayPal, хотя и находиться на слегка видоизмененном домене. Все данные, которые вы там введете для входа в аккаунт, моментально уйдут мошенникам. А дальше и до взлома недалеко.

В особо тяжелых случаях могут предлагать установить некую программу, которая якобы поможет вернуть доступ, — на самом деле это будет троянец со всеми вытекающими неприятностями.

Как избежать: опять же ищите ошибки в письме, левые домены, не совпадающие с официальным адресом. Да и вообще, не будет вам PayPal таким способом и в таких формулировках сообщать о проблеме.

Кстати, настоящий ли сайт или фишинговый, можно проверять с помощью нашего сервиса OpenTip. Или еще проще — установите защитное решение с защитой от фишинга и онлайн-мошенничества — оно автоматически распознает и заблокирует опасные страницы.

Сегодня случается, что фишинговые ссылки распространяются не только по электронной почте, но и в социальных сетях. Например, мошенники заводят аккаунт в твиттере под именем вроде PayPalGifts и начинают обрабатывать там доверчивых пользователей. Его, конечно, довольно быстро прикроют, но какой-то урожай он все-таки соберет.

Мошенничество типа «верните переплату»

Теперь про то, как мошенники могут вынудить отдать им деньги практически по доброй воле. Одни из самых распространенных способов в этой категории — скамы с переплатой. Представьте, что вы что-то продаете онлайн. Находится покупатель, отправляет вам деньги, но почему-то сумму, превышающую необходимую. Покупатель утверждает, что это ошибка, и просит вернуть разницу.

Если вы это сделаете, то самая первая транзакция тут же будет отменена: как правило, для таких переводов используются взломанные аккаунты, и когда владелец восстановит доступ, то резонно потребует вернуть деньги. В итоге вы лишитесь и той самой «переплаты», и стоимости товара. А если успеете отправить посылку, то и самого товара.

Еще существуют версии схемы, где вам пересылают дополнительную сумму, чтобы вы, например, заплатили некоему посреднику. Суть та же: «посреднику» вы отправите свои деньги, после чего входящий перевод вам будет отменен.

Как избежать: вот скажите, вы когда-нибудь отправляли по ошибке, например, 2000 долларов вместо 1000? Ну то есть всякое, конечно, бывает, но в большинстве случаев такая ситуация будет «красным флагом». При реальной ошибке для обеих сторон безопаснее отозвать ошибочную транзакцию и заново провести нужную сумму, внимательно проверив все единички, нолики и запятые. Если контрагент отказывается так делать, мы советуем напрячься и обратиться в службу поддержки.

Махинации с доставкой и отзывом платежа

Еще один часто встречающийся развод касается доставки. Иногда мошенники, прикидывающиеся покупателями, просят отправить товар через их «любимый» сервис, где у них якобы есть скидка. Для этого они даже готовы предоставить свой аккаунт там. Никогда не соглашайтесь на такие предложения: имея доступ к аккаунту, жулики изменят адрес доставки, а потом пожалуются на вас и заявят, что товар не был доставлен вовсе.

Бывает и такое, что компания-доставщик оказывается подставной, и тогда опять же нечестный покупатель почти законным способом сможет вернуть себе деньги за честно отправленный вами товар.

Другой вариант такого развода связан с подменой адреса. Покупатель указывает фейковый адрес, после нескольких неудачных попыток доставки компания уточняет у него, куда же привезти покупку. После этого посылку он получает, но на продавца опять же подает жалобу — якобы ему так ничего и не пришло. Учитывая наличие многочисленных сообщений о неудавшейся доставке, PayPal может в такой ситуации поверить именно мошеннику.

Как избежать: пользуйтесь только сервисами доставки, проверенными лично вами или людьми, которым вы доверяете. Никогда не отправляйте ничего до оплаты и обязательно сохраняйте все чеки и квитанции.

«Креативные» схемы оплаты

Обманывают честных людей и с помощью мутных схем оплаты. Например, у PayPal есть опция перевода денег для семьи и друзей, там действуют пониженные тарифы. Иногда мошенники просят перевести деньги таким способом, чтобы сэкономить на комиссии, и обещают за это сделать скидку.

Вот только по правилам платформы такой способ не предназначается для оплаты товаров, а значит, никакая программа защиты покупателей на такие переводы не распространяется. Стоит ли говорить, что отправленных денег, как и товара, вы уже не увидите.

Сюда же относятся любые предложения перевести деньги альтернативным способом, якобы более удобным, выгодным или соответствующим философско-этическим воззрениям продавца. В общем, если ваш собеседник настаивает на чем-то таком, начинает вешать вам на уши лапшу или торопить (последний шанс оформить сделку, через час улетаю в Благовещенск на 20 лет), скорее всего, что-то тут нечисто.

Как избежать: игнорируйте просьбы оплатить товар другими путями. У PayPal очень неплохие программы защиты как продавцов, так и покупателей, но работают они только для стандартных переводов внутри платформы.

Банальный развод на деньги под предлогом благотворительности или инвестиций

Говорят, отдельный котел в аду есть для людей, которые рассылают фейковые предложения о благотворительности и инвестиционных возможностях. Нередко эти нехорошие люди принимают «пожертвования» или «взносы» на PayPal. Отменить такой платеж, если мошенники оперативно его востребуют (а они наверняка постараются это сделать), скорее всего, уже не получится. Так что проверять все необходимо заранее.

К просьбам о благотворительном пожертвовании нужно быть особенно внимательным во время стихийных бедствий и прочих крупных форс-мажоров — будьте уверены, где-нибудь да найдутся жулики, желающие нажиться на чужой беде.

«Выгодные предложения» могут прилететь в любой момент и часто характеризуются обещаниями баснословных барышей без особых рисков, без регистрации и SMS — сами понимаете, правда жизни обычно выглядит иначе.

Как избежать: чтобы избежать таких обманов, обязательно проводите аудит предложения. Проверьте репутацию благотворительного фонда (или инвестиционной компании), а лучше всего, если у вас будут знакомые или друзья, которые с ним работали и могут подтвердить легитимность. Для проверки благотворительности в интернете существуют специальные сервисы типа Charity Navigator, Better Business Bureau и Charity Watch.

Как избежать неприятностей на PayPal

Подытожим и сформулируем общие советы, следуя которым можно защитить себя от большинства попыток обмана, угона аккаунта и прочих неприятностей:

  • Ищите в письмах и сообщениях «красные флаги»: грамматические ошибки, нагнетание чувства срочности или опасности, электронные адреса и ссылки, отличающиеся от официальных (даже на одну букву).
  • Вообще письмам не стоит верить безоговорочно, обязательно проверяйте все через личный кабинет на сайте или в приложении PayPal (в первую очередь это касается квитанций о зачислении средств).
  • Никогда не пользуйтесь службами доставки, которых не знаете, и отправляйте товар только по тому адресу, который указан в карточке сделки
  • Избегайте альтернативных способов перевода денег, которые могут предлагать мошенники: на них не распространяются программы защиты PayPal.
  • Если предложение подкупает настолько, что кажется нереалистичным, скорее всего, так оно и есть.
  • Не выдавайте своим собеседникам или контрагентам личную информацию, кроме той, что необходима для сделки. Особенно если кто-то просит, например, подтвердить пароль.
  • Не скачивайте дополнительное ПО или любые другие подозрительные файлы, которые вам могут присылать в письмах. Такого PayPal точно никогда не делает.

Вообще-то я не умею писать всякие умные статьи, про всякие умные фичи, но сейчас я решусь на это. Я не буду вам впаривать, что такое Paypal и с чем его едят, вы наверно это сами отлично знаете (если не знаете – смотрите предыдущую статью). Эту статью я хотел бы прежде всего посвятить работе с pp. Прежде чем штурмовать pp надо к этому основательно подготовиться. Прежде всего, надо вычистить все куки в винде (находятся они в директории c:windowscookies). И надо найти хороший прокси-лист с анонимными проксями. Его можно найти на сайте www.void.ru, там есть 10 проксей. Прокси должен быть анонимный. После этого начинается самая трудная часть, под анонимным прокси надо войти в Paypal, перед этим надо сделать емайл на домене com. Тыкаете Sign Up на pp, и вводите все данные с карты. О том, какая карта нужна на pp это отдельная история. Прежде всего нужна РАБОЧАЯ, штатовская, visa или mc, с большим балансом, и самое главное с cvv2 номером. CVV2 – это трехзначный номер который написан на задней стороне карты. Берете карточку и заполняете все поля данными с карты. На ваш e-mail вам придет письмо, вы открываете ваш e-mail и тыкаете на линк в вашем мейле. Таким образом вы зарегите ваш емайл в Paypal’е. Осталось все за малым – ввести вашу креду в pp. Для этого надо сделать Add Credit Card. Вы вводите вашу креду с CVV2 номером и если она проходит, то у вас будет Unverified Paypal Account, т.е. вы сможете снять с него только 250$. Вы задаете вопрос, а что же делать если нет CVV2 номера??? Вы можете попробовать девственную Mastercard. И использовать 3,4,5 номер карты в качестве CVV2 номера, но это не всегда проходит. Это примерно проходит в 1/3 случаев. Так что лучше иметь девственницу с CVV2  😉 

Если вы дочитали до этого места и кричите мне, что я ламер и.т.д  и.т.п, то сейчас я вам расскажу занимательную сказку как верифицировать Paypal. Если вам это не интересно, то вы можете прямо сейчас удалить мою статью с криками ОТСТОЙ!!! Если у вас pp просуществовал неделю и его не закрыли, то это круто 🙂 , а если серьезно, то он будет и дальше существовать n-ое время. Едешь потом на www.etrade.com. Е трэйд – это сервис который позволяет открывать onlin’овские банковские аккаунты. Теперь я вам в подробностях опишу процесс открытия банковского аккаунта.  Идите на www.etrade.com и нажмите там Open an Account, это находится в левом верхнем углу. Потом жмете на E*TRADE Account Express. Дальше я вам буду описывать процесс создания аккаунта пошагово.

Шаг N 1

Шаг N 2

Шаг N 3

Шаг N 4

Все права на статью принадлежат www.carder.ru

← Ранее Программы оптимизаторы Windows #4 Далее → Mico$oft — нашим багам нет предела!

Взлом PayPal возможен одним кликом:

Эти уязвимости были опубликованы египетским исследователем безопасности Ясиром Х. Али. На своем веб-сайте он поделился подробностями этих лазеек, связанных с возможностью повторного использования токена CSRF, возможностью обхода токена аутентификации и возможностью сброса вопросов безопасности.

  • Маркер CSRF «который аутентифицирует каждый отдельный запрос, сделанный пользователем», который также можно найти в теле запроса каждого запроса с именем параметра «Auth», изменяется при каждом запросе, сделанном пользователем для мер безопасности, но после глубокого исследования Я обнаружил, что аутентификация CSRF повторно используется для этого конкретного адреса электронной почты или имени пользователя, это означает, что если злоумышленник обнаружил какой-либо из этих токенов CSRF, он может затем выполнить действия в поведении любого вошедшего в систему пользователя.
  • Запрос будет содержать действительный токен авторизации CSRF, который можно использовать повторно и который может авторизовать запросы конкретного пользователя. В ходе дальнейшего расследования мы обнаружили, что злоумышленник может получить аутентификацию CSRF, которая может быть действительной для ВСЕХ пользователей, путем перехвата запроса POST со страницы, предоставляющей маркер аутентификации перед процессом входа в систему … На этом этапе Злоумышленник может «подать» почти любой запрос на поведение этого пользователя.

И наконец, Али обнаружил, что злоумышленник может сбросить вопросы безопасности любой учетной записи без необходимости знать пароль. Вот как будет работать целевой хак PayPal, комбинируя эти три уязвимости, как продемонстрировал Али в видео с проверкой концепции:

  • Сначала хакер связывает новый вторичный электронный идентификатор с учетной записью цели, используя эксплойт CSRF.
  • Хакер сможет обойти защиту токена аутентификации, которую PayPal использует для обнаружения законных запросов.
  • После привязки нового идентификатора электронной почты, хакер будет использовать функцию Забыли пароль для сброса пароля.
  • Что, в свою очередь, потребует от хакера ответа на секретные вопросы. Однако, как продемонстрировано, использование CSRF-эксплойта могло бы сбросить ответы на секретные вопросы и взять под контроль учетную запись.

PayPal исправил уязвимости после того, как Али поделился ими.

[Обновление]: представитель PayPal обратился к Wccftech, пояснив, что ни один из клиентов не был затронут этой проблемой:

«Один из наших исследователей безопасности недавно сообщил нам о потенциальном способе обхода системы авторизации защиты от подделки межсайтовых запросов (CSRF) PayPal при входе на PayPal.com. В рамках программы PayPal Bug Bounty исследователь первым сообщил об этом нам, и наша команда быстро поработала над устранением этой потенциальной уязвимости, прежде чем эта проблема затронула любого из наших клиентов. Мы активно работаем с исследователями безопасности, чтобы узнать о потенциальных угрозах и опередить их, потому что безопасность учетных записей наших клиентов является нашей главной задачей ».

– Подробности: Ясир Х. Али

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Максим Коновалов
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий