Хочу рассказать о реальном случае мошенничества со счетом Paypal.
Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость сохраняется.
Ситуация была следущая: Мой знакомый, Владимир, перевел 560 евро в качестве предоплаты за аренду жилья некоему Дмитрию (с которым ранее сотрудничал).
Через несколько дней бронь была отменена и Дмитрий перевел эту сумму обратно Владимиру.
Стоит отметить, что Дмитрий вернул деньги Владимиру простым переводом, т.е. никак не связав это действие с первоначальной транзакцией. Надо сказать, что в PayPal есть такая операция как «refund», по-русски возмещение. По первоначальному замыслу, возмещение было придумано, скорее всего, для интернет магазинов, доставляющих товары по почте для возврата денег покупателю в случае, если товар не будет доставлен в течении месяца. Эта операция должна происходить с разрешения (с подтверждением) продавца, т.е. человека получившего деньги по запросу от покупателя (отправителя).
Так вот. По прошествии без малого месяца Владимир получил письмо с таким содержанием:
Тема письма: «Взлом вашего аккаунта Paypal»
Текст (немного изменен):
Доброго времени суток, меня зовут Максим. Мною получен доступ в Ваш PayPal аккаунт — info@******.ru на котором на данный момент находиться сумма в размере 5896 EUR. В качестве доказательства был возвращён платёж с ID ********94J ******** mail.ru в размере 560 EUR. Смена пароля не поможет. Я бы мог снять все ваши деньги, но делать этого не буду, могу предложить Вам сделку, за половину суммы на данном счёте я скажу как этого не допустить.
При этом, в списке транзакций появилась refund transaction связанная с операции возврата Дмитрием 560 EUR. Соответственно, счет Владимира уменьшился на эту сумму. Владимир этой операции, естественно, не подтверждал и не получал никакого почтового извещения, что всегда происходит для любой транзакции при нормальных действиях со счетом.
Владимир тут же связался со службой поддержки PayPal, где на этот случай есть топик «Сообщить о факте мошенничества или запрещенного использования», так же он написал об этом Дмитрию.
Дмитрий этих денег на свой счет не получил. PayPal включил стандартную в таких случаях процедуру блокировки счета и повторной проверки идетификаций. Сразу скажу, что разбирательство ни к чему не привело, деньги возвращены не были, но и больше не пропало.
PayPal по-видимому, в таких случаях, вообще никаких действий не предпринимает и ничего не проверяет, хотя на лицо очевидная дыра в системе: не авторизованная транзакция.
Я был приглашен для оценки данной ситуации, т.к. в свое время занимался интеграцией платежных систем для сайта Владимира.
Судя по письму хакера переводившего деньги, реального доступа к аккаунту Владимира он не получал, иначе он бы просто снял молча все деньги. Тем не менее, каким-то образом он смог узнать баланс счета Владимира и провести refund транзакции Дмитрия. Так как Владимир не подтверждал транзакцию и не получал никаких уведомлений, операция была проведена с использованием какой-то уязвимости refund transaction, в последний день месячного срока после первоначальной операции. Скорее всего, хакер получил какие-то сведения об операциях Дмитрия и смог их использовать с помощью имеющейся уязвимости. Так как Дмитрий денег тоже не получил, то они ушли на неизвестный счет или остались замороженными где-то в недрах системы.
Я составил подробное письмо на английском для службы поддержки PayPal, в котором подробно объяснил ситуацию и приложил письмо хакера и его перевод (по их просьбе). Очевидно, что специалисты по безопасности могли отследить мошенническую транзакцию, куда ушли деньги и т.д. Но это было бы признанием недостатка их системы.
Ответ был кратким: мы не нашли достаточных доказательств мошенничества.
Вывод для всех пользователей PayPal из этой истории: по возможности следите за статусом всех полученных платежей, старайтесь сразу выводить их из системы или переводить на буферные счета. В случае спорных ситуаций не надейтесь на помощь администрации системы, им проще ничего не делать вообще (пример с утечкой аккаунтов e-bay) да и вообще лучше держаться от него (PayPal-a) подальше.
Добавлю скриншоты писем:
Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость сохраняется.
Ситуация была следущая: Мой знакомый, Владимир, перевел 560 евро в качестве предоплаты за аренду жилья некоему Дмитрию (с которым ранее сотрудничал).
Через несколько дней бронь была отменена и Дмитрий перевел эту сумму обратно Владимиру.
Стоит отметить, что Дмитрий вернул деньги Владимиру простым переводом, т.е. никак не связав это действие с первоначальной транзакцией. Надо сказать, что в PayPal есть такая операция как «refund», по-русски возмещение. По первоначальному замыслу, возмещение было придумано, скорее всего, для интернет магазинов, доставляющих товары по почте для возврата денег покупателю в случае, если товар не будет доставлен в течении месяца. Эта операция должна происходить с разрешения (с подтверждением) продавца, т.е. человека получившего деньги по запросу от покупателя (отправителя).
Так вот. По прошествии без малого месяца Владимир получил письмо с таким содержанием:
Тема письма: «Взлом вашего аккаунта Paypal»
Текст (немного изменен):
Доброго времени суток, меня зовут Максим. Мною получен доступ в Ваш PayPal аккаунт — info@******.ru на котором на данный момент находиться сумма в размере 5896 EUR. В качестве доказательства был возвращён платёж с ID ********94J ******** mail.ru в размере 560 EUR. Смена пароля не поможет. Я бы мог снять все ваши деньги, но делать этого не буду, могу предложить Вам сделку, за половину суммы на данном счёте я скажу как этого не допустить.
При этом, в списке транзакций появилась refund transaction связанная с операции возврата Дмитрием 560 EUR. Соответственно, счет Владимира уменьшился на эту сумму. Владимир этой операции, естественно, не подтверждал и не получал никакого почтового извещения, что всегда происходит для любой транзакции при нормальных действиях со счетом.
Владимир тут же связался со службой поддержки PayPal, где на этот случай есть топик «Сообщить о факте мошенничества или запрещенного использования», так же он написал об этом Дмитрию.
Дмитрий этих денег на свой счет не получил. PayPal включил стандартную в таких случаях процедуру блокировки счета и повторной проверки идетификаций. Сразу скажу, что разбирательство ни к чему не привело, деньги возвращены не были, но и больше не пропало.
PayPal по-видимому, в таких случаях, вообще никаких действий не предпринимает и ничего не проверяет, хотя на лицо очевидная дыра в системе: не авторизованная транзакция.
Я был приглашен для оценки данной ситуации, т.к. в свое время занимался интеграцией платежных систем для сайта Владимира.
Судя по письму хакера переводившего деньги, реального доступа к аккаунту Владимира он не получал, иначе он бы просто снял молча все деньги. Тем не менее, каким-то образом он смог узнать баланс счета Владимира и провести refund транзакции Дмитрия. Так как Владимир не подтверждал транзакцию и не получал никаких уведомлений, операция была проведена с использованием какой-то уязвимости refund transaction, в последний день месячного срока после первоначальной операции. Скорее всего, хакер получил какие-то сведения об операциях Дмитрия и смог их использовать с помощью имеющейся уязвимости. Так как Дмитрий денег тоже не получил, то они ушли на неизвестный счет или остались замороженными где-то в недрах системы.
Я составил подробное письмо на английском для службы поддержки PayPal, в котором подробно объяснил ситуацию и приложил письмо хакера и его перевод (по их просьбе). Очевидно, что специалисты по безопасности могли отследить мошенническую транзакцию, куда ушли деньги и т.д. Но это было бы признанием недостатка их системы.
Ответ был кратким: мы не нашли достаточных доказательств мошенничества.
Вывод для всех пользователей PayPal из этой истории: по возможности следите за статусом всех полученных платежей, старайтесь сразу выводить их из системы или переводить на буферные счета. В случае спорных ситуаций не надейтесь на помощь администрации системы, им проще ничего не делать вообще (пример с утечкой аккаунтов e-bay) да и вообще лучше держаться от него (PayPal-a) подальше.
Добавлю скриншоты писем:
