Pull to refresh

Уязвимости счетов PayPal, мошенничество refund transactions, взлом аккаунта

Информационная безопасность
Хочу рассказать о реальном случае мошенничества со счетом Paypal.

Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость сохраняется.

Ситуация была следущая: Мой знакомый, Владимир, перевел 560 евро в качестве предоплаты за аренду жилья некоему Дмитрию (с которым ранее сотрудничал).

Через несколько дней бронь была отменена и Дмитрий перевел эту сумму обратно Владимиру.

Стоит отметить, что Дмитрий вернул деньги Владимиру простым переводом, т.е. никак не связав это действие с первоначальной транзакцией. Надо сказать, что в PayPal есть такая операция как «refund», по-русски возмещение. По первоначальному замыслу, возмещение было придумано, скорее всего, для интернет магазинов, доставляющих товары по почте для возврата денег покупателю в случае, если товар не будет доставлен в течении месяца. Эта операция должна происходить с разрешения (с подтверждением) продавца, т.е. человека получившего деньги по запросу от покупателя (отправителя).

Так вот. По прошествии без малого месяца Владимир получил письмо с таким содержанием:

Тема письма: «Взлом вашего аккаунта Paypal»

Текст (немного изменен):

Доброго времени суток, меня зовут Максим. Мною получен доступ в Ваш PayPal аккаунт — info@******.ru на котором на данный момент находиться сумма в размере 5896 EUR. В качестве доказательства был возвращён платёж с ID ********94J ******** mail.ru в размере 560 EUR. Смена пароля не поможет. Я бы мог снять все ваши деньги, но делать этого не буду, могу предложить Вам сделку, за половину суммы на данном счёте я скажу как этого не допустить.

При этом, в списке транзакций появилась refund transaction связанная с операции возврата Дмитрием 560 EUR. Соответственно, счет Владимира уменьшился на эту сумму. Владимир этой операции, естественно, не подтверждал и не получал никакого почтового извещения, что всегда происходит для любой транзакции при нормальных действиях со счетом.
Владимир тут же связался со службой поддержки PayPal, где на этот случай есть топик «Сообщить о факте мошенничества или запрещенного использования», так же он написал об этом Дмитрию.

Дмитрий этих денег на свой счет не получил. PayPal включил стандартную в таких случаях процедуру блокировки счета и повторной проверки идетификаций. Сразу скажу, что разбирательство ни к чему не привело, деньги возвращены не были, но и больше не пропало.

PayPal по-видимому, в таких случаях, вообще никаких действий не предпринимает и ничего не проверяет, хотя на лицо очевидная дыра в системе: не авторизованная транзакция.

Я был приглашен для оценки данной ситуации, т.к. в свое время занимался интеграцией платежных систем для сайта Владимира.

Судя по письму хакера переводившего деньги, реального доступа к аккаунту Владимира он не получал, иначе он бы просто снял молча все деньги. Тем не менее, каким-то образом он смог узнать баланс счета Владимира и провести refund транзакции Дмитрия. Так как Владимир не подтверждал транзакцию и не получал никаких уведомлений, операция была проведена с использованием какой-то уязвимости refund transaction, в последний день месячного срока после первоначальной операции. Скорее всего, хакер получил какие-то сведения об операциях Дмитрия и смог их использовать с помощью имеющейся уязвимости. Так как Дмитрий денег тоже не получил, то они ушли на неизвестный счет или остались замороженными где-то в недрах системы.

Я составил подробное письмо на английском для службы поддержки PayPal, в котором подробно объяснил ситуацию и приложил письмо хакера и его перевод (по их просьбе). Очевидно, что специалисты по безопасности могли отследить мошенническую транзакцию, куда ушли деньги и т.д. Но это было бы признанием недостатка их системы.

Ответ был кратким: мы не нашли достаточных доказательств мошенничества.

Вывод для всех пользователей PayPal из этой истории: по возможности следите за статусом всех полученных платежей, старайтесь сразу выводить их из системы или переводить на буферные счета. В случае спорных ситуаций не надейтесь на помощь администрации системы, им проще ничего не делать вообще (пример с утечкой аккаунтов e-bay) да и вообще лучше держаться от него (PayPal-a) подальше.

Добавлю скриншоты писем:





Tags:paypalfraudмошенничествоpayment system
Hubs: Информационная безопасность
Total votes 20: ↑12 and ↓8 +4
Views29.8K

Popular right now

Инженер-проектировщик систем информационной безопасности
from 30,000 to 60,000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоградRemote job
Системный инженер (аудит ПО)
from 40,000 to 70,000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоградRemote job
Технический Писатель
from 30,000 to 50,000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоград
Преподаватель авторизованных курсов "Kaspersky"
from 80,000 to 160,000 ₽Центр компьютерного обучения СПЕЦИАЛИСТМоскваRemote job
ФРП (Функциональный Руководитель Проекта)
from 40,000 to 70,000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫКраснодар