Киберпреступники обнаружили уязвимость в интеграции PayPal с Google Pay и активно эксплуатируют ее для незаконных денежных переводов. Начиная с 21 февраля нынешнего года, пользователи стали замечать неизвестные транзакции в своих историях платежей PayPal, осуществленных через Google Pay. Жалобы пользователей появляются на разных платформах, в том числе на форумах PayPal ( 1 , 2 , 3 , 4 , 5 , 6 , 7 ), Reddit ( 1 , 2 ), Twitter, ( 1 , 2 ), а также на немецких и русских форумах поддержки Google Pay ( 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 , 10 ).
По словам пользователей, через их учетные записи Google Pay, привязанные к PayPal, злоумышленники оплачивают товары. Судя по представленным ими скриншотам, большинство покупок совершается в магазинах США, в частности в сети Target в Нью-Йорке. Большая часть пострадавших пользователей – жители Германии. Стоимость некоторых покупок превышает 1 тыс. евро.
Какого рода уязвимость эксплуатируют киберпреступники, пока неясно. Компания PayPal проводит расследование ситуации.
По словам немецкого исследователя безопасности Маркуса Фенске (Markus Fenske), происходящее очень напоминает уязвимость, о которой он и его коллега Андреас Майер (Andreas Mayer) сообщили PayPal в феврале 2019 года. В то время компания не посчитала ее исправление приоритетной задачей.
Как пояснил Фенске, уязвимость заключается в том, что во время привязки учетной записи PayPal к учетной записи Google Pay PayPal создает виртуальную карту с собственным номером, сроком действия и CVC. Когда пользователь Google Pay решает воспользоваться функцией бесконтактных платежей PayPal, оплата производится с этой виртуальной карты.
Если бы виртуальная карта использовалась только для оплаты через PoS-терминалы, проблем бы не было. Однако виртуальная карта может использоваться и для online-платежей. Вероятно, злоумышленники нашли способ похищения данных виртуальных карт и с их помощью оплачивают покупки в американских магазинах, считает Фенске.
По словам исследователя, есть три возможных способа похищения данных виртуальных карт. Первый – подсмотреть их на экране смартфона/компьютера жертвы. Второй способ – похитить данные, заразив устройство жертвы вредоносным ПО, и третий – получить данные методом перебора. «Вполне вероятно, атакующий просто подобрал номера и даты истечения срока действия карт с помощью брутфорса, что могло занять около года. CVC не имеет значения, подойдет любое значение», – сообщил Фенске изданию ZDNet.