Киберпреступники обнаружили уязвимость в интеграции PayPal с Google Pay и активно эксплуатируют ее для незаконных денежных переводов. Начиная с 21 февраля нынешнего года, пользователи стали замечать неизвестные транзакции в своих историях платежей PayPal, осуществленных через Google Pay. Жалобы пользователей появляются на разных платформах, в том числе на форумах PayPal ( 1 , 2 , 3 , 4 , 5 , 6 , 7 ), Reddit ( 1 , 2 ), Twitter, ( 1 , 2 ), а также на немецких и русских форумах поддержки Google Pay ( 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 , 10 ).
По словам пользователей, через их учетные записи Google Pay, привязанные к PayPal, злоумышленники оплачивают товары. Судя по представленным ими скриншотам, большинство покупок совершается в магазинах США, в частности в сети Target в Нью-Йорке. Большая часть пострадавших пользователей – жители Германии. Стоимость некоторых покупок превышает 1 тыс. евро.
Какого рода уязвимость эксплуатируют киберпреступники, пока неясно. Компания PayPal проводит расследование ситуации.
По словам немецкого исследователя безопасности Маркуса Фенске (Markus Fenske), происходящее очень напоминает уязвимость, о которой он и его коллега Андреас Майер (Andreas Mayer) сообщили PayPal в феврале 2019 года. В то время компания не посчитала ее исправление приоритетной задачей.
Как пояснил Фенске, уязвимость заключается в том, что во время привязки учетной записи PayPal к учетной записи Google Pay PayPal создает виртуальную карту с собственным номером, сроком действия и CVC. Когда пользователь Google Pay решает воспользоваться функцией бесконтактных платежей PayPal, оплата производится с этой виртуальной карты.
Если бы виртуальная карта использовалась только для оплаты через PoS-терминалы, проблем бы не было. Однако виртуальная карта может использоваться и для online-платежей. Вероятно, злоумышленники нашли способ похищения данных виртуальных карт и с их помощью оплачивают покупки в американских магазинах, считает Фенске.
По словам исследователя, есть три возможных способа похищения данных виртуальных карт. Первый – подсмотреть их на экране смартфона/компьютера жертвы. Второй способ – похитить данные, заразив устройство жертвы вредоносным ПО, и третий – получить данные методом перебора. «Вполне вероятно, атакующий просто подобрал номера и даты истечения срока действия карт с помощью брутфорса, что могло занять около года. CVC не имеет значения, подойдет любое значение», – сообщил Фенске изданию ZDNet.

Источник: https://www.securitylab.ru/news/505343.php

Европол при содействии местных правоохранительных органов осуществил серию арестов в нескольких европейских странах, ликвидировав преступные группировки, занимавшиеся SIM-свопингом (подменой SIM-карт).
В ходе операции под названием Quinientos Dusim сотрудники Европейского центра по борьбе с киберпреступностью Европола (EC3), Национальной полиции Испании и Гражданской гвардии Испании арестовали 12 подозреваемых в испанских городах Бенидорм, Гранада и Вальядолид. В рамках операции Smart Cash сотрудники правоохранительных органов Румынии и Австрии арестовали 14 предположительных участников еще одной киберпреступной группировки.
Участники первой группировки подозреваются в похищении €3 млн в результате серии кибератак. С помощью вредоносного ПО злоумышленники похищали учетные данные пользователей для online-банкинга, а затем подавали запрос операторам связи на восстановление SIM-карт жертв, предъявив поддельные удостоверения личности. Получив дубликат SIM-карт, злоумышленники перехватывали проверочные коды для двухфакторной аутентификации и переводили средства с чужих банковских счетов на подставные.
В случае с Румынией и Австрией киберпреступники использовали похожую схему. Злоумышленники точно так же похищали учетные данные и с помощью SIM-свопинга перехватывали коды безопасности. Однако обналичивание средств осуществлялось через безкарточные банкоматы.
Группировка «обчистила» более 100 жертв. В каждом случае злоумышленники похищали порядка €6-137 тыс. В общей сложности было похищено около полумиллиона евро.

Источник: https://www.securitylab.ru/news/505892.php

Сотрудники ФБР арестовали россиянина, предположительно, управлявшего платформой Deer.io. На данном сервисе для размещения интернет-магазинов киберпреступники рекламировали и продавали взломанные учетные записи и похищенные пользовательские данные.
Кирилл Ф. был арестован 7 марта в аэропорту имени Джона Кеннеди в Нью-Йорке. По словам американских чиновников, он руководил и управлял платформой Deer.io с момента ее запуска в октябре 2013 года.
На сайте Deer.io пользователи могли размещать свои интернет-магазины по цене около $12 в месяц. По информации на Deer.io, на платформе размещено более 24 тыс. торговых площадок, а доходы россиянина составляли более $17 млн.
Как сообщается в обвинительном заключении, более 250 проанализированных ФБР интернет-магазинов продавали доступ к взломанным учетным записям, взломанным серверам и личной информации, такой как имена, номера социального страхования, даты рождения и адреса жертв. Сотрудники ФБР в ходе расследования неоднократно покупали похищенные данные в магазинах, размещенных на Deer.io, и подтвердили достоверность информации.
Американские чиновники сообщили, что подозреваемый был полностью осведомлен о незаконности своих действий, поскольку он регулярно рекламировал Deer.io на подпольных форумах.

Источник: https://www.securitylab.ru/news/505680.php

Специалисты компании CipherTrace раскрыли подробности о том, как двум предполагаемым участникам северокорейской хакерской группировки Lazarus Group удалось отмыть украденную криптовалюту на сумму более $100 млн через криптовалютные биржи.
Напомним, в начале марта нынешнего года власти США обвинили двух граждан Китая в отмывании более $100 млн в криптовалюте, похищенных в результате кибератаки Lazarus на одну из криптовалютных бирж. По данным властей, обвиняемые Тянь Иньинь и Ли Цзядун предположительно работали на северокорейскую группировку, которая, как считается, причастна ко взлому систем кинокомпании Sony Pictures Entertainment в 2014 году, масштабной эпидемии WannaCry и кибератаке на криптовалютную биржу Bithumb в 2017 году. Как считают власти, Тянь Иньинь и Ли Цзядун принимали участие в отмывании криптоактивов на сумму $234 млн, украденных с некой южнокорейской биржи в 2018 году.
Согласно отчету, преступники использовали так называемые «peel chains» (цепочки адресов) для сокрытия размера депозитов в целях избежать нежелательного внимания, подделывали фотографии для обхода процесса верификации KYC (know your customer) и применяли прочие трюки. Вместо того, чтобы сделать один большой депозит, привлекающий внимание, преступники создали цепочку адресов, через которую с биржи выводились небольшие суммы. После того, как средства проходили по цепочке через 146 отдельных транзакций, они выводились через две биржи (названия не раскрываются). В конечном итоге деньги осели на четырех принадлежащих Тяню и Ли счетах на двух виртуальных криптовалютных биржах.
По данным американских властей, Тянь Иньинь и Ли Цзядун через северокорейские кошельки вывели криптовалюту на сумму $100,5 млн. При этом первый перевел более чем $34 млн со своего банковского счета на одну биржу, а второй использовал девять различных банков для отмывания $33 млн.
Как показало дальнейшее расследование, преступники обходили процесс верификации на биржах с помощью подделанных фотографий. В частности, на одну из бирж они загрузили фотографии граждан Южной Кореи и Германии с их удостоверениями личности. При этом они добавляли разные лица к одному и тому же телу с помощью графических редакторов.
Однако в случае с другой биржей парочке не удалось воспользоваться этим трюком. Администрация биржи выявила подделку и предложила организовать видеоконференцию для подтверждения личности, от которой преступники отказались.
Знай своего клиента (know your customer, KYC) — термин банковского и биржевого регулирования для финансовых институтов и букмекерских контор, а также других компаний, работающих с деньгами частных лиц, означающий, что они должны идентифицировать и установить личность контрагента, прежде чем проводить финансовую операцию.

Источник: https://www.securitylab.ru/news/505885.php

Одна из крупнейших в мире компаний по производству стали и добыче полезных ископаемых Evraz пострадала от кибератаки с использованием вымогательского ПО Ryuk.
Как сообщило издание ZDNet, вымогатель затронул компьютерные системы североамериканских отделений компании, в том числе в Канаде и США.
На большинстве заводов было остановлено производство, а IT-специалисты работают над предотвращением дальнейшего распространения заражения.
Evraz является далеко не единственной жертвой вымогательского ПО в последнее время. Напомним, на днях крупная международная юридическая компания Epiq Global также стала жертвой вымогателей. Компьютеры во всех 80 штаб-квартирах компании по всему миру были заражены вымогательским ПО.

Источник: https://www.securitylab.ru/news/505632.php