Hacker haben einen Fehler in der Google-Pay-Integration von Paypal gefunden und nutzen diese für betrügerische Zahlungen von Paypal-Kunden aus. Seit letzten Freitag berichten Nutzer über mysteriöse Transaktionen in ihrem Paypal-Konto, die auf Google Pay zurückzuführen sind.
Über Probleme wurde auf zahlreichen Plattformen berichtet, wie in den Foren von Paypal [1, 2, 3, 4, 5, 6, 7], Reddit [1, 2], Twitter, [1, 2], und Google Pay [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
Die Opfer berichten, dass Hacker ihre Google-Pay-Konten missbrauchen, um Produkte über verknüpfte Paypal-Konten zu kaufen. Laut Screenshots und verschiedenen Zeugenaussagen finden die meisten illegalen Transaktionen in US-Shopping-Geschäften statt, insbesondere in Target-Shops. Die meisten der Opfer scheinen deutsche Nutzer zu sein. Der geschätzte Schaden liegt nach öffentlichen Berichten im Bereich von Zehntausenden von Euro. Einige Transaktionen gehen über 1.000 Euro. Welchen Bug die Hacker ausnutzen, ist noch nicht klar. Paypal teilte gegenüber ZDNet mit, dass sie das Problem untersuchen.
Der deutscher Sicherheitsforscher Markus Fenske vermutet, dass die illegalen Transaktionen möglicherweise auf einen Fehler zurückzuführen sind, den er zusammen mit einem Kollegen im Februar 2019 an Paypal gemeldet hat, dessen Behebung Paypal aber nicht priorisiert habe.
Demnach ist das Problem darauf zurückzuführen, dass Paypal bei der Verknüpfung eines Paypal-Kontos mit einem Google-Pay-Konto eine virtuelle Karte mit eigener Kartennummer, Ablaufdatum und CVC erstellt. Wenn sich ein Google-Pay-Nutzer für eine kontaktlose Zahlung über sein verknüpftes Paypal-Konto entscheidet, wird die Transaktion über diese virtuelle Karte belastet. „Wenn die virtuelle Karte nur für POS-Transaktionen erlaubt wäre, gäbe es kein Problem, aber Paypal erlaubt die Verwendung dieser virtuellen Karte auch für Online-Transaktionen“, sagte Fenske. Laut Fenske könnten Hacker einen Weg gefunden haben, um die Details dieser virtuellen Karten auszuspionieren und ihre Daten für nicht autorisierte Online-Transaktionen zu verwenden.
Im Rahmen des Safer Internet Day erläutert ZDNet sechs Maßnahmen, wie man die Sicherheit im Internet erhöhen und den Schutz der Privatsphäre verbessern kann.
Der Forscher sagte, es könne drei Wege geben, auf denen ein Angreifer an die Daten einer virtuellen Karte gelangen könne. Erstens, indem er die Kartendetails vom Telefon eines Benutzers liest. Zweitens, programmgesteuert, durch die Verwendung von Malware, die das Gerät eines Benutzers infiziert hat. Drittens, indem er sie errät. „Es ist möglich, dass Angreifer über Brute-Force-Attacken an die Kartennummer und das Gültigkeitsdatum, das nur etwa ein Jahr beträgt, gelangen“, so Fenske. „Der CVC spielt keine Rolle“, fügte er hinzu. „Jeder wird akzeptiert.“
Das Sicherheitsteam von Paypal untersucht inwzischen die nicht autorisierten Transaktionen. Es befasst sich mit verschiedenen Problemen – einschließlich des von Fenske beschriebenen Angriffsszenarios und seines Fehlerberichts vom Februar 2019. „Die Sicherheit von Kundenkonten hat für das Unternehmen höchste Priorität“, sagte ein Paypal-Sprecher gegenüber ZDNet. „Wir prüfen und bewerten diese Informationen und werden alle geeigneten Maßnahmen ergreifen, die wir zum weiteren Schutz unserer Kunden für notwendig erachten.“
Laut Anwenderberichten erstattet Paypal die fehlerhaften Buchungen. Betroffene sollten sich sofort mit Paypal in Verbindung setzen.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…