Kwetsbaarheid in PayPal zou geld fraudeurs verdubbelen
Een Roemeense beveiligingsonderzoeker claimt een kwetsbaarheid in de online betaaldienst PayPal te hebben ontdekt waardoor fraudeurs eenvoudig hun geld kunnen verdubbelen met medewerking van PayPal zelf. Het probleem wordt veroorzaakt door de chargebackfunctie.
Kopers kunnen via deze functie hun geld van PayPal terugkrijgen als een product bijvoorbeeld niet geleverd is. Door twee PayPal-accounts te gebruiken die via virtuele bankrekeningen of virtuele creditcards zijn geverifieerd stelt onderzoeker Razvan Cernaianu dat het mogelijk is om PayPal geld terug te laten storten, zonder dat de verkoper zijn geld verliest.
Virtuele creditcards worden door banken en creditcardmaatschappijen aangeboden en moeten shoppers tegen fraude beschermen. Het is mogelijk om PayPal-accounts aan te maken die aan deze virtuele creditcards gekoppeld zijn. Om de fraude bij de betaaldienst uit te voeren moet een PayPal-gebruiker zoals gezegd over drie accounts beschikken, waarvan er twee aan een virtuele creditcard zijn gekoppeld.
De fraudeur heeft bijvoorbeeld 500 dollar op zijn eerste PayPal-account staan. Hij maakt dit over naar een tweede account als betaling voor een telefoon. Vanaf het tweede account maakt hij het geld over naar het derde account als een gift. Na 24 uur gebruikt de fraudeur de chargebackfunctie van het eerste account om zijn geld terug te krijgen, door te stellen dat de telefoon niet is geleverd.
PayPal zal nu een proces starten waarbij beide partijen zich kunnen verdedigen. De fraudeur zal echter alleen bewijs van het eerste account terugsturen om aan te tonen dat hij is opgelicht. Na het proces zal PayPal het geld op zijn rekening terugstorten en zal het tweede account een negatieve balans van 500 dollar hebben. Deze tweede rekening is echter een virtuele rekening en heeft dus geen impact op de fraudeur, claimt de onderzoeker.
Op deze manier heeft de fraudeur zijn geld verdubbeld, aangezien hij ook nog de 500 dollar op zijn derde account heeft staan. Cernaianu meldde het probleem bij PayPal, maar kreeg te horen dat de betaaldienst het niet als een bug beschouwt. "Hoewel het misbruik dat hier wordt beschreven mogelijk is in ons systeem, wordt herhaaldelijk misbruik door dezelfde en of gekoppelde accounts aangepakt", aldus een reactie van PayPal.
Beide virtuele creditcardnummers zijn aan een echte creditcard gekoppeld. Zo'n nummer expireert na een korte periode of is voor eenmalig gebruik. Dat betekent dat ze niet meer gebruikt kunnen worden voor transacties. De beveiligingsonderzoeker lijkt aan te nemen dat de creditcardmaatschappij vervolgens de koppeling met de echte creditcard verbreekt en niet meer in staat is de identiteit van de persoon die dat nummer gebruikt heeft te achterhalen. Als een creditcardmaatschappij op deze manier de koppeling tussen betaler en ontvanger zou 'vergeten' zou er behalve voor fraudeurs ook een paradijsje voor witwassers ontstaan. Ik kan me niet voorstellen dat ze niet wettelijk verplicht zijn om dit vele jaren te bewaren. En dus moet via de creditcardmaatschappij de identiteit van degene die rood staat te achterhalen zijn. Ik zou er niet van uitgaan dat deze manier van frauderen werkt.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.
Tsja.... en je kunt ook met een panty over je hoofd en een pistool in je hand een bank binnenlopen en vragen naar al het geld uit de kluis.
Jouw briljante case en degene die ik hier beschrijf zijn beiden voorbeelden van criminaliteit. Laten we dus alsjeblieft niet doen alsof het een "handige truc" of nalatigheid van het bedrijf in kwestie is. Stelen is een misdaad, ook als je steelt via internet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.