Персональные данные 1,6 млн клиентов дочерней компании PayPal оказались в руках у хакеров.

В пятницу, 1 декабря, платежный сервис предупредил своих клиентов о взломе TIO Networks – дочерней компании PayPal, обслуживающей ряд крупнейших операторов телекоммуникационных и коммунальных сетей в Северной Америке. Какая информация была похищена, не уточняется. Тем не менее, как сообщает PayPal, в руках у злоумышленников могли оказаться данные банковских карт, а в некоторых случаях и номера социального страхования. 

Исследователи безопасности из компании Malwarebytes сообщили о новой фишинговой кампании, в ходе которой мошенники обманом заставляют пользователя ввести конфиденциальные данные своей учетной записи PayPal якобы для подтверждения транзакции.

Сначала жертве на почту приходит поддельное электронное письмо якобы от PayPal, в котором сообщается, что транзакция пользователя не может быть подтверждена и процесс оплаты не будет завершен. 

Исследователи безопасности зафиксировали всплеск атак с применением банковского трояна TrickBot. Если раньше киберпреступники ограничивались приложениями для online-банкинга, то теперь они также нацелились на пользователей PayPal и CRM-систем для бизнеса.

TrickBot – сравнительно новое вредоносное ПО, появившееся в сентябре 2016 года. Неофициально считается преемником банковского трояна Dyre, исчезнувшего с киберпреступной арены зимой 2015-2016 годов после обыска в одной из российских компаний. Однако вредонос является не просто видоизмененной версией Dyre.

Исследователь из Великобритании Генри Хоггард рассказал об очень простом способе обхода механизма двухфакторной аутентификации в PayPal, позволяющем в считанные минуты получить доступ к учетной записи в платежном сервисе.

Хоггард обнаружил данный способ, находясь в гостиничном номере, где отсутствовал сотовый сигнал и, соответственно, возможность получить по SMS код верификации PayPal. По его словам, проблема заключается в опции «Попробуйте другой способ», расположенной под секцией двухфакторной аутентификации на странице авторизации. 

Эксперты компании Proofpoint зафиксировали вредоносную кампанию, эксплуатирующую платежный сервис PayPal для распространения банковского трояна Chthonic.

В ходе кампании злоумышленники используют взломанные или новые учетные записи PayPal для рассылки электронных сообщений якобы от администрации сервиса с просьбой вернуть ошибочно отправленные на счет деньги. В сообщении указывается, что на счет пользователя случайно были переведены $100 и эти средства требуется вернуть. К уведомлению прикреплена ссылка на скриншот.

Независимый исследователь получил от компании PayPal вознаграждение в размере $1000 за обнаружение уязвимости, которая позволяла злоумышленникам встраивать в страницы платежей вредоносные картинки.

Исследователь заметил, что URL платежных страниц PayPal, которые могут создавать пользователи, поддерживает параметр «image_url». Этот параметр может содержать ссылку, указывающую на изображение, хранящееся на удаленном хостинге. Фактически это позволяло хакерам использовать сторонние платежные страницы PayPal для доставки вредоносных картинок.

В рамках программы выплаты вознаграждений ИБ-эксперт получил от компании $1 тыс. Исследователь обнаружил уязвимость в web-приложении PayPal, позволяющую внедрить вредоносный код в отправленное платежной системой электронное письмо.

При создании учетной записи в PayPal пользователь может привязать ее к нескольким электронным адресам. Для подтверждения их подлинности на каждый адрес система отправляет верификационный код. Уязвимость позволяет злоумышленнику создать учетную запись и внедрить в строку произвольный HTML-код.

В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети.

При отправке веб-формы на сайте manager.paypal.com в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах.

Основатель и CEO компании обнаружил в API мобильных приложений компании PayPal уязвимость, позволяющую миновать двухфакторную аутентификацию и получить доступ  даже к заблокированному аккаунту платежной системы.

Баг распространяется на оба мобильных приложения – для Android и iOS. Компания PayPal частенько просит пользователей подтвердить свою личность, таким образом стараясь защитить их от интернет-мошенничества. Для подтверждения личности пользователь должен позвонить или оправить email в PayPal, а пока это не было сделано, аккаунт пользователя блокируется.

Только 1% пользователей считают, что сервисы мобильных платежей вроде PayPal или «Google Кошелек» безопасны при совершении покупок в розничных сетях. Однако многие пользователи называют платежные системы вполне защищенными от хакерских угроз, когда происходит оплата онлайн-покупок.

Данные были получены в ходе опроса 2011 пользователей в США и Великобритании. С таким количеством утечек, с которым столкнулась розничная сеть в 2014 году, неудивительно, что покупатели чувствуют себя более комфортно при онлайн-шопинге.