Уязвимости счетов PayPal, мошенничество refund transactions, взлом аккаунта

    Хочу рассказать о реальном случае мошенничества со счетом Paypal.

    Случай произошел с одним моим знакомым, который в результате потерял несколько сотен евро. Многократные обращения в службу поддержки, конфликтную комиссию PayPal ни к чему не привели, деньги возвращены не были и подобная уязвимость сохраняется.

    Ситуация была следущая: Мой знакомый, Владимир, перевел 560 евро в качестве предоплаты за аренду жилья некоему Дмитрию (с которым ранее сотрудничал).

    Через несколько дней бронь была отменена и Дмитрий перевел эту сумму обратно Владимиру.

    Стоит отметить, что Дмитрий вернул деньги Владимиру простым переводом, т.е. никак не связав это действие с первоначальной транзакцией. Надо сказать, что в PayPal есть такая операция как «refund», по-русски возмещение. По первоначальному замыслу, возмещение было придумано, скорее всего, для интернет магазинов, доставляющих товары по почте для возврата денег покупателю в случае, если товар не будет доставлен в течении месяца. Эта операция должна происходить с разрешения (с подтверждением) продавца, т.е. человека получившего деньги по запросу от покупателя (отправителя).

    Так вот. По прошествии без малого месяца Владимир получил письмо с таким содержанием:

    Тема письма: «Взлом вашего аккаунта Paypal»

    Текст (немного изменен):

    Доброго времени суток, меня зовут Максим. Мною получен доступ в Ваш PayPal аккаунт — info@******.ru на котором на данный момент находиться сумма в размере 5896 EUR. В качестве доказательства был возвращён платёж с ID ********94J ******** mail.ru в размере 560 EUR. Смена пароля не поможет. Я бы мог снять все ваши деньги, но делать этого не буду, могу предложить Вам сделку, за половину суммы на данном счёте я скажу как этого не допустить.

    При этом, в списке транзакций появилась refund transaction связанная с операции возврата Дмитрием 560 EUR. Соответственно, счет Владимира уменьшился на эту сумму. Владимир этой операции, естественно, не подтверждал и не получал никакого почтового извещения, что всегда происходит для любой транзакции при нормальных действиях со счетом.
    Владимир тут же связался со службой поддержки PayPal, где на этот случай есть топик «Сообщить о факте мошенничества или запрещенного использования», так же он написал об этом Дмитрию.

    Дмитрий этих денег на свой счет не получил. PayPal включил стандартную в таких случаях процедуру блокировки счета и повторной проверки идетификаций. Сразу скажу, что разбирательство ни к чему не привело, деньги возвращены не были, но и больше не пропало.

    PayPal по-видимому, в таких случаях, вообще никаких действий не предпринимает и ничего не проверяет, хотя на лицо очевидная дыра в системе: не авторизованная транзакция.

    Я был приглашен для оценки данной ситуации, т.к. в свое время занимался интеграцией платежных систем для сайта Владимира.

    Судя по письму хакера переводившего деньги, реального доступа к аккаунту Владимира он не получал, иначе он бы просто снял молча все деньги. Тем не менее, каким-то образом он смог узнать баланс счета Владимира и провести refund транзакции Дмитрия. Так как Владимир не подтверждал транзакцию и не получал никаких уведомлений, операция была проведена с использованием какой-то уязвимости refund transaction, в последний день месячного срока после первоначальной операции. Скорее всего, хакер получил какие-то сведения об операциях Дмитрия и смог их использовать с помощью имеющейся уязвимости. Так как Дмитрий денег тоже не получил, то они ушли на неизвестный счет или остались замороженными где-то в недрах системы.

    Я составил подробное письмо на английском для службы поддержки PayPal, в котором подробно объяснил ситуацию и приложил письмо хакера и его перевод (по их просьбе). Очевидно, что специалисты по безопасности могли отследить мошенническую транзакцию, куда ушли деньги и т.д. Но это было бы признанием недостатка их системы.

    Ответ был кратким: мы не нашли достаточных доказательств мошенничества.

    Вывод для всех пользователей PayPal из этой истории: по возможности следите за статусом всех полученных платежей, старайтесь сразу выводить их из системы или переводить на буферные счета. В случае спорных ситуаций не надейтесь на помощь администрации системы, им проще ничего не делать вообще (пример с утечкой аккаунтов e-bay) да и вообще лучше держаться от него (PayPal-a) подальше.

    Добавлю скриншоты писем:





    Похожие публикации

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 091 анкеты, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 26

      +6
      Как насчёт Дмитрий сделал рефанд, и прикрылся неким таинственным «хакером»?
      Теперь отмораживается на тему того, что рефанд до него не дошёл.

      Неясен только момент насчёт того, откуда он мог знать остаток в 5896.
        0
        Рефанд все равно требует подтверждения… Т.е. Владимир должен был бы его одобрить, а он даже не получил извещения о транзакции…
        +2
        Вообще говоря, если Владимир и Дмитрий — резиденты РФ, с палкой можно спокойно судиться в нашем суде. При желании ещё и дело по 159 УК завести, чтобы скучно не было.
          +1
          На самом деле вне зависимости от резиденства необходимо было в обязательном порядке сообщить полиции об инциденте. А дальше это уже их задача — общаться с Палкой, Дмитрием и прочими.
            +2
            Прочитал сначала «резиденты» с буквой «п» вначале :)
            +5
            Опубликуйте полные скриншоты переписки с поддержкой, затерев персональные детали. Иначе выглядит так, как-будто вы чего-то недоговариваете.
              0
              Да, опубликую, не было к ним доступа.
                +1
                Ну и где собственно финальный ответ с вердиктом?
                  +1
                  Сорри, добавил
              +6
              Начинать наверно надо с mail.ru — с смены почты на другую.
                +3
                То есть Дмитрий сказал что вернул деньги, но на самом деле этого не сделал, а прикрылся каким то злоумышленником? А ему точно можно доверять?

                Если да, то может на сайте paypal нашли CSRF? Но тогда деньги бы вернулись обратно к Владимиру, но возможно он и есть тот злоумышленник, и воспользовавшись данной атакой и доверием Дмитрия, смог вернуть себе часть денег в качестве компенсации ущерба.

                Может быть действительно был злоумышленник, и имело место MITM атака? Но насколько я помню, в том же хроме есть список сайтов, вход на которые разрешён только по https, и вроде как даже нельзя игнорировать предупреждение о нарушении безопасности. И в этом списке есть paypal.
                  0
                  Дмитрию можно доверять, притом что он не мог сделать рефанд без нашего подтверждения…
                  0
                  История выглядит как-то суховато и не совсем правдоподобно. Существует гипотетическая вероятность, что либо Дмитрий действительно не делал возврат суммы, либо Владимир все-таки получил возврат.

                  Как злоумышленник узнал сумму на счете, не имея при этом доступ к аккаунту? Если заранее знал пароль, значит имел доступ к аккаунту и мог запросто оформить instant перевод на другой PayPal аккаунт или вывод средств, правда последнее займет несколько дней.

                  По идее в таком случае, служба поддержки PayPal увидела бы то, что сумма не была получена другим пользователем (Владимиром) и предоставила более развернутый ответ.

                  Думаю, Вам стоит предоставить скриншоты запроса в службу PayPal и подтверждение refund транзакции, а также скриншот неполучения Владимиром указанной суммы.
                    0
                    Думаю, служба PayPal все видела, но не хотела ни в чем разбираться — так проще…
                      0
                      Возможно, не отрицаю этого. Но без пруфа как то сложность сделать выводы в этой ситуации.
                        0
                        Добавил скрины
                          0
                          А где финальное письмо, где PayPal объясняет, почему они сняли холд?
                            0
                            Добавил, оно собственно тоже сгенерировано автоматомю Думаю у них весь суппорт автоматический, люди начинают реагировать только в экстр ординарных ситуациях…
                              0
                              Не, это не то письмо. В нем нет объяснений, почему снят холд с рефанда (простите).
                                0
                                Это единственное письмо с ответом (как видно на него даже нельзя ответить)
                                У пейпала такой стиль общения и не спроста. Давать какие-либо объяснения они считают ниже своего достоинства, поэтому я и пишу здесь…
                    0
                    Где пруфы, Билли? Нам нужны пруфы!
                    image
                      0
                      :) Да конечно надо было сразу добавить…
                        0
                        См скрины.
                        0
                        Уважаемый Сергей! Мы написали Вам личное сообщение – проверьте, пожалуйста. Наша команда внимательно изучит этот случай, и если решение было неправомерным, мы пересмотрим его. Спасибо, что сообщили!
                          +7
                          А почему ваша компания реагирует на посты на чужих сайтах лучше чем на e-mail в собственную группу поддержки?
                            0
                            Да это их стандартное поведение, главное увести диалог в личную переписку, затем кормить там завтраками.

                            Их «дочка» — eBay тем же самым занимается.

                            Вот например ситуация с купонами — явная ошибка eBay — уже почти больше двух недель кормят завтраками вся информация в социальных сетях гасится их SMM-щиками с уводом переписки в личку и дальнейшим полном игнорированием проблемы техподдержкой

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое