Kwetsbaarheid in PayPal zou geld fraudeurs verdubbelen
Een Roemeense beveiligingsonderzoeker claimt een kwetsbaarheid in de online betaaldienst PayPal te hebben ontdekt waardoor fraudeurs eenvoudig hun geld kunnen verdubbelen met medewerking van PayPal zelf. Het probleem wordt veroorzaakt door de chargebackfunctie.
Kopers kunnen via deze functie hun geld van PayPal terugkrijgen als een product bijvoorbeeld niet geleverd is. Door twee PayPal-accounts te gebruiken die via virtuele bankrekeningen of virtuele creditcards zijn geverifieerd stelt onderzoeker Razvan Cernaianu dat het mogelijk is om PayPal geld terug te laten storten, zonder dat de verkoper zijn geld verliest.
Virtuele creditcards worden door banken en creditcardmaatschappijen aangeboden en moeten shoppers tegen fraude beschermen. Het is mogelijk om PayPal-accounts aan te maken die aan deze virtuele creditcards gekoppeld zijn. Om de fraude bij de betaaldienst uit te voeren moet een PayPal-gebruiker zoals gezegd over drie accounts beschikken, waarvan er twee aan een virtuele creditcard zijn gekoppeld.
De fraudeur heeft bijvoorbeeld 500 dollar op zijn eerste PayPal-account staan. Hij maakt dit over naar een tweede account als betaling voor een telefoon. Vanaf het tweede account maakt hij het geld over naar het derde account als een gift. Na 24 uur gebruikt de fraudeur de chargebackfunctie van het eerste account om zijn geld terug te krijgen, door te stellen dat de telefoon niet is geleverd.
PayPal zal nu een proces starten waarbij beide partijen zich kunnen verdedigen. De fraudeur zal echter alleen bewijs van het eerste account terugsturen om aan te tonen dat hij is opgelicht. Na het proces zal PayPal het geld op zijn rekening terugstorten en zal het tweede account een negatieve balans van 500 dollar hebben. Deze tweede rekening is echter een virtuele rekening en heeft dus geen impact op de fraudeur, claimt de onderzoeker.
Op deze manier heeft de fraudeur zijn geld verdubbeld, aangezien hij ook nog de 500 dollar op zijn derde account heeft staan. Cernaianu meldde het probleem bij PayPal, maar kreeg te horen dat de betaaldienst het niet als een bug beschouwt. "Hoewel het misbruik dat hier wordt beschreven mogelijk is in ons systeem, wordt herhaaldelijk misbruik door dezelfde en of gekoppelde accounts aangepakt", aldus een reactie van PayPal.
Beide virtuele creditcardnummers zijn aan een echte creditcard gekoppeld. Zo'n nummer expireert na een korte periode of is voor eenmalig gebruik. Dat betekent dat ze niet meer gebruikt kunnen worden voor transacties. De beveiligingsonderzoeker lijkt aan te nemen dat de creditcardmaatschappij vervolgens de koppeling met de echte creditcard verbreekt en niet meer in staat is de identiteit van de persoon die dat nummer gebruikt heeft te achterhalen. Als een creditcardmaatschappij op deze manier de koppeling tussen betaler en ontvanger zou 'vergeten' zou er behalve voor fraudeurs ook een paradijsje voor witwassers ontstaan. Ik kan me niet voorstellen dat ze niet wettelijk verplicht zijn om dit vele jaren te bewaren. En dus moet via de creditcardmaatschappij de identiteit van degene die rood staat te achterhalen zijn. Ik zou er niet van uitgaan dat deze manier van frauderen werkt.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.
Tsja.... en je kunt ook met een panty over je hoofd en een pistool in je hand een bank binnenlopen en vragen naar al het geld uit de kluis.
Jouw briljante case en degene die ik hier beschrijf zijn beiden voorbeelden van criminaliteit. Laten we dus alsjeblieft niet doen alsof het een "handige truc" of nalatigheid van het bedrijf in kwestie is. Stelen is een misdaad, ook als je steelt via internet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
