Nieuws

Kwetsbaarheid in PayPal zou geld fraudeurs verdubbelen

vrijdag 13 juni 2014, 09:49 door Redactie, 3 reacties

Een Roemeense beveiligingsonderzoeker claimt een kwetsbaarheid in de online betaaldienst PayPal te hebben ontdekt waardoor fraudeurs eenvoudig hun geld kunnen verdubbelen met medewerking van PayPal zelf. Het probleem wordt veroorzaakt door de chargebackfunctie.

Kopers kunnen via deze functie hun geld van PayPal terugkrijgen als een product bijvoorbeeld niet geleverd is. Door twee PayPal-accounts te gebruiken die via virtuele bankrekeningen of virtuele creditcards zijn geverifieerd stelt onderzoeker Razvan Cernaianu dat het mogelijk is om PayPal geld terug te laten storten, zonder dat de verkoper zijn geld verliest.

Virtuele creditcards worden door banken en creditcardmaatschappijen aangeboden en moeten shoppers tegen fraude beschermen. Het is mogelijk om PayPal-accounts aan te maken die aan deze virtuele creditcards gekoppeld zijn. Om de fraude bij de betaaldienst uit te voeren moet een PayPal-gebruiker zoals gezegd over drie accounts beschikken, waarvan er twee aan een virtuele creditcard zijn gekoppeld.

De fraudeur heeft bijvoorbeeld 500 dollar op zijn eerste PayPal-account staan. Hij maakt dit over naar een tweede account als betaling voor een telefoon. Vanaf het tweede account maakt hij het geld over naar het derde account als een gift. Na 24 uur gebruikt de fraudeur de chargebackfunctie van het eerste account om zijn geld terug te krijgen, door te stellen dat de telefoon niet is geleverd.

PayPal zal nu een proces starten waarbij beide partijen zich kunnen verdedigen. De fraudeur zal echter alleen bewijs van het eerste account terugsturen om aan te tonen dat hij is opgelicht. Na het proces zal PayPal het geld op zijn rekening terugstorten en zal het tweede account een negatieve balans van 500 dollar hebben. Deze tweede rekening is echter een virtuele rekening en heeft dus geen impact op de fraudeur, claimt de onderzoeker.

Op deze manier heeft de fraudeur zijn geld verdubbeld, aangezien hij ook nog de 500 dollar op zijn derde account heeft staan. Cernaianu meldde het probleem bij PayPal, maar kreeg te horen dat de betaaldienst het niet als een bug beschouwt. "Hoewel het misbruik dat hier wordt beschreven mogelijk is in ons systeem, wordt herhaaldelijk misbruik door dezelfde en of gekoppelde accounts aangepakt", aldus een reactie van PayPal.

Malware stopt virusscanner via Windows-beveiligingsfeature

SP: nieuwe variant EPD nog steeds ontoelaatbaar

Reacties (3)

13-06-2014, 10:41 door Anoniem

Het resultaat is dat $500 op de Paypal-account staat die gekoppeld is aan de normale bankrekening, en van de twee Paypal-accounts die zijn geverifieerd met virtuele/eenmalige creditcardnummers staat er een $500 rood en een $500 positief. Het totaal klopt gewoon.

Beide virtuele creditcardnummers zijn aan een echte creditcard gekoppeld. Zo'n nummer expireert na een korte periode of is voor eenmalig gebruik. Dat betekent dat ze niet meer gebruikt kunnen worden voor transacties. De beveiligingsonderzoeker lijkt aan te nemen dat de creditcardmaatschappij vervolgens de koppeling met de echte creditcard verbreekt en niet meer in staat is de identiteit van de persoon die dat nummer gebruikt heeft te achterhalen. Als een creditcardmaatschappij op deze manier de koppeling tussen betaler en ontvanger zou 'vergeten' zou er behalve voor fraudeurs ook een paradijsje voor witwassers ontstaan. Ik kan me niet voorstellen dat ze niet wettelijk verplicht zijn om dit vele jaren te bewaren. En dus moet via de creditcardmaatschappij de identiteit van degene die rood staat te achterhalen zijn. Ik zou er niet van uitgaan dat deze manier van frauderen werkt.

13-06-2014, 12:37 door Anoniem

Je kan natuurlijk ook prepaid credits cards gebruiken op naam van een katvanger en 1 keer opladen in een winkeltje waar ze die verkopen.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.

13-06-2014, 14:52 door Anoniem

Door Anoniem: Je kan natuurlijk ook prepaid credits cards gebruiken op naam van een katvanger en 1 keer opladen in een winkeltje waar ze die verkopen.
Dan de geld verdubbel truuk uithalen.
Dan beide prepaid credits cards of laten uit betalen of snel gebruiken voor een aankoop zodat ze weer leeg zijn.
Dan is er niemand meer terug te vinden en is het geld foetsie.

Tsja.... en je kunt ook met een panty over je hoofd en een pistool in je hand een bank binnenlopen en vragen naar al het geld uit de kluis.
Jouw briljante case en degene die ik hier beschrijf zijn beiden voorbeelden van criminaliteit. Laten we dus alsjeblieft niet doen alsof het een "handige truc" of nalatigheid van het bedrijf in kwestie is. Stelen is een misdaad, ook als je steelt via internet.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer