犯罪分子利用 PayPal 的 Google Pay 集成中的漏洞来执行未经授权的交易。
PayPal 论坛,Reddit,Twitter 和 Google Pay 的俄罗斯和德国支持论坛上的用户都报告说,他们的 PayPal 历史中出现了神秘交易,这些交易源自其 Google Pay 帐户。
据受害者称,黑客滥用了他们的 Google Pay 帐户来使用链接的 PayPal 帐户购买产品。到目前为止,大多数非法交易都发生在美国的商店,其中许多交易发生在纽约的 Target 商店。截至目前,大多数受害者似乎是德国用户。
根据公开报道,这些欺诈性交易造成的损失高达数万欧元,其中一些甚至超过了 1,000 欧元。
可能的解释
德国安全研究员 Markus Fenske 认为,最近的一连串非法交易似乎与他和安全研究员安德里亚斯·梅耶(Andreas Mayer)在去年 2 月向 PayPal 报告的一个漏洞相似。
根据 Fenske 的说法,他发现的漏洞与以下事实有关:当你将 PayPal 帐户链接到 Google Pay 帐户时,PayPal 会创建一个具有其自己的卡号,有效期和 CVC 的虚拟卡。当 Google Pay 用户使用其 PayPal 帐户中的资金进行非接触式付款时,这些交易将使用此虚拟卡进行收费。
Fenske 认为,黑客已经找到一种方法来弄清楚这些“虚拟卡”的详细信息,现在他们正在使用它们在美国商店进行未经授权的交易。但是,Fenske 的理论是,他和 Mayer 只是猜测这些攻击的真正原因。
PayPal 的安全团队对此事进行了调查,据在线支付巨头称,他们已经解决了被利用的问题,但是仍然值得检查你的 PayPal 声明是否存在任何违规行为。
閱讀更多 IT玩家 的文章
