Brian Krebs uit felle kritiek op beveiliging van PayPal

Cybercriminelen hebben geprobeerd beveiligingsonderzoeker Brian Krebs in problemen te brengen door zijn PayPal account te hacken en geld over te schrijven naar een bekende hacker die terreurgroep IS steunt. De beveiligingsonderzoeker uit in een blogpost felle kritiek op de wijze waarop bedrijven als PayPal omgaan met beveiliging.

Krebs is regelmatig doelwit van cybercriminelen. In veel gevallen proberen aanvallers Krebs hiermee in de problemen te brengen. Zo stuurde cybercriminelen eerder drugs naar zijn woonadres en wisten zij met een vals telefoontje naar het Amerikaanse alarmnummer een arrestatieteam op Krebs af te sturen. Ditmaal probeerden criminelen Krebs dus in problemen te brengen door geld over te schrijven naar IS-hackers.

Malafide e-mailadres

In een blogpost beschrijft de onderzoeker hoe hij op kerstavond een mailtje van PayPal ontving waarin stond dat een e-mailadres was toegevoegd aan zijn PayPal-account. Krebs ondernam direct actie door zijn wachtwoord te wijzigen en het malafide e-mailaccount te verwijderen uit het PayPal account. Vervolgens nam Krebs contact op met PayPal, waarna het bedrijf beloofde zijn account te monitoren op verdachte activiteiten.

Binnen twintig minuten was het echter weer raak. Hetzelfde mailadres was opnieuw toegevoegd aan PayPal. Krebs had ditmaal echter niet direct toegang tot een veilige computer, waardoor de aanvaller een voorsprong had. Deze wist hierdoor het legitieme e-mailadres van Krebs te verwijderen uit het PayPal-account en daarnaast het wachtwoord te wijzigen. Krebs kon hierdoor niet langer bij zijn eigen account. Opvallend is dat PayPal deze aanval niet heeft gesignaleerd, ondanks een eerdere belofte het account te monitoren en het feit dat hetzelfde malafide e-mailadres voor een tweede maal was toegevoegd aan het PayPal-account.

Junaid Hussain

Bij deze tweede poging slaagde de aanvaller er wel in geld over te schrijven naar Junaid Hussain, een lid van de hacktivisten van 'TeaMp0isoN'. Hussain is volgens eerdere berichten in 2015 gedood door een Amerikaanse drone-aanval in Syrië. Krebs vermoedt dat de actie bedoeld is om hem in verlegenheid te brengen door hem in verband te brengen met een bekende terrorist.

Krebs besloot hierop opnieuw contact op te nemen met PayPal. Een medewerker van PayPal zou in dit gesprek hebben aangegeven dat de aanvaller erin is geslaagd via de klantenservice van PayPal het wachtwoord van Krebs’ PayPal-account te laten wijzigen. Hiervoor zou de aanvaller uitsluitend de laatste vier cijfers van het Social Security nummer van Krebs en de laatste vier cijfers van een oude creditcard hebben moeten verstrekken. Deze gegevens zijn eerder online gepubliceerd door cybercriminelen en dus relatief eenvoudig te vinden op internet.

Felle kritiek

De beveiligingsonderzoeker uit in zijn blogpost felle kritiek op het feit dat PayPal de identiteit van gebruikers niet controleert door bijvoorbeeld een authentificatiecode te versturen naar een mobiele telefoon van de gebruiker of via de mobiele app van PayPal. Krebs kan zijn PayPal-account, dat inmiddels door PayPal is vergrendeld, uitsluitend weer in handen te krijgen door een kopie op te sturen van zijn rijbewijs, iets wat via online diensten eenvoudig kan worden nagemaakt.