Hackers kunnen via PayPal hun geld verdubbelen
PayPal bevat een kwetsbaarheid waarmee cybercriminelen relatief eenvoudig geld kunnen verdienen. Hackers kunnen met behulp van meerdere PayPal-accounts PayPal geld ten onrechte laten terugbetalen, waarna zij hun geld hebben verdubbeld.
Het probleem is ontdekt door de beveiligingsonderzoeker Razvan Cernaianu. Cybercriminelen hebben drie accounts bij PayPal nodig om de kwetsbaarheid te kunnen misbruiken. De hacker maakt twee accounts aan met behulp van virtuele creditcards, die niet zijn terug te leiden naar hem als persoon. Het derde account hoeft niet aan een virtuele creditcard te zijn gekoppeld.
Geld wegsluizen
De aanvaller schrijft vervolgens een geldbedrag, bijvoorbeeld 100 dollar, over van zijn eerste PayPal-rekening naar zijn tweede account. Vanaf dit tweede account stuurt hij vervolgens deze 100 dollar als gift door naar een derde PayPal-account. Na 24 uur dient de hacker vervolgens bij PayPal een verzoek in om zijn geld terug te krijgen via de zogeheten 'chargeback'-functie. Dit is een functie bedoeld om klanten te beschermen te verkopers die producten niet leveren.
Zodra de chargeback-functie wordt gebruikt wordt de zaak in behandeling genomen bij PayPal. De betalingsverwerker vraagt zowel de verkoper als koper (in dit geval één en dezelfde persoon) bewijs aan te leveren om hun onschuld te bewijzen. De hacker levert in dit geval alleen vanaf zijn eerste PayPal-account bewijs aan dat het gekochte product nooit is geleverd. Vanaf het tweede account onderneemt hij geen actie.
Schadevergoeding
Aangezien het tweede account geen bewijzen aanlevert beslist PayPal in dit geval dat het eerste account zijn geld terug moet krijgen. PayPal maakt daarom 100 dollar over naar het eerste account, waarna deze 100 dollar wordt afgeschreven op de rekening van het tweede account. Dit account is echter gekoppeld aan een virtuele creditcard, waardoor dit bedrag niet door PayPal kan worden geïnd. De rekening van het tweede PayPal-account krijgt dan ook een negatieve balans. De hacker heeft in dit geval zijn geld verdubbeld. Hij heeft immers 100 dollar ontvangen op zijn eerste PayPal-account, terwijl hij dit bedrag ook al had weggezet op het derde PayPal-account.
PayPal is op de hoogte gesteld van het probleem, maar ontkent dat het gaat om een kwetsbaarheid. Het bedrijf erkent dat de vorm van oplichting in zijn betalingssysteem mogelijk is. PayPal stelt herhaaldelijk misbruik van PayPal-accounts actief aan te pakken, maar neemt dus geen directe maatregelen om deze vorm van misbruik onmogelijk te maken.
Meer over
Lees ook
ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security
ESET heeft een nieuw partnerschap en integratie aangekondigd, dankzij zijn uniforme API-gateway. Deze ontwikkeling faciliteert naadloze verbindingen met verschillende leveranciers van cybersecurity, zoals de recente integratie met Elastic, een search-powered AI-bedrijf.
Denk aan een sterk wachtwoord op World Password Day 2024
Wachtwoorden zijn een van de eerste kritieke barrières tussen een persoon, een dreigingsactor en een succesvolle cyberaanval. Een veelvoorkomende fout die mensen maken is het gebruik van steeds dezelfde loginnaam of hetzelfde e-mailadres en wachtwoord
'Mensen moeten een wachtzin gebruiken als ze veilig willen inloggen'
Op de eerste donderdag van mei is het Wereld Wachtwoorden Dag. Deze dag is bedoeld om betere wachtwoorden te stimuleren. Cyberaanvallen zijn aan de orde van de dag. En dus is goede wachtwoordbeveiliging cruciaal.