Zephyrnet-logo

Hoe ik het PayPal-account van mijn vriend heb gehackt

Datum:

Iemand kan gemakkelijk de controle over uw PayPal-rekening overnemen en geld van u stelen als u niet oppast - hier leest u hoe u zich kunt beschermen tegen een eenvoudige maar effectieve aanval

Ik ben gefascineerd door de gedachte om in een bank te kunnen inbreken sinds mijn liefde voor films over bankovervallen in de jaren negentig begon, en ik denk dat ik eindelijk een manier heb ontdekt om het te doen - nou ja, een soort van. Ik ben enorm onder de indruk van de beveiliging van typische bank-apps, en met mijn veiligheidspet op heb ik nog geen manier bedacht om de doorgaans robuuste ingebouwde maatregelen te omzeilen die zijn ontworpen om het geld van klanten van banken te beschermen, en dat is helemaal zoals het hoort zijn. Maar als banken zo veilig zijn, vroeg ik me af of er een manier is om een ​​van de meest populaire derde partijen aan te vallen die vaak al volledige toegang hebben tot het geld van mensen: PayPal.

Om de zaken in perspectief te plaatsen, heb ik de afgelopen 18 maanden met succes laten zien hoe gemakkelijk het is om een ​​te kapen WhatsApp or Snapchat account zonder de juiste beveiliging op de accounts. Hierdoor vroeg ik me af of ik de lat hoger moest leggen en moest proberen om met soortgelijke tactieken controle over een financiële rekening te krijgen. Het blijkt dat met alleen de simpele kunst van "schoudersurfen", uw PayPal-account inderdaad kan worden gecompromitteerd en dat u duizenden dollars kunt verliezen.

Social engineering-aanvallen komen steeds vaker voor en stijgen in populariteit onder criminele bendes. Aan de andere kant zijn ze moeilijk om goed mee te experimenteren op iemand onder testomstandigheden, simpelweg omdat de "slachtoffers" op de hoogte zijn van de voorgestelde aanvalsvector en dit het proces onmiddellijk uit het raam gooit zonder de levensvatbaarheid ervan te bewijzen. Ik heb echter een manier gevonden om eigenaar te worden van iemands PayPal-rekening en dit te bewijzen in een legitiem en legaal experiment; nog belangrijker is dat u ook leert hoe u deze aanval op uw account kunt voorkomen.

Om deze nieuwste proof of concept te demonstreren, heb ik ervoor gekozen om me niet zomaar op iedereen te richten - ik wilde mijn hypothese volledig testen op iemand die zeer waarschijnlijk zou zien wat er aan de hand was, vooral als er geld in het spel was. Daarom heb ik ervoor gekozen om een ​​vriend (laten we hem Dave noemen) te targeten die al meer dan 20 jaar in de beveiligingsindustrie zit. Dave is zelfs een goeroe als het gaat om computerbeveiliging en heel weinig oplichting gaat aan zijn ogen voorbij zonder dat hij beseft wat er aan de hand is. Perfect.

Laat het experiment beginnen

Ik heb onlangs een afspraak gemaakt met Dave en nog een paar vrienden die ik de afgelopen 18 maanden maar een paar keer had gezien. Ik vroeg Dave of hij ermee instemde een centrale rol te spelen in een kleine hack. In naam van cyberbeveiligingsbewustzijn en het verbeteren van fraudepreventie, stemde hij ermee in dat ik alles op zijn rekening mocht proberen zolang ik lunch kocht - hij specificeerde echter niet wiens bankrekening ik moest gebruiken!

Toen hij in een restaurant was, legde Dave zijn telefoon op tafel en zat met een paar van ons aan tafel te kletsen. Ik had mijn laptop bij me en dus opende ik in de tussentijd de PayPal-website en ging meteen naar het favoriete gedeelte van een hacker: de vergeten wachtwoord-pagina.

Ik ken Dave's persoonlijke e-mailadres en ik vermoedde dat hij het ook voor PayPal gebruikt. Bij een echte aanval zou de hacker het e-mailadres van het doelwit moeten weten, maar tegenwoordig kunnen de e-mailadressen van veel mensen worden gevonden via een paar zoekopdrachten. Google, LinkedIn en zelfs Instagram kunnen uw e-mailadres tonen, dat is alles wat nodig is om deze aanval op een PayPal-gebruiker te starten.

PayPal verzoekt vervolgens om op verschillende manieren een "snelle veiligheidscontrole" te sturen. In mijn onderzoek kon dit via een sms, een e-mail, een telefoontje, een authenticator-app, zelfs een WhatsApp! Sommige mensen hebben zelfs de mogelijkheid om de beveiliging te controleren via beveiligingsvragen, die ongetwijfeld zo oud zijn als het account. En als, zoals de mijne, deze antwoorden kunnen bevatten die heel gemakkelijk te achterhalen zijn. Ik had geen idee dat ik deze nog steeds als optie had en in geen enkele instellingen kon ik vinden waar ik sommige vormen van beveiligingscontrole kon elimineren. Terug met Dave en de enige veiligheidscontrole die hij te bieden had, was via een sms, die voor nu interessant is.

Terwijl Dave nog steeds in gesprek was met collega's in de vergaderruimte, klikte ik op "Volgende", die onmiddellijk een zescijferige code naar zijn telefoon stuurde.

Ik boog me naar Daves telefoon en zonder dat hij het merkte, tikte ik op het scherm om hem wakker te maken. Omdat hij berichtvoorbeelden op het vergrendelscherm van zijn telefoon niet had uitgeschakeld, kon ik de code gemakkelijk bekijken en in het verificatiecodeveld op de website typen. Dit was alles wat ik nodig had, en ik stond nu op zijn account! De website van PayPal vroeg me toen om een ​​nieuw wachtwoord voor zijn account te kiezen en ik veranderde het in een wachtwoord dat mijn wachtwoordgenerator zojuist had gemaakt.

Dus daar zat ik, starend naar Dave's PayPal-dashboard en alle kaarten die aan zijn account waren gekoppeld. Ik had echt het gevoel dat ik bij een bank had ingebroken! Ik keek naar alle opties en zijn gekoppelde bankkaarten. Ik had gemakkelijk een bank of creditcard kunnen koppelen of zelfs naar zijn persoonlijke gegevens kunnen kijken, zoals zijn huisadres. Ik had het e-mailadres voor zijn account, zijn adres of naam kunnen wijzigen, maar om deze aanval echt te testen, klikte ik op "geld verzenden". Hoewel ik tot £ 10,000 had kunnen sturen (ik kwam in de verleiding en typte het zelfs in voor effect), koos ik ervoor om slechts £ 10 naar mijn eigen PayPal-rekening te sturen - onthoud dat hij dit had geautoriseerd en ik had beloofd hem het geld terug te betalen dat was verplaatst!

Op het moment dat ik op "nu geld verzenden" klikte, ontving Dave's telefoon een e-mail waarin werd bevestigd dat het geld zojuist van zijn rekening was gehaald en dit is waar hij stopte toen hij het op zijn Apple Watch las. Maar ik was thuis en droog. Ik had het geld overgemaakt en vroeg hem of ik een lunch voor hem kon kopen. Zijn gezicht gaf aan dat hij niet onder de indruk was.

Dus om samen te vatten, op dit moment had ik £ 10,000 naar een van de 300 miljoen PayPal-rekeningen ter wereld kunnen sturen door alleen maar een code op iemands telefoon te zien. Dit is niet logisch voor mij en mensen moeten duidelijk op de hoogte zijn van deze simpele aanval. De lat die men moet leggen om op deze manier een rekening te compromitteren, lijkt te laag te liggen, vooral als je de beveiliging vergelijkt met die van een typische online bank, maar toch is aangetoond dat het werkt met potentieel aanzienlijke schade.

Je bent misschien geneigd te denken dat Dave de meldingsvoorbeelden op zijn telefoon gewoon had moeten uitschakelen. Zoals ik echter heb laten zien in mijn "Snaphack" -aanval, is het nog steeds mogelijk om dergelijke berichten te lezen wanneer slachtoffers gewoon hun telefoon gebruiken, zoals wanneer ze berichten sturen naar mensen. Ze zijn zich vaak niet bewust van de modus operandi en negeren deze meldingen/waarschuwingen gewoon. Toen ik het PayPal-experiment op een Android-telefoon probeerde, ontdekte ik dat het voorbeeld van het sms-bericht standaard was ingeschakeld en dat een gemarkeerd gedeelte van het bericht de bevestigingscode voor mij koos om het nog sneller te bekijken.

Zou FaceID geholpen hebben?

Een andere vondst in mijn hack van Dave's account was de laatste druppel. In het verleden had ik Dave zijn iPhone zien openen met FaceID, zelfs terwijl hij een gezichtsmasker droeg. Dit was een Apple Watch-functie die in april 2021 werd geïntroduceerd met iOS 14.5 om FaceID te omzeilen en ik snel een omweg gevonden in die tijd. Ik heb dit uitgeprobeerd op Dave's telefoon en zoals vermoed, werkte het met gemak met mijn eigen gezicht en verborgen door een gezichtsmasker. Hoewel hij een melding op zijn Apple Watch ontving dat ik zijn iPhone had ontgrendeld, was dit alles wat nodig was om een ​​tekstvoorbeeld te ontgrendelen. Dit zou zeker genoeg tijd zijn om een ​​bevestigingscode te lezen en de aanval te starten.

telefoon verlies

Dit zette me aan het denken over telefoons die worden gestolen. Omdat telefoons vol zitten met harde codering, was ik er eerder van uitgegaan dat telefoons niet veel waard waren op de zwarte markt en relatief waardeloos zonder een vervolgactie op het gebied van social engineering om het Apple- of Google-resetwachtwoord te verkrijgen. Ik denk nu echter dat iemands telefoon gevaar loopt als de aanvallers je e-mailadres weten als ze het bijvoorbeeld in een trein stelen. Een simpele schoudersurfen of licht internetonderzoek zou deze informatie vrij snel kunnen verkrijgen en dan in combinatie met wat ik heb ontdekt, is er een serieuze hoeveelheid schade die zich zou kunnen ontvouwen.

Veiligheidsvragen

PayPal biedt nog steeds beveiligingsvragen en van wat ik heb gevonden, kon ik ze niet verwijderen, alleen de antwoorden wijzigen. PayPal's pagina met beveiligingsinstellingen zegt dat "Kies voor uw eigen veiligheid 2 beveiligingsvragen. Op deze manier kunnen we controleren of u het echt bent als er ooit twijfel bestaat.' Maar het omzeilen van dergelijke beveiligingsvragen is vaak extreem eenvoudig in de wereld van social engineering en de hoeveelheid gegevens die over velen van ons beschikbaar is op sociale media, dus het lijkt gek dat het beschikbaar zou moeten zijn om toegang te krijgen tot een financiële applicatie.

Dus waarom is het zo gemakkelijk?

Banken maken het hackers voortdurend moeilijker om hun systemen te misbruiken en updaten vaak zonder onze medeweten, waardoor onze rekeningen veilig blijven. Maar als we PayPal gebruiken als betaalmiddel voor apps als Uber of eBay, die constant gekoppeld zijn aan onze creditcards en bankrekeningen, is dit dan niet de zwakste schakel in de keten?

Zonder PayPal de schuld te willen geven, denk ik dat er veel preventietechnieken zijn die je vanuit dit verhaal meteen kunt toepassen. Dit is geenszins de schuld van PayPal, maar het bewijst nog een andere oplossing die bedreigingsactoren zullen proberen te misbruiken, en waarvoor we altijd alert moeten zijn.

Preventiemethoden

  • Vertrouw niet op Multifactorauthenticatie op basis van sms; Gebruik in plaats daarvan waar mogelijk een authenticator-app of beveiligingssleutel
  • Negeer nooit een bevestigingscode. Als je er een ontvangt terwijl je het niet had verwacht, is er waarschijnlijk iets aan de hand dat moet worden onderzocht
  • Laat uw telefoon nooit onbeheerd achter
  • Verberg voorbeelden van alle sms-berichten en andere app-meldingen
  • als u je telefoon kwijt of laat het stelen, neem dan onmiddellijk contact op met uw telefoonprovider om de simkaart te vergrendelen. Gebruik vervolgens 'Find My' van Apple of 'Find My Device' van Google om de telefoon te lokaliseren en in de verloren modus te zetten.
  • Gebruik een apart e-mailadres voor PayPal - een adres dat anderen niet kunnen raden
  • Schakel uw PayPal-beveiligingsantwoorden uit of wijzig ze in willekeurige wachtwoorden die geen verband houden met de vraag en sla ze op in uw wachtwoordbeheerder
  • Verwijder de optie waarmee FaceID met een Apple Watch kan werken terwijl u een gezichtsmasker draagt

Natuurlijk heb ik PayPal om een ​​reactie gevraagd, dus laat me je vertellen wat hun vertegenwoordiger te zeggen had: 'Ik heb het document dat u hebt gedeeld, van uw kant bekeken. Houd er echter rekening mee dat we onze gebruikers hebben geleerd om de beveiligingscode die ze van PayPal hebben ontvangen met niemand te delen.” 

spot_img

Laatste intelligentie

spot_img