{"id":228817,"date":"2020-02-27T16:15:19","date_gmt":"2020-02-27T15:15:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228817"},"modified":"2020-02-28T07:46:20","modified_gmt":"2020-02-28T06:46:20","slug":"die-schmutzigen-seiten-des-paypal-hacks","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/27\/die-schmutzigen-seiten-des-paypal-hacks\/","title":{"rendered":"Die &lsquo;schmutzigen&rsquo; Seiten des PayPal-Hacks"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/27\/the-nasty-sides-of-the-paypal-fraud\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ich m\u00f6chte nochmals die Geschichte \u00fcber die unrechtm\u00e4\u00dfig belasteten PayPal-Konten deutscher Nutzer aufgreifen. Denn es kommen immer mehr Details zu diesem Sachverhalt ans Tageslicht.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Die PayPal-\/Google Pay-Abbuchungen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/a7f6eeafe0ca4893a6c3e161bd08c2a2\" alt=\"\" width=\"1\" height=\"1\" \/>Vor einigen Tagen wurde bekannt, dass deutsche PayPal-Nutzer Opfer von unberechtigten Abbuchungen f\u00fcr fingierte Bestellungen \u00fcber Google Pay wurden. Nachfolgender Screenshot aus dem Google Pay-Forum stammt von einem der Betroffenen und listet einige dieser omin\u00f6sen Zahlungsanforderungen auf.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Paypal: Unberechtigte TARGET-Abbuchungen\" src=\"https:\/\/i.imgur.com\/Megb5P9.jpg\" alt=\"Paypal: Unberechtigte TARGET-Abbuchungen\" width=\"436\" height=\"374\" \/><br \/>\n(Paypal: Unberechtigte TARGET-Abbuchungen, Google Pay-Forum)<\/p>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/24\/betrug-unberechtigte-abbuchungen-bei-paypal\/\">Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal<\/a> berichtet. Sp\u00e4ter ging mir von PayPal eine Erkl\u00e4rung zu, dass es nur eine geringe Zahl Betroffener gegeben habe und diesen die Abbuchungen erstattet w\u00fcrden. Das ist im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/25\/neues-zu-unberechtigten-paypal-google-pay-abbuchungen\/\">Neues zu unberechtigten PayPal-\/Google Pay-Abbuchungen<\/a> thematisiert. Also alles in Butter? Nein, denn auf die Ursache des Missbrauchs ist PayPal nicht eingegangen \u2013 und am Artikelende finden sich Links zu Beitr\u00e4gen hier im Blog, die weitere PayPal-Hacks und offene Sicherheitsl\u00fccken aus den letzten 2 Wochen thematisieren.<\/p>\n<h2>Ein Fall vom letzten Sommer<\/h2>\n<p>Durch meine Berichterstattung bin ich \u00fcber Twitter mit einer Person aus Frankreich in Kontakt gekommen. Diese berichtete mir von einem \u00e4hnlichen Fall, der sich bereits im Sommer 2019 ereignet habe. Hier die Kurzfassung:<\/p>\n<ul>\n<li>Ein franz\u00f6sischer PayPal-Nutzer wurde bereits im Juni 2019 Opfer dieses Betrugs. Von seinem Paypal-Konto wurden mehr als 1.000 Euro gestohlen. Das Opfer hat nie eine Best\u00e4tigungs-E-Mail der Transaktion erhalten.<\/li>\n<li>Dem Nutzer war es nicht gelungen, eine Zweifaktor-Authentifizierung einzurichten: Die beiden bereits angegebenen Mobiltelefonnummern erhielten nie den erforderlichen Sicherheitscode zugesandt.<\/li>\n<li>An dem Tag, als er den Betrug bemerkte, konnte das Opfer den technischen Support von PayPal erreichen. Morgens wurde ein Disput-Fall er\u00f6ffnet, aber am sp\u00e4ten Nachmittag schon geschlossen. Eine Erstattung wurde abgelehnt, da die Transaktion seitens des Kontoinhabers angeblich durchgef\u00fchrt wurde. Auf Kontaktversuche per Twitter und Facebook reagierte Paypal nicht.<\/li>\n<li>Das Opfer widerrief daraufhin sofort seine PayPal-Lastschrifteinzugserm\u00e4chtigungen seiner Bankkonten. Weiterhin lie\u00df es \u00fcber die Bank die Lastschrift mit der Buchung zur\u00fcck gehen. Das ist binnen 30 Tagen m\u00f6glich.<\/li>\n<li>PayPal startete dann eine 'Bel\u00e4stigungskampagne' per Telefon und per E-Mail, um den Storno r\u00fcckg\u00e4ngig zu machen. Schlie\u00dflich wurde ein Inkassounternehmen beauftragt, den Betrag einzutreiben und es wurde mit einem Gerichtsverfahren gedroht.<\/li>\n<li>Dem Opfer gelang es sogar den Empf\u00e4nger des gestohlenen Geldes ausfindig zu machen. Es machte Screenshots von all diesen Informationen (Paypal-Seite, Zahlung usw.).<\/li>\n<\/ul>\n<p>Die franz\u00f6sische Quelle schrieb mir: Das PayPal nur in England (nicht in Luxemburg) verklagt werden kann. Nach Brexit haben sich die Bedingungen f\u00fcr die Unterst\u00fctzung der Opferhilfe durch Verb\u00e4nde ge\u00e4ndert. In Frankreich waren alle Institutionen, die sich mit Cyber-Betrug befassen und die vom Opfer kontaktiert wurden, nicht in der Lage, auf diese Art von Problemen, die sie nicht einmal kennen, zu reagieren und\/oder L\u00f6sungen zu finden. Zusammenfassend kann man sagen, so die Quelle, dass Paypal unangreifbar ist. Pr\u00fcfen kann ich die Aussagen nat\u00fcrlich nicht, f\u00fcr mich lesen sie sich schl\u00fcssig.<\/p>\n<h2>Eine m\u00f6gliche Schwachstelle<\/h2>\n<p>Bleibt noch die Frage, wieso die unberechtigten Abbuchungen stattfinden konnten. Bereits bei meinen ersten Artikeln hatte ich auf nachfolgenden Tweet hingewiesen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">I think we can disclose it by now.<\/p>\n<p>Issue: PayPal allows contactless payments via Google Pay. If you have set it up, you can read the card details of a virtual credit card from the mobile, if the mobiles device is enabled. No auth.<\/p>\n<p>\u2014 iblue (@iblueconnection) <a href=\"https:\/\/twitter.com\/iblueconnection\/status\/1231962980964847618?ref_src=twsrc%5Etfw\">February 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Sicherheitsforscher Markus Fenske meldete sich nach Bekannt-werden der Missbrauchsbuchungen bei Golem und heise. Fenske vermutete hinter den missbr\u00e4uchlichen Abbuchungen bereits von ihm im Februar 2019 entdeckte und an PayPal gemeldete Sicherheitsl\u00fccke.<\/p>\n<p>heise hat <a href=\"https:\/\/www.heise.de\/security\/meldung\/Google-Pay-Luecke-in-virtuellen-Kreditkarten-erlaubt-unberechtigte-Abbuchungen-4667527.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> einen Artikel mit den Details ver\u00f6ffentlicht \u2013 und bei Golem lassen sich die Details <a href=\"https:\/\/www.golem.de\/news\/google-pay-paypal-wusste-seit-einem-jahr-von-sicherheitsluecke-2002-146837.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier nachlesen<\/a>. Ich kann mir also das erneute Niederschreiben hier ersparen. Mittlerweise hat Fenske gegen\u00fcber heise nochmals nachgelegt \u2013 auch wenn PayPal schreibt, dass man reagiert habe, ist die von Fenske gefundene Schwachstelle in virtuellen Kreditkarten weiterhin ungeschlossen. In <a href=\"https:\/\/www.heise.de\/security\/meldung\/PayPal-ueber-Google-Pay-Luecke-noch-immer-nicht-behoben-und-wohl-schlimmer-als-befuerchtet-4668350.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel schreibt<\/a> heise, dass die Schwachstelle noch gr\u00f6\u00dfer als bef\u00fcrchtet und einfacher als gedacht auszunutzen sei.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Hey <a href=\"https:\/\/twitter.com\/PayPal?ref_src=twsrc%5Etfw\">@PayPal<\/a>, the 90s called. They want their security back.<\/p>\n<p>1. Generate random 7 digits<br \/>\n2. Your new credit card: 5356 8001 XXXX XXXY, where X is from 1, Y is check digit.<br \/>\n3. Expiry date, CVC, Card Holder are not verified. 1 in ~100 cards are assigned to random PP accnt.<\/p>\n<p>\u2014 iblue (@iblueconnection) <a href=\"https:\/\/twitter.com\/iblueconnection\/status\/1232583689864957952?ref_src=twsrc%5Etfw\">February 26, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Punkt ist wohl dass die benutzen IDs f\u00fcr die virtuellen Kreditkarten aus einer 7 stelligen Zufallszahl besteht, wobei eine Ziffer zur Pr\u00fcfung dient. Damit bleiben 6 Ziffern, die Hacker errechnen und ausprobieren k\u00f6nnten. PayPal f\u00fchrt keine ausreichende Pr\u00fcfung und Absicherung durch.<\/p>\n<p>Erg\u00e4nzung: Mir ist noch eine weitere Information aus Facebook-Kreisen unter die Augen gekommen. Nutzer k\u00f6nnen das PayPal-Konto mit Google Pay verkn\u00fcpfen und bekommen so eine virtuelle Kreditkarte. Diese lesen sie dann mit einer App aus und l\u00f6schen die Verkn\u00fcpfung wieder. Dann wiederholen sie den Vorgang einige Mals &#8211; und bekommen so einen Vorrat an virtuellen Kreditkarten IDs. Hacker k\u00f6nnten per Script sehr viele solche Vorg\u00e4nge durchf\u00fchren. Sollte PayPal diese gel\u00f6schten IDs irgendwann f\u00fcr andere Nutzer wiederverwenden, h\u00e4tte der 'Hacker' diese vorr\u00e4tig und braucht nur noch seine Sammlung durchzuprobieren (z.B. per Script 0,01 Cent transferieren).<\/p>\n<blockquote><p>Abschlie\u00dfend festgehalten: Es ist alles andere als klar, was da im Hintergrund passiert ist. PayPal mauert und der Fall ist aktuell f\u00fcr Betroffene nur durch die Berichterstattung glimpflich ausgegangen.<\/p><\/blockquote>\n<h2>Nutzer bekommen PapPal-Sicherheitscode auf Smartphone<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Und mir ist auch die Information zugegangen, dass am 25. Februar 2020 einige Leute einen PayPal Sicherheitscode auf ihr Smartphone bekamen:<\/p>\n<blockquote><p>PayPal: Ihr Sicherheitscode lautet xxxxx. Er laeuft in 10 Minuten ab. Teilen Sie diesen Code &#8230;.<\/p><\/blockquote>\n<p>Dieser Code wird nur gesandt, wenn jemand das Kennwort f\u00fcr das Konto korrekt eingegeben hat. Ergo: Da probierte jemand im Hintergrund die \u00dcbernahme der Konten aus. Man sollte also zumindest das Kennwort f\u00fcr PayPal \u00e4ndern &#8211; sofern das noch geht.<\/p>\n<h2>Beim Bug-Bounty ausgetrickts<\/h2>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/17\/patzt-paypal-bei-der-sicherheit-schwachstellen-ungefixt\/\">Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt<\/a> hatte ich \u00fcber die Klage anderer Sicherheitsforscher berichtet, die Sicherheitsl\u00fccken meldeten. Diese Meldungen wurden abgewiesen, eine Pr\u00e4mie wurde verweigert.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">BTW: <a href=\"https:\/\/t.co\/5zjJxrIsKZ\">https:\/\/t.co\/5zjJxrIsKZ<\/a><\/p>\n<p>Same issue.<\/p>\n<p>Why are you running a bug bounty program, if you are not paying bounties and not fixing bugs?<\/p>\n<p>\u2014 iblue (@iblueconnection) <a href=\"https:\/\/twitter.com\/iblueconnection\/status\/1231973354988560384?ref_src=twsrc%5Etfw\">February 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In obigem Tweet greift iblue dieses Thema auf und fragt, wieso PayPal am Bug-Bounty teilnimmt, wenn man so etwas dann nicht umsetzt. Da ist einiges faul bei PayPal. Unter diesem Aspekt erhalten <a href=\"https:\/\/www.zdnet.com\/article\/seven-hackers-have-now-made-a-million-dollars-each-from-bug-bounties-says-hackerone\/\" target=\"_blank\" rel=\"noopener noreferrer\">Meldungen wie hier<\/a> zum Erfolg des HackerOne Bug Bounty-Programms schon ein Geschm\u00e4ckle. Da passt dann auch <a href=\"https:\/\/www.golem.de\/news\/zahlungsabwickler-protest-gegen-massenentlassungen-bei-paypal-deutschland-2002-146854.html\" target=\"_blank\" rel=\"noopener noreferrer\">diese Golem-Meldung<\/a>, die \u00fcber Proteste gegen Massenentlassungen bei PayPal-Deutschland berichtet.<\/p>\n<blockquote><p>Zufriedenheitsumfrage bei PayPal-Kunden<\/p>\n<p>Abschlie\u00dfender Schwank: Nach meinen Informationen bekommen Betroffene eine Zufriedenheitsumfrage von PayPal zugeschickt, die sie beantworten sollen. Na gut, alles im gr\u00fcnden Bereich.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/24\/betrug-unberechtigte-abbuchungen-bei-paypal\/\">Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/25\/neues-zu-unberechtigten-paypal-google-pay-abbuchungen\/\">Neues zu unberechtigten PayPal-\/Google Pay-Abbuchungen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/17\/patzt-paypal-bei-der-sicherheit-schwachstellen-ungefixt\/\">Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/02\/09\/massen-newsletter-spam-und-der-paypal-konten-hack\/\">Massen-Newsletter-Spam und der Paypal-Konten-Hack<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich m\u00f6chte nochmals die Geschichte \u00fcber die unrechtm\u00e4\u00dfig belasteten PayPal-Konten deutscher Nutzer aufgreifen. Denn es kommen immer mehr Details zu diesem Sachverhalt ans Tageslicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3534,4328],"class_list":["post-228817","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-paypal","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228817"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228817\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}