Un Bug nell’integrazione tra Google Pay e Pay Pal è stato utilizzato da alcuni hacker per eseguire transazioni non autorizzate tramite gli account Pay Pal compromessi.
Numerose piattaforme come twitter, alcuni forum di supporto a Google Pay ed i forum di Reddit, hanno riportato la notizia dell’uso abusivo di account Google Pay per l’acquisto di prodotti tramite i connessi account Pay Pal, avvenuti in negozi USA, soprattutto a New York, in particolare della catena Target.
Mentre Pay Pal, sollecitata da ZDNet, un sito internet di informazione riguardante la tecnologia e l’impresa edito da CBS Interactive, ha riferito che sta indagando sul problema, Google Pay non ha ancora espresso alcun commento.
Gli haker, venuti in possesso dei dati della carta di credito, sono riusciti ad addebitare le spese sui conti degli intestatari delle carte senza la necessità di indicare il codice CVC, proprio grazie all’utilizzo del particolare modo adoperato per la transazione di un utente Google Pay tramite Pay Pal, che crea una carta virtuale, completa di un proprio numero di carta, data di scadenza e CVC.
Su Twitter, un ricercatore di sicurezza tedesco, Markus Fenske, ha dichiarato di poter ritenere che gli hacker abbiano trovato un modo per scoprire i dettagli di queste carte virtuali, ed ha dichiarato che «Se la carta virtuale fosse destinata solo per le transazioni POS, non ci sarebbero stati problemi, ma PayPal consente di utilizzare tale carta anche per le transazioni online».
Sempre analizzando quanto accaduto, il ricercatore tedesco, ha affermato che potrebbero esserci tre modi in cui un hacker possono aver ottenuto i dettagli di una carta virtuale, ovvero leggendo i dettagli della carta dal display del telefono o dallo schermo di un utente, utilizzando tecniche di shoulder surfing o simili, oppure utilizzando malware per infettare il dispositivo di un utente, ed infine indovinandolo a caso, in quanto Fenske ha sostenuto che «Potrebbe essere possibile che l’attaccante abbia semplicemente forzato il numero della carta e la data di validità, che è nell’arco di circa un anno dalla creazione», fattore che « crea uno spazio di ricerca piuttosto ristretto per i malintenzionati», oltre al fatto che in quel caso «il CVC non ha importanza», in quanto «ne va bene uno qualsiasi».
Evidenziamo che lo shoulder surfing (letteralmente “fare surf sulle spalle”) è una tecnica di ingegneria sociale usata per ottenere informazioni come codici PIN, password ed altri dati confidenziali osservando la vittima standole alle spalle. L’attacco può venire effettuato sia da vicino (osservando direttamente la vittima) o da più lontano, usando ad esempio riprese di telecamere a circuito chiuso, binocoli o dispositivi simili.
Attaccare usando questa tecnica non richiede nessuna abilità particolare, in quanto l’attenta osservazione di ciò che sta intorno alla vittima e dei movimenti da lei effettuati con la mano mentre digita un PIN sono sufficienti. I posti affollati sono quelli in cui è più facile che una vittima venga attaccata tramite shoulder surfing. Peraltro l’avvento di moderne tecnologie quali telecamere e microfoni nascosti ha fatto sì che gli attacchi di shoulder surfing siano più facili da effettuare da lontano, utilizzando una telecamera nascosta che consente all’attaccante di registrare l’intero processo di login ed altri dati confidenziali della vittima. (fonte Wikipedia)
