ALLERTA PERICOLI INFORMATICI Articoli in Evidenza truffe paypal

Come ho hackerato il conto PayPal di un mio amico

Come ho hackerato il conto PayPal di un mio amico
Scritto da gestore

Mi sono chiesto se potesse esserci un modo per attaccare PayPal. Per mettere le cose in prospettiva, negli ultimi 18 mesi ho mostrato con successo quanto sia facile dirottare un account WhatsApp o Snapchat senza la giusta sicurezza impostata sugli account. Mi sono chiesto se avrei dovuto alzare la posta e tentare di ottenere il controllo di un conto finanziario usando tattiche simili. Si scopre che, con la semplice arte della “navigazione a spalla”, il tuo conto PayPal potrebbe essere effettivamente compromesso e potresti perdere tutti i tuoi soldi.

Gli attacchi di ingegneria sociale sono sempre più comuni e stanno diventando sempre più popolari tra le bande criminali. Ho trovato un modo per prendere la proprietà del conto PayPal di qualcuno e dimostrarlo in un esperimento legittimo e legale; ancora più importante, imparerai anche come evitare questo attacco al tuo account.

Per dimostrare quest’ultima prova del concetto, non ho scelto di prendere di mira chiunque: volevo testare completamente la mia ipotesi su qualcuno che sarebbe stato molto probabilmente in grado di individuare cosa stava succedendo, soprattutto quando si trattava di denaro. Ecco perché ho scelto di prendere di mira un amico (chiamiamolo Dave) che opera nel settore della sicurezza da oltre 20 anni. In effetti, Dave è un guru quando si tratta di sicurezza informatica e pochissime truffe passano ai suoi occhi senza che lui si renda conto di cosa sta succedendo. Perfetto.

Che l’esperimento abbia inizio

Di recente ho organizzato un incontro con Dave e alcuni altri amici che avevo visto solo una manciata di volte negli ultimi 18 mesi. Ho chiesto a Dave se sarebbe stato d’accordo a svolgere un ruolo fondamentale in un piccolo hack. In nome della consapevolezza della sicurezza informatica e del miglioramento della prevenzione delle frodi, ha accettato di permettermi di provare qualsiasi cosa sul suo conto fintanto che ho comprato il pranzo, però non ha specificato quale conto bancario usare!

Mentre era in un ristorante, Dave posò il telefono sul tavolo e stava chiacchierando con alcuni di noi attorno al tavolo. Ho portato con me il mio portatile e così nel frattempo ho aperto il sito di PayPal e sono andato direttamente nella sezione preferita di un hacker: la pagina della password dimenticata.

Conosco l’indirizzo email personale di Dave e ho pensato che lo usi anche per PayPal. In un vero attacco, l’hacker dovrebbe conoscere l’indirizzo e-mail del bersaglio, ma oggigiorno è possibile trovare gli indirizzi e-mail di molte persone tramite poche ricerche. Google, LinkedIn e persino Instagram potrebbero mostrare il tuo indirizzo email, che è tutto ciò che serve per avviare questo attacco a qualsiasi utente PayPal.

PayPal richiede quindi di inviare un “controllo di sicurezza rapido” tramite una varietà di mezzi. Nella mia ricerca, questo potrebbe avvenire tramite un SMS, un’e-mail, una telefonata, un’app di autenticazione, persino un WhatsApp! Alcune persone hanno anche la possibilità di controllare la sicurezza tramite domande di sicurezza, che sono senza dubbio vecchie quanto l’account. E se, come ha fatto il mio, queste potrebbero includere risposte estremamente facili da trovare. Non avevo idea di averli ancora come opzione e in nessuna impostazione sono riuscito a trovare dove eliminare alcune forme di controllo di sicurezza. Tornato con Dave e l’unico controllo di sicurezza che aveva offerto era tramite un SMS, che è quello di interesse per ora.

Con Dave che parlava ancora con i colleghi nella sala riunioni, ho fatto clic su “Avanti”, che ha inviato immediatamente un codice a sei cifre al suo telefono.

Mi sono avvicinato al telefono di Dave e senza che lui se ne accorgesse, ho toccato lo schermo per svegliarlo. Poiché non aveva disabilitato le anteprime dei messaggi sulla schermata di blocco del telefono, ho visualizzato facilmente il codice e l’ho digitato nel campo del codice di verifica sul sito Web. Questo era tutto ciò di cui avevo bisogno e ora ero nel suo account! Il sito Web di PayPal mi ha quindi chiesto di scegliere una nuova password per il suo account e l’ho cambiata con una che il mio generatore di password aveva appena creato.

Intermezzo promozionale ... continua la lettura dopo il box:

Quindi eccomi lì, a fissare la dashboard di PayPal di Dave e tutte le carte associate al suo account. Mi sentivo davvero come se avessi fatto irruzione in una banca! Stavo guardando tutte le opzioni e le sue carte bancarie collegate. Avrei potuto facilmente collegare una banca o una carta di credito o persino guardare i suoi dati personali come il suo indirizzo di casa. Avrei potuto cambiare l’indirizzo email del suo account, il suo indirizzo o il suo nome, ma per testare davvero questo attacco ho cliccato su “invia denaro”. Anche se avrei potuto inviare fino a £ 10.000 (sono stato tentato e l’ho persino digitato per effetto), ho scelto di inviare solo £ 10 sul mio conto PayPal – ricorda che lo aveva autorizzato e gli avevo promesso di rimborsarlo per qualsiasi denaro che è stato spostato!

Nel momento in cui ho fatto clic su “invia denaro ora”, il telefono di Dave ha ricevuto un’e-mail di conferma che il denaro era appena stato spostato dal suo account ed è qui che si è fermato quando l’ha letto sul suo Apple Watch. Ma ero a casa e all’asciutto. Avevo spostato i soldi e gli avevo chiesto se potevo offrirgli il pranzo. La sua faccia indicava che non era impressionato.

Quindi, per ricapitolare, a questo punto, avrei potuto inviare £ 10.000 a uno qualsiasi dei 300 milioni di account PayPal del mondo solo vedendo un codice sul telefono di qualcuno. Questo non ha senso per me e le persone chiaramente devono essere consapevoli di questo semplice attacco. La barra da saltare per compromettere un conto in questo modo sembra essere troppo bassa, soprattutto se si confronta la sicurezza con quella di una tipica banca online, eppure è stato dimostrato che funziona con potenziali danni considerevoli.

Potresti essere propenso a pensare che Dave avrebbe dovuto semplicemente disattivare le anteprime delle notifiche sul suo telefono. Tuttavia, come ho mostrato nel mio attacco “Snaphack”, è ancora possibile leggere tali messaggi quando le vittime usano semplicemente i loro telefoni, ad esempio quando inviano messaggi alle persone. Spesso non sono a conoscenza del modus operandi e semplicemente ignorano queste notifiche/avvisi. Quando ho provato l’esperimento PayPal su un telefono Android, ho scoperto che l’anteprima del messaggio di testo era abilitata per impostazione predefinita e un’area evidenziata del messaggio che selezionava il codice di conferma per visualizzarlo ancora più velocemente.

FaceID avrebbe aiutato?

Un’altra scoperta nel mio hack dell’account di Dave è stata l’ultima goccia. In passato avevo visto Dave aprire il suo iPhone usando FaceID, anche indossando una maschera. Questa era una funzionalità di Apple Watch introdotta nell’aprile 2021 con iOS 14.5 per aggirare FaceID e in quel momento ho trovato rapidamente una soluzione . L’ho testato sul telefono di Dave e, come sospettato, ha funzionato con facilità usando la mia stessa faccia e oscurato da una maschera. Anche se ha ricevuto una notifica sul suo Apple Watch per dire che avevo sbloccato il suo iPhone, questo sarebbe tutto ciò che sarebbe necessario per sbloccare un’anteprima del testo. Questo sarebbe sicuramente un tempo sufficiente per leggere un codice di conferma e iniziare l’attacco.

Perdita del telefono

Questo mi ha fatto pensare al furto dei telefoni. Poiché i telefoni sono dotati di una crittografia rigida, in precedenza avevo pensato che i telefoni non valessero molto sul mercato nero e relativamente inutili senza un successivo sciopero di ingegneria sociale per ottenere la password di ripristino di Apple o Google. Tuttavia, ora penso che il telefono di chiunque sia a rischio se gli aggressori conoscono il tuo indirizzo e-mail una volta che lo hanno rubato su un treno, ad esempio. Una semplice navigazione a spalla o una leggera ricerca su Internet potrebbero ottenere queste informazioni abbastanza rapidamente e quindi, insieme a ciò che ho scoperto, potrebbe verificarsi una grave quantità di danni.

Domande di sicurezza

PayPal offre ancora domande di sicurezza e da quello che ho trovato non potevo rimuoverle, cambiare solo le risposte. La pagina delle impostazioni di sicurezza di PayPal afferma che ” Per la tua protezione, scegli 2 domande di sicurezza. In questo modo, possiamo verificare che sei davvero tu in caso di dubbio”. Ma aggirare tali domande di sicurezza è spesso estremamente facile nel mondo dell’ingegneria sociale e della quantità di dati disponibili su molti di noi sui social media, quindi sembra folle che dovrebbe essere disponibile per accedere a un’applicazione finanziaria.

Allora perché è così facile?

Le banche rendono continuamente più difficile per gli hacker sfruttare i loro sistemi e spesso aggiornano a nostra insaputa, mantenendo i nostri conti al sicuro. Ma se utilizziamo PayPal come forma di pagamento assegnata ad app come Uber o eBay, che è costantemente collegata alle nostre carte di credito e conti bancari, non è questo l’anello più debole della catena?

Senza voler dare la colpa a PayPal, penso che ci siano molte tecniche di prevenzione che puoi applicare subito da questa storia. Questa non è affatto colpa di PayPal, ma dimostra l’ennesima soluzione alternativa di cui gli attori delle minacce tenteranno di abusare e per la quale dovremmo sempre essere in allerta.

Metodi di prevenzione

  • Non fare affidamento sull’autenticazione a più fattori basata su SMS ; ove possibile, utilizza invece un’app di autenticazione o una chiave di sicurezza
  • Non ignorare mai un codice di conferma. Se ne ricevi uno quando non te lo aspettavi, probabilmente c’è qualcosa che deve essere indagato
  • Non lasciare mai il telefono incustodito e non permettere la lettura degli sms senza sblocco del telefono
  • Nascondi le anteprime di tutti i messaggi di testo SMS e altre notifiche delle app
  • Se perdi il telefono o te lo rubano, contatta immediatamente il tuo gestore telefonico per bloccare la SIM. Quindi utilizza “Trova il mio” di Apple o “Trova il mio dispositivo” di Google per individuare il telefono e metterlo in modalità smarrito. [ Noi di informatica in azienda aggiungiamo un link alla nostra guida TROVA IL TELEFONO / COMPUTER PERSO O RUBATO oppure PREPARATI PER RITROVARLO ]
  • Utilizza un indirizzo e-mail separato per PayPal, uno che gli altri non saranno in grado di indovinare
  • Disattiva o modifica le tue risposte di sicurezza PayPal a password casuali non correlate alla domanda e salvale nel tuo gestore password
  • Rimuovi l’opzione che consente a FaceID di funzionare con un Apple Watch mentre indossi una maschera

Ovviamente ho chiesto una risposta a PayPal, quindi lascia che ti lasci con ciò che il loro rappresentante ha detto: “Ho esaminato il documento che hai condiviso dalla tua parte. Tuttavia, tieni presente che abbiamo educato i nostri utenti a non condividere il codice di sicurezza che hanno ricevuto da PayPal con nessuno”. 

Fonte : https://www.welivesecurity.com/