Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

Alcuni cyber attaccanti sembrano aver individuato un bug nell'integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E' da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay. 

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro. 

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso. 

Un ricercatore avanza una ipotesi

Se da PayPal e Google per adesso si brancola nel buio, il ricercatore di sicurezza Markus Fenske ha avanzato una ipotesi precisa: Fenske suggerisce che il problema potrebbe collegarsi ad una vulnerabilità che lo stesso ricercatore aveva già segnalato a PayPal un anno fa e che risiede nel meccanismo utilizzato per integrare PayPal in Google Pay. PayPal non ha mai ritenuto prioritario il fix di questo bug, che quindi potrebbe ancora essere presente.

Fenske spiega che il collegamento tra i due sistemi avviene tramite una carta di credito virtuale, dotata di numero, scadenza e CVV, che viene aggiunta a quelle collegate a Google Pay. Se gli attaccanti hanno messo le mani sui dati relativi a queste carte di credito virtuali, così generate, diviene per loro possibile eseguire transazioni. Se le carte virtuali fossero limitate alle transazioni POS, questa metodologia di furto non sarebbe possibile, ma PayPal consente che queste carte virtuali siano usate anche per transazioni online.

Per Fenske sono tre le vie tramite le quali gli attaccanti potrebbero avere avuto accesso ai dati delle carte virtuali: intercettando i dettagli della carta dal telefono / schermo di un utente, utilizzando un malware apposito che estrae questi dati dai dispositivi infetti oppure indovinandoli con un attacco di brute-forcing. E se la terza ipotesi è assai poco credibile, le altre due sono invece quantomeno verosimili. 

Dal conto suo PayPal ha già iniziato i rimborsi delle transazioni fraudolente e, qualche ora fa, ha fatto sapere di aver risolto il problema, senza però dare alcuna spiegazione tecnica su come gli attaccanti siano riusciti ad eseguire queste transazioni.