ALLERTA PERICOLI INFORMATICI Articoli in Evidenza truffe paypal

Come ho hackerato il conto PayPal di un mio amico

30/01/2022
Come ho hackerato il conto PayPal di un mio amico
Scritto da gestore

Mi sono chiesto se potesse esserci un modo per attaccare PayPal. Per mettere le cose in prospettiva, negli ultimi 18 mesi ho mostrato con successo quanto sia facile dirottare un accountย WhatsAppย oย Snapchat senza la giusta sicurezza impostata sugli account. Mi sono chiesto se avrei dovuto alzare la posta e tentare di ottenere il controllo di un conto finanziario usando tattiche simili. Si scopre che, con la semplice arte della “navigazione a spalla”, il tuo conto PayPal potrebbe essere effettivamente compromesso e potresti perdere tutti i tuoi soldi.

Gli attacchi di ingegneria sociale sono sempre piรน comuni e stanno diventando sempre piรน popolari tra le bande criminali. Ho trovato un modo per prendere la proprietร  del conto PayPal di qualcuno e dimostrarlo in un esperimento legittimo e legale; ancora piรน importante, imparerai anche come evitare questo attacco al tuo account.

Intermezzo promozionale ... continua la lettura dopo il box:

CONTROLLA LA TUA REPUTAZIONE ONLINE:
controllo e monitoraggio della reputazione per privati ed aziende
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]

Per dimostrare quest’ultima prova del concetto, non ho scelto di prendere di mira chiunque: volevo testare completamente la mia ipotesi su qualcuno che sarebbe stato molto probabilmente in grado di individuare cosa stava succedendo, soprattutto quando si trattava di denaro.ย Ecco perchรฉ ho scelto di prendere di mira un amico (chiamiamolo Dave) che opera nel settore della sicurezza da oltre 20 anni.ย In effetti, Dave รจ un guru quando si tratta di sicurezza informatica e pochissimeย truffe passano ai suoi occhiย senza che lui si renda conto di cosa sta succedendo.ย Perfetto.

Che l’esperimento abbia inizio

Di recente ho organizzato un incontro con Dave e alcuni altri amici che avevo visto solo una manciata di volte negli ultimi 18 mesi.ย Ho chiesto a Dave se sarebbe stato d’accordo a svolgere un ruolo fondamentale in un piccolo hack.ย In nome della consapevolezza della sicurezza informatica e del miglioramento della prevenzione delle frodi, ha accettato di permettermi di provare qualsiasi cosa sul suo conto fintanto che ho comprato il pranzo, perรฒ non ha specificato quale conto bancario usare!

Mentre era in un ristorante, Dave posรฒ il telefono sul tavolo e stava chiacchierando con alcuni di noi attorno al tavolo.ย Ho portato con me il mio portatile e cosรฌ nel frattempo ho aperto il sito di PayPal e sono andato direttamente nella sezione preferita di un hacker: la pagina della password dimenticata.

Conosco l’indirizzo email personale di Dave e ho pensato che lo usi anche per PayPal.ย In un vero attacco, l’hacker dovrebbe conoscere l’indirizzo e-mail del bersaglio, ma oggigiorno รจ possibile trovare gli indirizzi e-mail di molte persone tramite poche ricerche.ย Google, LinkedIn e persino Instagram potrebbero mostrare il tuo indirizzo email, che รจ tutto ciรฒ che serve per avviare questo attacco a qualsiasi utente PayPal.

PayPal richiede quindi di inviare un “controllo di sicurezza rapido” tramite una varietร  di mezzi.ย Nella mia ricerca, questo potrebbe avvenire tramite un SMS, un’e-mail, una telefonata, un’app di autenticazione, persino un WhatsApp!ย Alcune persone hanno anche la possibilitร  di controllare la sicurezza tramite domande di sicurezza, che sono senza dubbio vecchie quanto l’account.ย E se, come ha fatto il mio, queste potrebbero includere risposte estremamente facili da trovare.ย Non avevo idea di averli ancora come opzione e in nessuna impostazione sono riuscito a trovare dove eliminare alcune forme di controllo di sicurezza.ย Tornato con Dave e l’unico controllo di sicurezza che aveva offerto era tramite un SMS, che รจ quello di interesse per ora.

Con Dave che parlava ancora con i colleghi nella sala riunioni, ho fatto clic su “Avanti”, che ha inviato immediatamente un codice a sei cifre al suo telefono.

Mi sono avvicinato al telefono di Dave e senza che lui se ne accorgesse, ho toccato lo schermo per svegliarlo. Poichรฉ non aveva disabilitato le anteprime dei messaggi sulla schermata di blocco del telefono, ho visualizzato facilmente il codice e l’ho digitato nel campo del codice di verifica sul sito Web. Questo era tutto ciรฒ di cui avevo bisogno e ora ero nel suo account! Il sito Web di PayPal mi ha quindi chiesto di scegliere una nuova password per il suo account e l’ho cambiata con una che il mio generatore di password aveva appena creato.

Intermezzo promozionale ... continua la lettura dopo il box:

DIFESA TOTALE DELLA REPUTAZIONE :
difesa della reputazione online
Difesa Totale della Reputazione รจ un servizio completo per la tutela della reputazione che si compone di 5 livelli di protezione [ click qui ]

Quindi eccomi lรฌ, a fissare la dashboard di PayPal di Dave e tutte le carte associate al suo account. Mi sentivo davvero come se avessi fatto irruzione in una banca! Stavo guardando tutte le opzioni e le sue carte bancarie collegate. Avrei potuto facilmente collegare una banca o una carta di credito o persino guardare i suoi dati personali come il suo indirizzo di casa. Avrei potuto cambiare l’indirizzo email del suo account, il suo indirizzo o il suo nome, ma per testare davvero questo attacco ho cliccato su “invia denaro”. Anche se avrei potuto inviare fino a ยฃ 10.000 (sono stato tentato e l’ho persino digitato per effetto), ho scelto di inviare solo ยฃ 10 sul mio conto PayPal โ€“ ricorda che lo aveva autorizzato e gli avevo promesso di rimborsarlo per qualsiasi denaro che รจ stato spostato!

Nel momento in cui ho fatto clic su “invia denaro ora”, il telefono di Dave ha ricevuto un’e-mail di conferma che il denaro era appena stato spostato dal suo account ed รจ qui che si รจ fermato quando l’ha letto sul suo Apple Watch.ย Ma ero a casa e all’asciutto.ย Avevo spostato i soldi e gli avevo chiesto se potevo offrirgli il pranzo.ย La sua faccia indicava che non era impressionato.

Quindi, per ricapitolare, a questo punto, avrei potuto inviare ยฃ 10.000 a uno qualsiasi dei 300 milioni di account PayPal del mondo solo vedendo un codice sul telefono di qualcuno.ย Questo non ha senso per me e le persone chiaramente devono essere consapevoli di questo semplice attacco.ย La barra da saltare per compromettere un conto in questo modo sembra essere troppo bassa, soprattutto se si confronta la sicurezza con quella di una tipica banca online, eppure รจ stato dimostrato che funziona con potenziali danni considerevoli.

Potresti essere propenso a pensare che Dave avrebbe dovuto semplicemente disattivare le anteprime delle notifiche sul suo telefono.ย Tuttavia, come ho mostrato nel mio attacco “Snaphack”, รจ ancora possibile leggere tali messaggi quando le vittime usano semplicemente i loro telefoni, ad esempio quando inviano messaggi alle persone.ย Spesso non sono a conoscenza del modus operandi e semplicemente ignorano queste notifiche/avvisi.ย Quando ho provato l’esperimento PayPal su un telefono Android, ho scoperto che l’anteprima del messaggio di testo era abilitata per impostazione predefinita e un’area evidenziata del messaggio che selezionava il codice di conferma per visualizzarlo ancora piรน velocemente.

FaceID avrebbe aiutato?

Un’altra scoperta nel mio hack dell’account di Dave รจ stata l’ultima goccia.ย In passato avevo visto Dave aprire il suo iPhone usando FaceID, anche indossando una maschera.ย Questa era una funzionalitร  di Apple Watch introdotta nell’aprile 2021 con iOS 14.5 per aggirare FaceID e in quel momento hoย trovato rapidamente unaย soluzione .ย L’ho testato sul telefono di Dave e, come sospettato, ha funzionato con facilitร  usando la mia stessa faccia e oscurato da una maschera.ย Anche se ha ricevuto una notifica sul suo Apple Watch per dire che avevo sbloccato il suo iPhone, questo sarebbe tutto ciรฒ che sarebbe necessario per sbloccare un’anteprima del testo.ย Questo sarebbe sicuramente un tempo sufficiente per leggere un codice di conferma e iniziare l’attacco.

Perdita del telefono

Questo mi ha fatto pensare al furto dei telefoni.ย Poichรฉ i telefoni sono dotati di una crittografia rigida, in precedenza avevo pensato che i telefoni non valessero molto sul mercato nero e relativamente inutili senza un successivo sciopero di ingegneria sociale per ottenere la password di ripristino di Apple o Google.ย Tuttavia, ora penso che il telefono di chiunque sia a rischio se gli aggressori conoscono il tuo indirizzo e-mail una volta che lo hanno rubato su un treno, ad esempio.ย Una semplice navigazione a spalla o una leggera ricerca su Internet potrebbero ottenere queste informazioni abbastanza rapidamente e quindi, insieme a ciรฒ che ho scoperto, potrebbe verificarsi una grave quantitร  di danni.

Domande di sicurezza

PayPal offre ancora domande di sicurezza e da quello che ho trovato non potevo rimuoverle, cambiare solo le risposte.ย La pagina delle impostazioniย di sicurezza di PayPalย afferma che ”ย Per la tua protezione, scegli 2 domande di sicurezza.ย In questo modo, possiamo verificare che sei davvero tu in caso di dubbio”.ย Ma aggirare tali domande di sicurezza รจ spesso estremamente facile nel mondo dell’ingegneria sociale e della quantitร  di dati disponibili su molti di noi sui social media, quindi sembra folle che dovrebbe essere disponibile per accedere a un’applicazione finanziaria.

Allora perchรฉ รจ cosรฌ facile?

Le banche rendono continuamente piรน difficile per gli hacker sfruttare i loro sistemi e spesso aggiornano a nostra insaputa, mantenendo i nostri conti al sicuro.ย Ma se utilizziamo PayPal come forma di pagamento assegnata ad app come Uber o eBay, che รจ costantemente collegata alle nostre carte di credito e conti bancari, non รจ questo l’anello piรน debole della catena?

Senza voler dare la colpa a PayPal, penso che ci siano molte tecniche di prevenzione che puoi applicare subito da questa storia.ย Questa non รจ affatto colpa di PayPal, ma dimostra l’ennesima soluzione alternativa di cui gli attori delle minacce tenteranno di abusare e per la quale dovremmo sempre essere in allerta.

Metodi di prevenzione

  • Non fare affidamento sull’autenticazioneย a piรน fattori basata su SMSย ;ย ove possibile, utilizza invece un’app di autenticazione o una chiave di sicurezza
  • Non ignorare mai un codice di conferma.ย Se ne ricevi uno quando non te lo aspettavi, probabilmente c’รจ qualcosa che deve essere indagato
  • Non lasciare mai il telefono incustodito e non permettere la lettura degli sms senza sblocco del telefono
  • Nascondi le anteprime di tutti i messaggi di testo SMS e altre notifiche delle app
  • Seย perdi il telefonoย o te lo rubano, contatta immediatamente il tuo gestore telefonico per bloccare la SIM.ย Quindi utilizza “Trova il mio” di Apple o “Trova il mio dispositivo” di Google per individuare il telefono e metterlo in modalitร  smarrito. [ Noi di informatica in azienda aggiungiamo un link alla nostra guida TROVA IL TELEFONO / COMPUTER PERSO O RUBATO oppure PREPARATI PER RITROVARLO ]
  • Utilizza un indirizzo e-mail separato per PayPal, uno che gli altri non saranno in grado di indovinare
  • Disattiva o modifica le tue risposte di sicurezza PayPal a password casuali non correlate alla domanda e salvale nel tuo gestore password
  • Rimuovi l’opzione che consente a FaceID di funzionare con un Apple Watch mentre indossi una maschera

Ovviamente ho chiesto una risposta a PayPal, quindi lascia che ti lasci con ciรฒ che il loro rappresentante ha detto:ย “Ho esaminato il documento che hai condiviso dalla tua parte.ย Tuttavia, tieni presente che abbiamo educato i nostri utenti a non condividere il codice di sicurezza che hanno ricevuto da PayPal con nessuno”.ย 

Fonte : https://www.welivesecurity.com/

Potrebbe piacerti anche