Rất nhiều người trong chúng ta sử dụng tài khoản Paypal để thực hiện thanh toán online, nhưng hầu hết số dư trong đó chẳng đáng là bao nhiêu. Tuy nhiên, điều gì sẽ xảy ra nếu số tiền của bạn được nhân đôi, nhân ba thậm chí là tăng lên gấp nhiều lần chỉ trong vòng vài giờ đồng hồ? Một lỗ hổng nghiêm trọng trong phương thức thanh toán của Paypal có thể cho phép bạn làm được điều đó.
Một công ty thuộc quyền quản lý của eBay, PayPal cung cấp các phương thức thanh toán online một cách nhanh chóng và đơn giản. Dịch vụ này mang đến cho người dùng các cách gửi tiền đơn giản hơn mà không cần cung cấp các thông tin về tài chính. Với hơn 148 triệu tài khoản đang hoạt động trên 26 đơn vị tiền tệ và trên 193 thị trường, mỗi ngày PayPal xử lý hơn 9 triệu lượt thanh toán.
Theo Tinkode a.k.a Razvan Cernaianu, người tuyên bố đã phát hiện ra lỗ hổng trong dịch vụ PayPal, thực chất lỗ hổng này nằm bên trong quá trình hoàn lại phí.
“Quá trình hoàn lại phí, cũng được gọi là sự hủy bỏ giao dịch, xảy ra khi một người giao dịch yêu cầu một công ty thẻ tín dụng hủy bỏ một giao dịch đã thực hiện” và điều này có thể thực hiện được khi thẻ thanh toán của người mua bị đánh cắp, bị sử dụng một cách gian lận hoặc người bán cố tình gian lận.
Ông cho biết rằng lỗ hổng này xảy ra trong khi ông đang thực hiện một giao dịch sử dụng phương thức thanh toán PayPal với một người khác vào năm 2010, người mà đã cố gắng lừa đảo tiền của ông bằng quá trình hoàn lại phí tương tự. Để tránh mất tiền, ông đã chuyển tất cả tiền trong tài khoản hiện tại sang một tài khoản khác, một tài khoản Paypal thực. Nhưng khi ông kiểm tra tài khoản sau đó một tháng, thì thấy rằng số dư tài khoản bị âm 50$.
Ông đã chứng minh chính xác trò lừa gạt này cho đội ngũ bảo mật của PayPal, nó cho phép bất kì ai cũng có thể nhân gấp đôi số tiền mà họ có đến vô hạn. Trong một bằng chứng giải thích ông đã nêu chi tiết rằng bằng cách tạo ra ba tài khoản PayPal riêng biệt, một cái là thật và hai cái còn lại là tài khoản xác nhận sử dụng thẻ tín dụng ảo (VCC) Và tài khoản ngân hàng ảo (VBA).
Bằng chứng chứng minh
“Ví dụ, bạn có 500$ trong tài khoản của mình. Bạn chuyển số tiền này sang một tài khoản thứ hai lấy cớ là mua một chiếc điện thoại. Từ tài khoản thứ hai bạn lại chuyển tiếp số tiền này sang một tài khoản thứ ba với lý do mua một món quà. Sau 24 giờ, sử dụng chức năng hủy giao dịch thu phí trở lại từ tài khoản thứ nhất (tài khoản thực) để nhận lại tiền, với lý do là điện thoại đã không đến đúng thời gian bạn cần. Paypal sẽ ngay lập tức thực hiện một quá trình mà cả hai bên đều đưa ra bằng chứng cho sự biện hộ của họ. Rõ ràng bạn sẽ chỉ gửi bằng chứng từ tài khoản thứ nhất cho thấy rằng bạn bị lừa. Cuối cùng tiền sẽ được khôi phục lại trong tài khoản chính và tài khoản thứ hai sẽ có môt số âm là 500$. Bằng cách này, bạn sẽ tăng gấp đôi được số tiền ban đầu vì bạn vẫn có 500$ trong tài khoản thứ ba. Vì tài khoản thứ hai chỉ là một tài khoản ảo, nó sẽ không có tiền thật mà PayPal trích xuất. Do đó bạn còn 500$ được PayPal hoàn trả và 500$ trong tài khoản thứ ba”.
Tinkode đã thông báo lỗ hổng này cho đội ngũ bảo mật của Paypal để lấy tiền thưởng và họ đã thừa nhận lỗ hổng này có trong điều khoản dịch vụ chứ không phải là một lỗ hổng ứng dụng web. “Việc lạm dụng được mô tả ở đây là có thể xảy ra trong hệ thống của chúng tôi, tuy nhiên, hành vi lạm dụng lặp đi lặp lại bằng các tài khoản tương tự hoặc liên kết với nhau đã được giải quyết”. Paypal trả lời.
Bất kỳ ai có một chút kiến thức về kỹ thuật cũng có thể thực hiện được trò lừa đảo này, tuy nhiên chúng ta không nên thử làm vì rất có thể PayPal sẽ cấm sử dụng tài khoản của bạn mãi mãi.
Theo The Hacker News