标签: PayPal

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国司法部破获特大网络犯罪案:涉案人员达 36 人

北京时间 2 月 8 日凌晨消息,本周三,美国司法部宣布其破获了一起史上最大规模之一的全球性网络犯罪案件,称该起案件涉案人员达到 36 人,造成至少 5.3 亿美元损失。 美国司法部称,该网络犯罪团伙运营着一个名为 “ Infraud ” 的线上论坛,该论坛主要从事的是买卖从全球各地窃取来的社会安全号(Social Security Number)、生日、和密码等个人信息。 根据法院相关文件显示,该网络犯罪团伙由一名 34 岁的名叫斯维亚托斯拉夫·邦达伦科(Svyatoslav Bondarenko)的乌克兰人在 2010 年创建,其口号是 “ 只做受信任的诈骗 ”(In Fraud We Trust)。 在起诉书中,该犯罪团伙创始人将其线上论坛形容成 “ 聚集着一群将黑客视为一种生活方式的专业人士 ” 的 “ 一个舒适又安全 ” 的地方。 邦达伦科在该团伙内部建立了一套分级制度,并仔细审查在其运营的网站上为售卖偷来的货物所打出的广告。同时,他禁止该论坛的成员买卖从俄罗斯受害者那儿偷来的设备和其他物品。 该论坛除了给偷来的信息提供方便快捷的交易平台外,还提供了由第三方管理的代理账户,使得买卖家之间可以通过包括比特币在内的多种数字加密货币进行交易。该支付服务是由该论坛的联合创始人谢尔盖·梅德韦杰夫(Sergey Medvedev)开发的。 美国司法部称,一共有 36 名犯罪嫌疑人被指控,目前为止从美国、澳大利亚、英国、法国、和意大利等国已抓捕归案人数为 13 人。这些犯罪嫌疑人被指控的罪行包括盗窃个人身份信息、欺诈银行、电信诈骗、和洗钱。 美国司法部副总检察长助理告诉记者称,还将发现更多的涉案人员,此案件正在进一步调查中。他说:“ 今天,我们对于打击跨国网络犯罪迈出了坚实的一步。” 据起诉书内容显示,该犯罪团伙运营的论坛上售卖的偷来的 “ 物品 ” 包括 79.5 万个汇丰银行用户账户,还有支付网站 PayPal 登录账号和信用卡卡号等。卖家还能在该论坛售卖恶意软件。 稿源:新浪科技,封面源自网络;

PayPal 旗下的 TIO Networks 运营系统存在安全漏洞,逾 160 万客户敏感信息在线泄露

据外媒报道,全球贸易支付公司 PayPal 于 12 月 1 日证实,公司旗下的 TIO Networks 运营系统存在安全漏洞,黑客已经访问了存储在其服务器中逾 160 万客户的敏感数据,包括用户可识别信息(PII)和部分财务细节。 TIO Networks 是一家基于云支付处理和收账款管理的加拿大提供商,于 2017 年 2 月被 PayPal 以 2.33 亿美元收购,其公司在北美地区经营着超过 60,000 个公共事业的票据支付系统。 TIO Networks 负责人表示:“我们对于此次事件的发生深表歉意,目前 PayPal 已暂停 TIO Networks 运营系统并与其相关部门合作,以便保障用户信息安全。另外,因为 TIO 系统完全独立于 PayPal 网络,所以 PayPal 平台并未受到任何影响。现我们正积极展开调查,一旦发现更多细节后我们将直接联系 TIO 客户并在官网 www.tio.com 发布最新进程。 知情人士透露,PayPal 正通知受影响客户并与一家消费者信用机构合作,从而为受害客户提供免费的信用监控会员资格,以便保障用户信息安全。此外,TIO Networks 客户还可以通过官网获取更多关于数据泄露的相关细节。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全专家验证 PayPal 服务器存在无限制文件上传漏洞过程

据外媒 7 月 23 日报道,安全专家 Vikas Anil Sharma 发现 PayPal 服务器存在文件上传漏洞,允许攻击者远程执行恶意代码。以下是 Vikas 验证漏洞过程: 安全专家 Vikas 利用 Burp 软件访问 PayPal Bug Bounty 页面 http://paypal.com/bugbounty/ ,跳出如下响应。 随后,专家集中分析 PayPal 域名列表中所提及的安全内容策略:域名标头 。尤其是https://*.paypalcorp.com。此外,Vikas 通过复制本地子域名列表并运行 “ dig -f paypal +noall +answer ” 后发现,所有子域名实际采用某种简单方式指向多个域名。例如,子域名 “ brandpermission.paypalcorp.com ” 指向 “  https://www.paypal-brandcentral.com/  ”,这是一家托管 PayPal 的供应商网站,其供应商与合作伙伴在线支持 PayPal 系统网站并请求获取更多授权。 据称,该网站允许用户上传标识图样以及品牌相关图形设计。因此,专家首先通过上传简单图像 finished.jpg 分析目标图片文件夹、创建工单(网络软件管理系统)并被存储于目录 “ /content/helpdesk/368/867/finishedthumb.jpg ” 中。Vikas 发现工单编号与文件编号是以串行方式生成。 此外,Vikas 还上传了 .php 格式扩展文件而并非图像,发现应用程序无需验证文件类型与内容。不同的是,Vikas 从上传图像文件中注意到多数情况下不会发现上传路径。然而,Vikas 在上传文件 success.php 时,跟上传图片类似,假设这个文件会存储为 success_thumb.php 并决定爆破文件所在目录。 一旦发现文件所在目录,专家将远程执行恶意代码: https: //www.paypal-brandcentral.com/content/_helpdesk/366/865/success.php?cmd=uname-a;whoami   目前,安全专家虽然已修复该漏洞,但他们又在 PayPal 服务器中发现另一漏洞。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Let’s Encrypt 向 PayPal 钓鱼网站签发了超过 1.4 万个证书

过去一年,Let’s Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15,270 个 SSL 证书,其中 14,766 (96.7%)个证书是签发给了托管在钓鱼网站上的域名。 Let’s Encrypt CA 不是唯一一个向钓鱼网站签发 SSL 证书的 CA,其它 CA 也存在这一问题,但数量要比提供免费服务的 Let’s Encrypt CA 低几个数量级(只有几百个)。钓鱼者较少其它 CA 的一个原因是这些 CA 提供的是商业服务,会拒绝含有热词如 PayPal 的证书申请,而 Let’s Encrypt CA 的证书签发是自动化的并没有专人审查。 Let’s Encrypt CA 旨在推动更安全的 HTTPS 网站的普及,它认为自己没有责任去检查网站是钓鱼网站还是合法网站。 稿源:solidot 奇客;封面源自网络  

贝宝(PayPal)修复安全漏洞曾允许黑客窃取 OAuth 令牌

Adobe 公司软件工程师 Antonio Sanso 发现在线支付工具贝宝(PayPal)存在严重安全漏洞,允许黑客窃取第三方开发者开发的应用程序在支付时使用的 OAuth 凭证。 研究员称其他使用此类安全认证标准的网站上也存在此类问题,包括 Facebook 和 Google 。 漏洞归结于 PayPal 如何处理返回的应用程序授权认证令牌即 REDIRECT_URI 参数。 开发人员可通过特定 dashboard 注册应用使用 PayPal 支付服务,之后应用可生成令牌请求并发送到中央授权服务器,服务器会制定返回参数 REDIRECT_URI 正常情况: redirect_uri=https://demo.paypal.com/loginsuccessful&nonce=&newUI=Y 但是由于 PayPal 可使用 localhost 作为 REDIRECT_URI 参数。 将返回页面重定向至黑客自己设置的 localhost 页面 redirect_uri=http://localhost.intothesymmetry.com/&nonce=&newUI=Y 黑客可从自己的页面中提取 PayPal 返回的支付请求中的认证令牌信息, 研究员称早在九月就将漏洞报告到 PayPal ,但 PayPal 回应说:“这不是一个漏洞”。PayPal 分析了报告,并最终在 11 月份发布更新,研究人员也获得了相应赏金。 稿源:本站翻译整理,封面来源:百度搜索

简单方法一分钟绕过 PayPal 双重验证、登录账号

据外媒报道,英国安全研究员 Henry Hoggard 发现了一种绕过 PayPal 双重身份验证( 2FA )机制的简单方法,允许攻击者在不到一分钟内接管 PayPal 帐户。研究者是在没有电话信号的酒店中,手机无法接收2FA验证码短信的情景下发现了这种方法。在这种情境下,用户可通过点击“尝试其他方式”链接,回答预设安全问题登录。攻击者可以运行代理服务器拦截并保存 PayPal 服务器请求,攻击者只需从 HTTP 请求中删除“ securityQuestion0 ”和“ securityQuestion1 ”参数,即可完成数据篡改并欺骗 PayPal 授予登录账号。 Hoggard 在 10 月 3 日向 PayPal 报告了这个问题,10 月 21 日 PayPal 修复该身份验证漏洞。 稿源:本站翻译整理,封面来源:百度搜索