ABOUT
În următoarele rânduri voi explica o metodă cu ajutorul căreia vă puteți dubla banii din contul de paypal... la nesfârșit. Probabil toți o să credeți că am găsit o vulnerabilitate web. Din păcate, este vorba despre ceva mult mai grav. Ca sa fiu mai exact este o problemă cu TOS-ul lor.
Prin anul 2010 am făcut o tranzacție pe paypal cu o persoană ce a încercat să mă înșele folosind funcția chargeback. Cum eu nu îmi țineam niciodată banii pe acel cont de paypal, i-am transferat pe contul meu real. După o lună de zile când am intrat din nou pe acel cont am observat că am balanță negativă și anume -50$. Asta m-a pus pe gânduri puțin. De ce? Pentru că m-a făcut să mă gândesc la o situație care avea mai tarziu să reprezinte metoda perfectă de a îți dubla banii prin intermediul serviciului Paypal.
Am raportat metoda celor de la Paypal în cadrul programului lor de Bug Bounty, gândindu-mă că poate o să îmi ofere puțin feedback și v-a fi luată în calcul cu toate că nu reprezintă o vulnerabilitate web. Dar așa cum mă așteptam răspunsul lor a fost acesta (după aproape 1 lună jumatate):
Thank you for your patience while we completed our investigation. After reviewing your submission we have determined this is not a Bug Bounty issue, but one of our Protection Policy. While the abuse described here is possible in our system, repeated abusive behavior by the same and/or linked account(s) is addressed.
Thank you for your participation in our program.
Thanks,
eBay, Inc Bug Bounty Team
Primind un asemenea răspuns, consider că nu este nimic în neregulă dacă fac publice detaliile.
Să începem. În prima fază avem nevoie de 3 conturi de paypal ca în imaginea alăturată. Un cont este cel real (adică verificat cu card-ul nostru personal) iar celălalte două sunt verificate cu VCC-uri sau VBA-uri (VCC = Virtual Credit Card / VBA = Virtual Bank Account).
Ce este un VCC / VBA?
Virtual credit cards (sometimes called controlled payment numbers) are one service offered by some banks and credit card companies to help online shoppers protect against fraud. While they have their disadvantages, they are one of the best online safety measures currently available.
Read more: http://www.ehow.com/about_7228358_virtual-credit-card_.html
Deci avem pe contul nostru spre exemplu 500$. Acești bani îi vom trimite către al doilea cont cu pretextul că vrem să cumpărăm un telefon. De pe al doilea cont îi vom transfera în al treilea cont ca gift (cadou). După 24 de ore folosim funcția de chargeback de pe primul cont (cel real) pentru a ne restituii banii pentru că nu a ajuns la timp telefonul comandat. Cei de la Paypal vor deschide un proces unde amândouă părțile aduc dovezi prin care se vor apăra. Evident că doar primul cont o să trimită dovezi că a fost înșelat.
Când acest proces va fi încheiat banii vor fi restituiți iar contul numărul 2 va avea balanță negativă -500$. În felul acesta ne-am dublat suma inițială deoarece încă avem 500$ și în al treilea cont. Contul numărul 2 nu va fi niciodată încărcat cu bani de unde Paypal să îi retragă deoarece este un cont virtual.
Dacă gândim la scară largă unde ar fi implicate 20 de persoane, fiecare cu 500$ -- ar câștiga in 3 saptămâni aproximativ 10 000$.
+----------------------------------------------------------------+ | Author: TinKode a.k.a Razvan Cernaianu @ CyberSmartDefence.com | | Name : Safely double your money with PayPal | | Impact: Critical | | Date : 11.06.2014 | | Email : info@cybersmartdefence.com | +----------------------------------------------------------------+