11.6.14

Safely double your money with PayPal | Loophole

ABOUT

În următoarele rânduri voi explica o metodă cu ajutorul căreia vă puteți dubla banii din contul de paypal... la nesfârșit. Probabil toți o să credeți că am găsit o vulnerabilitate web. Din păcate, este vorba despre ceva mult mai grav. Ca sa fiu mai exact este o problemă cu TOS-ul lor.

Prin anul 2010 am făcut o tranzacție pe paypal cu o persoană ce a încercat să mă înșele folosind funcția chargeback. Cum eu nu îmi țineam niciodată banii pe acel cont de paypal, i-am transferat pe contul meu real. După o lună de zile când am intrat din nou pe acel cont am observat că am balanță negativă și anume -50$. Asta m-a pus pe gânduri puțin. De ce? Pentru că m-a făcut să mă gândesc la o situație care avea mai tarziu să reprezinte metoda perfectă de a îți dubla banii prin intermediul serviciului Paypal.
Am raportat metoda celor de la Paypal în cadrul programului lor de Bug Bounty, gândindu-mă că poate o să îmi ofere puțin feedback și v-a fi luată în calcul cu toate că nu reprezintă o vulnerabilitate web. Dar așa cum mă așteptam răspunsul lor a fost acesta (după aproape 1 lună jumatate):

Thank you for your patience while we completed our investigation. After reviewing your submission we have determined this is not a Bug Bounty issue, but one of our Protection Policy. While the abuse described here is possible in our system, repeated abusive behavior by the same and/or linked account(s) is addressed.

Thank you for your participation in our program.

Thanks,
eBay, Inc Bug Bounty Team

Primind un asemenea răspuns, consider că nu este nimic în neregulă dacă fac publice detaliile.

Să începem. În prima fază avem nevoie de 3 conturi de paypal ca în imaginea alăturată. Un cont este cel real (adică verificat cu card-ul nostru personal) iar celălalte două sunt verificate cu VCC-uri sau VBA-uri (VCC = Virtual Credit Card / VBA = Virtual Bank Account).

Ce este un VCC / VBA?
Virtual credit cards (sometimes called controlled payment numbers) are one service offered by some banks and credit card companies to help online shoppers protect against fraud. While they have their disadvantages, they are one of the best online safety measures currently available.

Read more: http://www.ehow.com/about_7228358_virtual-credit-card_.html

Deci avem pe contul nostru spre exemplu 500$. Acești bani îi vom trimite către al doilea cont cu pretextul că vrem să cumpărăm un telefon. De pe al doilea cont îi vom transfera în al treilea cont ca gift (cadou). După 24 de ore folosim funcția de chargeback de pe primul cont (cel real) pentru a ne restituii banii pentru că nu a ajuns la timp telefonul comandat. Cei de la Paypal vor deschide un proces unde amândouă părțile aduc dovezi prin care se vor apăra. Evident că doar primul cont o să trimită dovezi că a fost înșelat.

Când acest proces va fi încheiat banii vor fi restituiți iar contul numărul 2 va avea balanță negativă -500$. În felul acesta ne-am dublat suma inițială deoarece încă avem 500$ și în al treilea cont. Contul numărul 2 nu va fi niciodată încărcat cu bani de unde Paypal să îi retragă deoarece este un cont virtual.

Dacă gândim la scară largă unde ar fi implicate 20 de persoane, fiecare cu 500$ -- ar câștiga in 3 saptămâni aproximativ 10 000$.
+----------------------------------------------------------------+
| Author: TinKode a.k.a Razvan Cernaianu @ CyberSmartDefence.com |
| Name  : Safely double your money with PayPal                   |
| Impact: Critical                                               |
| Date  : 11.06.2014                                             |
| Email : info@cybersmartdefence.com                             |
+----------------------------------------------------------------+

Share on:

46 comments:

  1. Interesanta metoda, dar nu tare vad cum ai putea retrage apoi banii din contul numarul 3, de vreme ce nu ai card / cont bancar real atasat. E drept ca i-ai putea cheltui pe cumparaturi & stuff, dar nu cred ca paypal nu ar lua la puricat contul, si tot s-ar ajunge la tine intr-un final... cred :)

    ReplyDelete
    Replies
    1. Contul numarul 3 este verificat cu un Virtual Credit Card (mai citeste inca odata pana o sa intelegi). Deci poti transfera acei bani pe primul cont (cel real).

      Delete
    2. Dar cum de postezi acum? Potrivit celor de la FBI/NASA blogul tau era inaccesibil!
      Lasa-mi un pm pe contul meu de google

      Delete
    3. Foarte buna metoda
      Bravo,apreciez

      Delete
    4. Mersi frumos pentru metoda TIN!....am eu o metoda mai calumea, cei drept inspirat din a ta! dar e PERFECTIONATA!!
      Asculta aici!! Ai auzit de listia? probabil ca nu!
      E un site unde poti vinde lucruri folosite si alte shit-uri.....Dar eu am gasit o modalitate sa fac bani legal pe el...anume cu produse din china dupa ebay la 1-2$ puse cu shipping de 4-5$...si mai fac si puncte pe langa asta, in fine mi-au suspendat contu ca nu am trimis produse cica, vrajeli!
      Asa ca m-am suparat...am luat un VPS, am facut un cont de PAYPAL...si am inceput sa postez produse ...am vandut frumos, pana am facut 50-60 feedback..si dupa SCAM! de 5$ la produs....am facut vro 600$ in contu de PayPal..si acum cu metoda ta mia venit o idee super!

      Deci primul cont de paypal e ok sa il am verificat sa nu primesc bani in 7-14 zile, dau un scam cu listia de 1000$...transfer 1000$ pe al 2 lea cont neverificat..dupa al 2 lea dau 600$ pe al 3 lea si 300$ pe al 4 lea (toate dupa ip-uri diferite), 100$ pastrez in contul 2...DE CE? sa nu fie suspect...

      OPERATIUNEA: Dupa contu al 4 lea si al 3 lea cumpar jocuri la reducere ( ma pricep la asta is trader fac si 2000$ pe luna, nu glumesc), pe urma ne ducem frumos pe contul 2 si facem dispute pt un bun cumparat si ne primit...asteptam raspuns de la contu de 3-4..pe contu 3 unde am trimis 700$ dam full refund si il bagam pe - imediat..iar pt al 4 nu raspundem lasam pe paypal sa decida...cu contul 2 ce facem? simplu...luam jocuri sau alte produse digitale ( ATENTIE NU REALE, DACA NU VREI DIICOTU, FBI la USA!) de 1000$....intram pe primu cont real..disputa frumos....primim bani inapoi...luam jocuri iar de 1000$ dupa nu stii ce facem nu ? Ei bine am folosit VPS...dar ultima tranzactie duap primu cont o facem duap diverse Device-uri cand cumpram jocuri...DECE? Simplu ticket la paypal si le zicem ca nea fost accesat neautorizat contu..si mai primim 1000$ moca....deci in total 4000$ interesanta medota nu? :)

      Ce malefic sunt!! :)

      Delete
  2. This comment has been removed by the author.

    ReplyDelete
  3. Acum exista FireCredit, care se ocupa de restantele de plata de la Paypal.
    Daca iti vine sa crezi, paypal e ca o banca acum si suntem datori. M-ai cautat acasa sa le restitui 20 euro de acum 2 ani, care mi-i facut unul drept claim :)
    Vezi fire-credit.ro

    ReplyDelete
    Replies
    1. ţepareeee pleacăă de aici

      Delete
  4. Imi puteti explica cum pot face VCC sau VBA ?

    ReplyDelete
  5. Chestia asta e luata de pe Deep Web?

    ReplyDelete
  6. I've read it and figure it out from one of the news sites in my country. I was very surprised at the discovery of this bug, but you find it and report it to paypal. This is a very good action.

    Indonesian Languange
    http://inet.detik.com/read/2014/06/17/111745/2610253/323/begini-cara-menggandakan-uang-di-paypal

    ReplyDelete
  7. intresant , ma gandisem cu mult timp la chestia asta inainte sa postezi acest articol , bine sunt mici greseli in aceasta metoda si anume , ar mai trebui un cont in plus gen primu care are banii si e verificat (contul A) urmatoarele 2 conturi virtuale (cont A' si cont B') si mai e nevoie de un cont B tot verificat la care sa transferi banii din B' pe B , daca ti transferi de pe B' tot pe A devi suspect , daca faci asa , o sa iti mearga mult si bine si nu o sa aibe ce sa iti faca!

    TinKode , vreau sa te intreb niste lucruri(nu e legat de paypal) , daca utilizezi skypeul , skypeul meu e john.don314

    ReplyDelete
  8. Functioneaza metoda ?

    ReplyDelete
  9. Finalul suna a puscarie oricum, singura varianta ar fi cu un cont/card real facut pe o persoana cu handicap mintal sever pentru a se substrage de la orice responsabilitate penala. Din cate stiu asta nu este posibil, persoanele cu handicap mintal sever sunt private de aceste drepturi. :))

    ReplyDelete
    Replies
    1. Puscarie ? cum ? unde ? cine ? :))) Pai tu crezi ca eu sunt prost sa fac conturile pe numele meu ?
      Sa-ti dau un exemplu: Pe un RDP gasesc niste acte scanate ale lui Vasile...imi fac cont paypal pe acel nume in caz ca imi cere verificare mai tarziu...o factura o pot face in photoshop.
      Contul A = Vasile, contul B = gheorghe, Contul C = Petrica.
      Referitor la cum poti scoate banii de pe un VCC, uite aici raspunsul: entropay.com ; acolo ai optiunea sa trimiti banii spre un cont bancar real. Puscarie sa faca aia care fura legal (cei care ne conduc). Treaba asta o fac mii de rusi :)

      Delete
    2. Puscarie faci doar daca faci abuz...Aceasta metoda din pacate este veche....mai urat e chestia de tip charge back chiar daca castigi un claim facut in paypal. userul isi poate contacta banca si atunci cei de la paypal sunt nevoiti sa le dea banii..si ghici cine ramane cu buza umflata.
      sunt multe buguri de acest fel acesta este unul din cele mai vechi.

      Delete
  10. TinKode, contul 3 vcc(cel care primeste gift), vcc-ul trebuie sa fie pe alt nume sau merge si pe numele meu avand in vedere ca primul cont cel real va fi pe numele meu?

    ReplyDelete
  11. Did you know that you can identify multiple student accts off of your primary acct, transfer funds to the student acct, transfer the student acct funds back to the primary acct and then pull the funds out before the money backing the PayPal acct has been transferred? Just sayin' ... there are a lot of issues with their processing logic.

    ReplyDelete
  12. Am si eu o intrebare, inca functioneaza aceasta metoda?

    ReplyDelete
  13. salut tot respectul!

    ReplyDelete
  14. Trebuie sa fii putin cretin sa faci asa ceva.

    ReplyDelete
  15. Poi problema este ca vei fi intotdeauna descoperit cu acel cont 3, fiind el chiar si virtual...
    Cum scoti banii de pe acel cont? Daca ii trimiti inapoi de pe contul 3 pe contul 1 cel real, exista o dovada in gestiunea paypal cum ca banii au fost trimisi... De unde pana unde iti trimite tie ''persoana care a primit cadou 500 euro de la persoana care te-a inselat si nu ti-a trimis telefonu?'' .......sper ca m-am facut inteles.

    ReplyDelete
    Replies
    1. Banii de pe un card virtual ii poti scoate (exista optiunea de retragere numerar pe contul tau bancar). Mai exact entropay face asa ceva...

      Delete
  16. Salut ;) inca mai merge faza?
    cum fac un cont " VCC / VBA " ??
    add me pe skype cine stie :) : tudose.ciprian3

    ReplyDelete
  17. Sa fim seriosi , este mult prea simplu ca sa fie adevarat. Sunt destul de sigur ca cei de la PayPal nu sunt atat de prosti incat sa poti face asemenea fraude.
    P.S. De ce postezi asa rar? Unii oameni chiar sunt interesati de cunostiintele tale si sunt sigur ca te-ar urmari

    ReplyDelete
  18. o sa ai probleme la retrageri, stiu cine a fauct 9000$ pana la prins si ia trimis proces verbal de restituirea banilor acasa altfel il trimite in judecata...sa faci odata pe luna cu 1000$ mai merge dar nici asa

    ReplyDelete
  19. Te apreciez foarte mult, nu doar pentru faptul ca ne dai aceste informatii si acces /GRATIS/, dar pentru ca ai aparat imaginea Romanilor, si iti multumesc foarte mult, te apreciez FOARTE-FOARTE mult. :)

    ReplyDelete
  20. Se poate face pana in 1000 de $ pe cont principal (dublat) , dupa care trebuiesc refacute conturile, toate 3 , altfel esti verificabil relativ usor.

    ReplyDelete
  21. salut razvan , cum pot da de tine ? am o cerere foarte mare , te rog frumos ,
    apropos : Mare fan !! respectele mele , as vrea sa fiu si eu ca tine dar nu pot =))
    crudai viata asta :))

    ReplyDelete
  22. CSD , o " companie " de hackeri " pensionati " faimosi in lume , e chiar interesant .. As vrea sa ma dezvolt si eu in " Hack" -uitul acesta ( White-Hat ) , mereu mi-a placut tot ce e legat de PC , primul a fost cand aveam doar 4 ani , de la varsta de 10 ani mereu mi-am batut capul la unele probleme ce tin de IT , pe atunnci in vocabularul meu nu exista cuvantul " IT " , dar intr-un procent de 40% eu chiar am reusit sa rezolv unele probleme ( personale ) , dar nu prea mai avansez si nu prea imi place . Dar toate au o solutie .

    P.S : Esti o persoana model in IT , chiar daca ai fost arestat pentru unele lucruri care au fost doar in scop informativ si nu ceva serios .

    ReplyDelete
  23. mai e buna chestia asta in prezent ? 2015 ?

    ReplyDelete
    Replies
    1. Paypal si-a schimbat politica in noiembrie...conturile noi sunt limitate foarte usor...cu sume mici cred ca se mai poate.

      Delete
  24. the big picture
    http://www.positivemoney.org/how-money-works/how-banks-create-money/

    ReplyDelete
  25. In primul rand nu prea mai merge sa atasezi vcc la paypal. In al doilea rand cele mai multe conturi de paypal care nu sunt verificate cu buletinul si facturi sunt blocate aleator. Eu am patit-o de mai multe ori sa-mi blocheze contul dupa prima tranzactie. Procesul de chargeback nu stiu daca e chiar asa de simplu pentru ca ei verifica la sange tranzactia si nu cred ca iti elibereaza banii pana ce nu pun sechestru pe contul in cauza. Ca sa faci paypaluri realizezi faptul ca iti trebuie remote-uri(servere ce le accesezi de la distanta) ca daca le faci prin vreun proxy de 2 lei iti vor bloca contul. Remote-urile trebuie sa le cumperi tot printr-un vcc. Vcc-urile la randul lor o sa le cumperi cu paypalul personal, sau cu alt vcc pe care pana la urma tot cu paypalul personal ajungi sa-l cumperi, deci lasi o urma catre tine. La remote-uri te conectezi cu calculatorul personal lasand inca o urma si aici. In momentul in care aplici schema la scara larga o sa fii prins mai mult ca sigur mai ales daca nu ai experienta in a-ti ascunde urmele.

    Plus trebuie sa iei in calcul orice neprevazutul pentru ca de la o zi la alta masurile de securitate se sporesc. Daca paypal ar fi un sistem ineficient/retard ar fi falimentat de mult timp.

    ReplyDelete
    Replies
    1. Dacă ai contul înregistrat pe USA sau UK, verificarea cu un cont bancar sau card de credit se face instant (fără a mai fi necesar codul de pe extrasul de cont).

      Dacă ai o poveste OK, și anume că "îți vinzi singur" (folosindu-te de RDP-uri, Radmin-uri, VNC-uri, etc) un telefon mobil de exemplu (iPhone 5S, în valoare de 500 euro), și care nu a ajuns în 24 de ore de când ai trimis banii, nu văd unde ar fi problema cu chargeback-ul.

      Verificarea contului PayPal (cu buletinul, pașaport, facturi, etc) se face doar atunci când depășești o anumită sumă (rulată - 1500-2000 euro, dacă nu mă înșel).

      VCC-urile, respectiv VBA-urile nu pot fi cumpărate doar cu PayPal-ul. Poți alege cam orice metoda de plată vrei (care să fie "safe").

      Dacă nu știi să îți stergi urmele de pe un RDP de exemplu, nu înseamnă că este o regulă pentru toți ceilalți. Poți foarte ușor să publici datele de conectare pe un forum mare (după ce ți-ai făcut treaba) și atunci va fi o harababură totală în log-uri deoarece vor intra zeci de persoane.

      PayPal nu este ineficient pentru că din asta își procură banii. :)

      Delete
    2. RDP-uri, poti cumpara foarte ieftin de pe market-urile de pe deep web sau le poti crea singur cu ajutorul amazonului. pur si simplu instalezi linux, si pe un vm instalezi un alt sistem de operare. cumperi vpn cu bitcoins, socks tot cu bictoins si ca sa fie treaba si mai sigura, pe sistemul de operare virtual mai cumperi un vpn diferit de primul, ghici cu ce : tot cu bitcoins. Bineinteles, nu mai explic nimic de whonix, sau a trece toata reteaua prin tor, caci nu mai are rost, e clar ca nu esti foarte informat. Si pentru fiecare cont de paypal, ca sa nu te incurci pentru inceput, faci cate un cont cu un username diferit pe laptop-ul/pc-ul tau. documente false scanate gasesti la tot pasul atat pe deep web cat si pe clearnet. si daca esti mai lenes, se gasesc de cumparat si paypal-uri cu tot cu documente. Metoda pe care a explicat-o TinKode e ca un pestisor intr-un ocean imens. Sunt "n" metode care implica paypal-ul si, totusi, paypal-ul e doar o mica, mica parte din frauda online. In fine, ai nevoie de timp, pasiune si cativa banuti pentru inceput si ideea de a te imbogati rapid de pe internet - distrusa complet....

      Delete
  26. Nu Zic ca Metoda e Vechie sau Nu se mai Practica Din Contra Multi Prieteni de-ai mei au Gasit Problema de Securitate in care iti poti Dubla Suma de Transfer Cu cat Vrei Nu stiu daca acest Bug mai Functioneaza

    ReplyDelete
  27. Salut,pot gasi alta metoda cum sa te contactez?Adica nu pe mail....daca ai yahoo mesenger te rog da-mi un reply.

    ReplyDelete
  28. Metoda ta a fost citata intr-un ghid mai complex pe deep web (al lui Moka). Daca vrei, iti trimit ghidul...

    ReplyDelete
  29. metoda e veche .se putea face cu entro ,payo, scanuri si site.

    ReplyDelete
  30. Mai functioneaza metoda?

    ReplyDelete
  31. Tinkode mai functioneaza metoda aceasta?

    ReplyDelete
  32. Salut Răzvan această vulnerabilitate,, nu pot săi zic vulnerabilitatea totul a fost de puțină logică+practică=cauză acum cei de la paypal verifică până și al 3-lea cont am trimis banii din conturile mai multor abonați într-un cont care îl făcusem intermediar iar din contul acela în contul meu real dar problema e o data a funcționat dar după spune ca nu se poate face tranzacția.

    ReplyDelete