ИБ-эксперт продемонстрировал, как легко можно взломать учетную запись в PayPal

Специалист использовал простой метод «серфинга через плечо».

ИБ-эксперт продемонстрировал, как легко можно взломать учетную запись в PayPal

Специалист из компании ESET Джейк Мур (Jake Moore) рассказал , как с помощью простого метода «серфинга через плечо» (shoulder surfing) можно скомпрометировать учетную запись пользователя PayPal.
Мур выбрал в качестве жертвы своего друга Дэйва, который согласился сыграть ключевую роль в небольшой хакерской операции. Находясь в ресторане, мужчина положил свой телефон на стол и болтал за столом. Мур взял с собой свой ноутбук, открыл web-сайт PayPal и перешел на страницу забытого пароля.
Эксперт знал персональный адрес электронной почты Дейва и предположил, что он также использует его для PayPal. PayPal как правило запрашивает отправку «быстрой проверки безопасности» различными способами. Это могло быть через текст, электронное письмо, телефонный звонок, приложение для проверки подлинности и даже WhatsApp. Пока Дейв разговаривал с коллегами, Мур выбрал текстовый вариант аутентификации и нажал «Далее», после чего на телефон сразу же был отправлен шестизначный код.
Дейв не отключил предварительный просмотр сообщений на экране блокировки своего телефона, и специалист легко просмотрел код и ввел его в поле подтверждения на web web-сайте. Мур перехватил контроль над учетной записью и выбрал новый пароль.
ИБ-эксперт мог просмотреть панель инструментов PayPal Дэйва и все банковские карты, связанные с его учетной записью, а также изменить адрес электронной почты.
С целью завершить свою кибератаку, Мур нажал «отправить деньги» и перечислил на свой счет 10 фунтов стерлингов. По словам эксперта, он мог отправить десятки тысяч долларов на любой счет PayPal в мире, просто увидев код на чьем-то телефоне.
«Серфинг через плечо» — метод социальной инженерии, используемый для получения информации, такой как личные идентификационные номера, пароли и другие конфиденциальные данные, путем просмотра через плечо жертвы.

SECURITYLAB.RU

Источник