Проблемы с безопасностью, паролями и учетной записью PayPal

466
Royi

У меня странный случай с моей учетной записью PayPal, и я хотел, чтобы сообщество помогло, что можно сделать и как обнаружить дыру в безопасности.

У меня есть частный PayPal, который постоянно подвергался атакам в последнее время.
Когда я говорю «атакованный», я имею в виду, что кто-то пытался и получил к нему доступ.

Теперь, что я не могу понять, так это как.

Факты

  • У меня есть двухфакторная аутентификация (ключ доступа) в моей учетной записи PayPal с помощью телефона.
    А именно, если я хочу войти в систему, мне нужно ввести и мой пароль, и код, полученный на моем телефоне.

  • У меня очень жесткий пароль, уникальный для учетной записи PayPal.

  • На мои секретные вопросы ответили, используя очень длинную строку (не ответ на вопрос, просто другой жесткий пароль, похожий на строку).
  • Пароль и строки запоминаются и нигде не записываются.
  • Из разговоров с командой безопасности PayPal я понимаю человека, который зашел на мою учетную запись, используя пароль (использовал ли он SMS или нет, неизвестно или, по крайней мере, мне не звонят).
  • У меня на Windows 10 никакого подозрительного поведения не видно, что так когда либо.
  • Никакой подозрительной активности не было видно на моей электронной почте или любом другом сайте, на который я захожу.

Первое, о чем я думаю, это кто-то, регистрирует ключи на моем компьютере.
Или любой вид MaleWare.

Действия выполнены

  • Я пробовал любые вредоносные программы и антивирус там. Включая диски безопасности и руткиты (хотя не стесняйтесь, дайте мне больше возможностей попробовать). Я пробовал Kaspersky, Avira, MalewareBytes, ClamWin, Microsoft Defender и BitDefender.
  • Я сменил пароли и секретные вопросы.

Тем не менее, вчера ему снова удалось получить доступ к моей учетной записи PayPal.

Надо сказать, что PayPal был, как правило, великолепен и все восстановлено.
И все же я хочу остановить это, как это происходит раз в неделю в течение нескольких последних недель.

Какие есть другие варианты, чтобы найти дыру в безопасности?

У меня нет проблем с форматированием моего компьютера, мне просто нужно понять, что может гарантировать, что он не вернется (вот почему я думаю, что должен выяснить, как это делается до этого)?

Какие-нибудь специальные уловки, чтобы действительно понять, что происходит?

Благодарю вас.

1
Если у вас включен 2FA, как они могут получить доступ к вашей учетной записи без вашего телефона? Это вопрос, который я хотел бы задать PayPal. Это именно то, что 2FA предназначен для предотвращения. Julian Knight 7 лет назад 0
Известно, что PayPal отвечает на вызовы для сброса пароля, просто вызывая их и отвечая на информацию, которую можно найти на полуприватных сайтах о вас. IRS также сделал это, когда они настаивали на использовании PIN-кода, который был отправлен только вам по почте. К сожалению, любой может позвонить в IRS, ответить на некоторые предположительно «секретные» вопросы, и они сбросят ваш PIN-код. Убедитесь, что Paypal не сбрасывал ваш PW кем-то другим, просто позвонив в службу поддержки (что, я полагаю, они уже делают с вами сегодня). Откуда они знают и гарантируют, что это ты? DaaBoss 7 лет назад 0
@JulianKnight, Это хороший вопрос, на который, как написано выше, я задал вопрос и не отвечу. Благодарю вас. Royi 7 лет назад 0
@DaaBoss, я не думаю, что они видели какие-либо признаки того, что сброс пароля был сделан через телефон. У вас есть еще мысли об этом? Любая идея, как найти дыру в безопасности здесь? Благодарю вас. Royi 7 лет назад 0
2FA не только защищает сброс пароля, но и защищает платежи. Если он включен, никто, кроме человека с телефоном, не сможет сделать что-нибудь полезное в учетной записи. Убедитесь, что ваш телефон является единственным токеном, разрешенным для учетной записи на данный момент. Julian Knight 7 лет назад 0
@JulianKnight, Если вы можете сбросить пароль, доступ к учетной записи, вы можете легко изменить номер телефона для 2FA (или отключить его). Поэтому, если сброс пароля не защищен, ничто не защищено. Royi 7 лет назад 0
@Royi, я могу найти статью, я думаю, Krebs Security, которая рассказала, что 2FA не сделал ничего, чтобы защитить пользователя (я думаю, что это был сам Кребс), потому что плохие парни звонили в Paypal на стационарном телефоне и делали вид, что он и PayPal COMPANY сбросил свой PW вручную. «Ему удалось войти», не сказал, был ли PW изменен плохими парнями или нет. Но я имел в виду пользователя, который неоднократно сбрасывал свой PW. Он позвонит, и они скажут ему, что он только что позвонил, чтобы изменить это в тот день! : (( DaaBoss 7 лет назад 0
@Royi, этому исследователю безопасности Кребсу не пришло в голову, что именно Paypal сбросил настройки своего PW с помощью социальной инженерии и плохой практики безопасности Paypal. Затем статья обратилась к нескольким компаниям, включая IRS и PayPal, с просьбой запретить и прекратить практику использования довольно простой для получения информации для устной аутентификации на телефоне и позволить кому-либо из техподдержки вручную отменить каждую меру безопасности, которую вы используете. упоминается. Когда и кто сбросил ваш PW, или он не был сброшен? Я предположил, что вы, по крайней мере, сбросили его. DaaBoss 7 лет назад 1
Хороший улов. У меня были проблемы с безопасностью PayPal в прошлом, но не в последнее время. @ Ройи, сброс пароля ДОЛЖЕН быть защищен, я говорил, что это НЕ ТОЛЬКО защищенная защита. Julian Knight 7 лет назад 0
@DaaBoss, у меня до сих пор нет четкой картины, как другой парень получил доступ. Был ли это сброс пароля (я полагаю, даже сброс пароля не выключит 2FA, но я не уверен). Однако в моем случае он изменил все, что мог, пароль, секретные вопросы, электронные письма и т. Д. Royi 7 лет назад 0
В любом случае, вопрос, как я могу убедиться, что у меня нет слабых мест на моей стороне? Royi 7 лет назад 0
@ Ройи - Вы не должны делать это требование. Очень умные люди в секторе безопасности были взломаны, если они могут совершить ошибку, которая приводит к утечке их информации, вы могли бы также ошибиться. Лучший способ остановить атаку социальной инженерии - это изменить адрес электронной почты, связанный с учетной записью. Вы должны удалить старый адрес электронной почты из списка псевдонимов имен пользователей, конечно. Идея этого шага состоит в том, чтобы социальная атака не смогла предоставить информацию, которую они уже знают, ваше имя пользователя. Ramhound 7 лет назад 0
@Ramhound, парень уже видел 3 моих электронных письма, связанных с учетной записью PayPal. Вы предлагаете удалить их все? У меня даже нет учетной записи Facebook :-). Royi 7 лет назад 0
Откуда ты это знаешь? Ramhound 7 лет назад 0
Потому что они были записаны в учетной записи PayPal, и он имел полный доступ к учетной записи. Royi 7 лет назад 0

1 ответ на вопрос

1
DaaBoss

Я твердо верю, что ваш взломанный аккаунт был строго социальной инженерией и вовсе не был техническим провалом. Вы уже посвятили себя принятию чрезвычайно хороших процедур и практик безопасности. Конкретный провал в наших учреждениях, которые обычно на 10-20 лет отстают от плохих парней. Они просто не могут понять, как защитить нас, быстро адаптируя новые процедуры к новым рискам. Решение вашей проблемы может потребовать от всех нас настойчивых изменений в PayPal и других учреждениях.

В случае PayPal Кребс подробно описывает, как его аккаунт PayPal неоднократно подвергался взлому, несмотря на то, что он был экспертом в области безопасности и уже использовал двухфакторную аутентификацию. Его история должна предупредить всех нас о существенных опасностях, которые существуют в настоящее время, чтобы мы могли начать снижать некоторые риски.

Реальность 2016: ленивая аутентификация по-прежнему норма, Брайан Кребс

Ваш хак, скорее всего, был результатом практики Paypal по использованию СТАТИЧЕСКОЙ информации, которую якобы трудно получить. Это определенно было то, как Кребса неоднократно взламывали. После устного ответа на эти вопросы, несмотря на наличие «заблокированной учетной записи», PAYPAL ПЕРЕДАЛИ ДОСТУП К ШАБЛОНАМ К КРЕБУ. Кребс уже использовал 2FA, и это не помогло ему. Также обратите внимание, что Кребсу, будучи экспертом по безопасности, было гораздо проще получить помощь от руководства PayPal, но это все равно не помогло.

Почти так же тревожно то, что фотографии «официальных документов» используются для процедур KYC, как часть юридической проверки многих организаций. Они легко и недорого подделываются. Доступны услуги, которые предоставят вам мошеннические документы за небольшую плату, в любое время, когда вы захотите «доказать», что вы тот, кем вы не являетесь.

Прочитайте всю эту статью, и я думаю, вы увидите, что мы все должны начать обучать и заставлять наши учреждения полностью пересматривать наши процедуры и практики безопасности, а затем применять технологии, которые действительно работают сегодня.

Но то, что работает сегодня, может не сработать в следующем месяце, и эти процедуры и технологии необходимо будет часто и быстро менять, чтобы адаптироваться к новым угрозам.

Проблема в том, что сами наши институты специально созданы для того, чтобы они никогда не могли быстро адаптироваться к любым изменениям. Этот аспект должен измениться, прежде чем мы сможем ожидать их быстрой адаптации. Чем крупнее институт, тем сложнее изменить какую-либо процедуру, какой бы глупой она ни была.

Примером попыток нескольких учреждений решить проблему безопасности являются номера социального страхования. Предоставление плохим парням легкого доступа к этим SS #, а затем поддержка систем, использующих эту технологию 1950-х годов для защиты вашей учетной записи, была известной проблемой на протяжении десятилетий. В 2006 году было предписано удалить все SS # с карт Medicaid, и я считаю, что карты Medicare также. Агентства не только еще не удалили номера, текущий план планируется завершить к 2027 году. Нет, это не было опечаткой - ДВАДЦАТЬ ОДИН ГОД, чтобы удалить видимый SS # с этих карт! Конечно, к тому времени, точка, вероятно, будет спорной. Без капитального ремонта этих организаций никакие технологии не защитят нас.

Понимание достаточной безопасности, чтобы оставаться в безопасности, становится все труднее даже для экспертов. Это требует нашей постоянной корректировки, обучения и принятия наших собственных процедур, которые экономичны во времени, разочаровании и денежных затратах.

Я считаю, что это социальное решение - единственное решение его проблемы, даже если оно не техническое. Обычно это не место для любого решения, которое не является признанным технологическим решением, основанным на фактах. Но есть некоторые аспекты нашей технологии, которые объединяются с политиками и процедурами, которые также должны измениться, иначе мы никогда не решим многие из новых проблем безопасности. Безопасность требует применения технологий с политиками и процедурами. Без всех трех нет безопасности.

Я прочитал статью. Отличное чтение. Я вижу слабые стороны PayPal, но как мне убедиться, что я ничего не пропускаю. Что я могу сделать на моей стороне? Благодарю вас! Royi 7 лет назад 0
Просто начните работать с PayPal и, во-первых, узнайте, как вы, или могут быть атакованы. Затем посмотрите, есть ли способ заставить их измениться, чтобы вас не атаковали, а затем попытайтесь повлиять на них, чтобы они изменились для всех. Наконец, сообщайте и здесь, и на Krebs, какие изменения они внесли и как мы все можем защитить себя хотя бы с помощью PayPal. DaaBoss 7 лет назад 0

Похожие вопросы