يمتلك الكثيرون منا حساب PayPal لإجراء معاملات سهلة عبر الإنترنت ، لكن معظمنا ليس لديه رصيد في حساب PayPal الخاص بنا. ولكن ماذا سيحدث إذا تضاعفت أموالك ، أو ثلاثة أضعاف ... أو حتى طيات أكثر في بضع ساعات فقط؟ أصوات نعتز!
هناك ثغرة في خدمة الدفع الرقمي الشهيرة وتحويل الأموال ، وتتيح خدمة PayPal لمستخدميها مضاعفة الأموال في حسابهم وتلك التي لا نهاية لها. هذا يعني أنه مع 50 دولارًا فقط في حساب PayPal الخاص بك ، يمكنك أن تصل إلى 100 دولار ، ثم 100 دولار إلى 200 دولار مباشرةً وما إلى ذلك.
شركة مملوكة لشركة eBay ، توفر PayPal طريقة أسرع وأكثر أمانًا للدفع والحصول على أموال. تمنح الخدمة الناس طرق أبسط لإرسال الأموال دون مشاركة المعلومات المالية ، مع أكثر من 148 مليون حساب نشط في 26 عملة وعبر 193 سوقًا ، وبالتالي معالجة أكثر من 9 ملايين دفعة يومية.
وفقا ل TinKode الملقب Razvan Cernaianu ، الذي ادعى أنه قد وجد هذه الثغرة في خدمة PayPal التي تقع بالفعل في عملية رد المبالغ المدفوعة التي يمكن استغلالها للقيام بالغش مع PayPal.
Tinkode هو أحد القراصنة الرومان السابقين المدانين ، الذي تم اعتقاله في عام 2012 لمهاجمة ناسا وأوراكل والبنتاغون والجيش الأمريكي والعديد من المواقع الإلكترونية البارزة ، وفي ذلك الوقت أُمر بدفع تعويضات يصل مجموعها إلى أكثر من 120،000 دولار أمريكي.
" يحدث رد المبالغ المدفوعة ، والمعروف أيضًا باسم الانعكاس" ، عندما يطلب المشتري من شركة بطاقات ائتمان لعكس معاملة تم تطهيرها بالفعل"ويمكن القيام بذلك عند سرقة رقم بطاقة الائتمان الخاصة بالمشتري واستخدامه بطريقة احتيالية أو إذا حاول البائع الاحتيال.
لاحظ الخلل أثناء إجراء معاملة باستخدام PayPal مع شخص في عام 2010 ، والذي كان يحاول خداعه بأمواله باستخدام نفس عملية رد المبالغ المدفوعة. لتجنب دفع الرسوم ، يقوم بتحويل كل أمواله من حسابه المؤقت إلى حسابه الآخر ، حساب PayPal الحقيقي. ولكن عندما تحقق بعد شهر ، لاحظ أن رصيد حسابه كان سالبًا أي 50 دولارًا.
بالضبط هذه الخدعة التي أظهرها لفريق أمان PayPal ، والذي يسمح لأي شخص بمضاعفة مبلغه إلى ما لا نهاية. في إثبات شرح المفهوم ، قام بتفصيل ذلك من خلال إجراء ثلاثة حسابات PayPal منفصلة مع حسابين حقيقيين واثنين آخرين تم التحقق منها باستخدام بطاقة الائتمان الافتراضية (VCC) والحساب البنكي الافتراضي (VBA).
سيناريو POC:
"So for example, you have 500$ on your account. You transfer the money to the second account with the pretext of buying a phone. From the second account you again transfer the money to the third account as a gift. After 24 hours, use the charge-back function from the first account (the real one) to get the money back, with the excuse that the phone did not arrive on time. PayPal will initiate a process where both sides bring evidence for their defense. Obviously you will only send evidence from the first account showing that you were scammed. At the end of the trial the money will be restored to the primary account and the second account will have a negative balance of -500$. This way, you doubled the initial amount of money because you still have 500$ in the third account. As the second account is only a virtual one, it will not have real money from which PayPal can extract. Therefore you are left with 500$ restored by PayPal, and 500$ in your third account."
أبلغ TinKode بالفعل عن خلل في فريق PayPal Security من أجل فضل الأخطاء واعترفوا به على أنه خطأ في شروط الخدمة (ToS) ، ولكن ليس كضعف في تطبيقات الويب. "في حين أن إساءة الاستخدام الموصوفة هنا ممكنة في نظامنا ، يتم التعامل مع السلوك المسيء المتكرر من قبل نفسه و / أو الحساب / الحسابات المرتبطة ". أجاب باي بال.
TinKode ليست مؤهلة للحصول على مكافأة علة ، ولكن نشكره على فضح هذه التقنية الاحتيال التي يمكن استخدامها بالفعل من قبل بعض المجرمين لتوليد الأموال بشكل غير قانوني. يمكن لأي شخص لديه القليل من المعرفة التقنية إعادة إنتاج هذه الخدعة ، ولكن يُنصح القراء بعدم محاولة استخدام هذه الخدعة لأن PayPal يمكنه حظر حسابك بشكل دائم.