2016/01/03

Passwords não chegam para manter PayPal em segurança


Perder uma conta de um serviço online é chato, mas a coisa torna-se bem mais grave quando envolve dinheiro. Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim - como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password. De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password. (Rica monitorização para actividade suspeita!)


A conta foi bloqueada pouco tempo depois, mas foi devido ao atacante tentar transferir dinheiro para a conta de um rapaz que tinha ligações ao Estado Islâmico - e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em coisas relacionadas com terrorismo. Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor, ou até remover completamente a password da equação. Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet... e apoderar-se da conta da sua vítima/alvo.


Como se já não bastassem as preocupações com sites que podem guardar as nossas password em "plain text", ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta via o serviço de apoio ao cliente.

22 comentários:

  1. Daí que recentemente tenho recebido propostas de compras de artigos que tenho no OLX, mas propostas de pessoal da austia, ilhas não sei de onde...
    Um queria comprar-me a bicicleta e pagava os portes qd lhe aumentei o preço ele responde que concorda, só me pedia alguns dados do paypal, mail, e pouco mais, nada de passwords, outro queria comprar-me um movel para umas ilhas não sei onde...
    Claro que foram todos corridos com umas palavras feias que aprendi em inglês, e não lhes dei nada.
    A tecnica é enviarem uma SMS a pedir para responder para um endereço de mail.

    ResponderEliminar
  2. Sou utilizador PayPal, no entanto, apenas anexo cartões MbNet à conta e nunca cartões de crédito (até porque não tenho). Além disso, nunca deixo permanecer qualquer montante no saldo da conta PayPal por muito tempo, ou melhor, quando tenho por lá algum valor peço a transferência imediata para a minha conta bancária agregada à conta PayPal.

    Apesar de "ser uma seca", na minha utilização do PayPal, além de utilizar cartões MbNet, faço questão de gerar cartões MbNet apenas com 1 mês de validade e uma utilização e com apenas o montante que vou despender na compra ou compras visadas nesse prazo.

    Para quem usa o PayPal para outros fins (lei-se transacções frequentes e de valor considerável) será certamente mais complicado e preocupante gerir a coisa. Eu cá não usaria PayPal se fosse obrigado a anexar um cartão de crédito ou transferir créditos para o saldo da conta PayPal. Felizmente que permitem o uso de cartões "descartáveis".

    À semelhança do PayPal, também não usaria a minha conta bancária online, neste caso a "Caixa Direta Online", caso esta não exigi-se a matriz impressa para validação de operações, tal como o SMS Token para validação alterações.

    Outros métodos mais simplistas, nomeadamente através de smartphones, ainda não me convenceram... refiro-me a validações via cartão SIM/nº telemóvel.

    ResponderEliminar
  3. Eu acho assustador o paypal em 2016 não ter ainda sequer 2 steps authentication, parece surreal.

    ResponderEliminar
    Respostas
    1. Em contas portuguesas não tem, mas pelo menos nas contas alemãs essa opção existe, ou seja, mesmo com email e password correctos ainda é preciso um PIN, que é enviado por SMS para o número de telemóvel registado, para aceder à conta...

      Eliminar
    2. Em Portugal é possível a autenticação em dois passos. Um por password e o segundo por PIN enviado por SMS.

      Eliminar
  4. Perdi a confiança toda no Paypal um dia destes quando recebi um e-mail com um link falso para o Paypal. Depois de ter clicado nesse link é que vi que era falso. Fiquei assustado e fechei todas as páginas e entrei no Paypal por outro navegador com a intenção de retirar imediatamente o meu cartão de credito. Só que descobri que já não é possível eliminar o cartão de credito nem a conta bancaria. E acho isso um abuso intolerável! Só não eliminei imediatamente a minha conta no Paypal porque preciso dela quando iniciarem as pre vendas do Rift. Mas logo que não precise vou apagar. E decidi abrir uma nova conta cada vez que precisar e apago logo de seguida. Já que não nos deixam tirar o cartão terei que apagar a conta para poder dormir descasado!

    ResponderEliminar
    Respostas
    1. Ver se percebi: clicaste num email spam e culpas o PP...
      Ainda hoje eliminei 2 cartões (vou adicionar 1 amanhã). Claro que nada é 100% seguro, mesmo o PayPal, basta googlar por histórias dessas. Os info-excluidos não têm problemas desses, há que escolher.

      Eliminar
    2. "clicaste num email spam e culpas o PP."
      Onde foi que eu disse isso ??????

      Eu culpo o PP por já por não me deixar apagar o cartão de credito e antigamente conseguia faze-lo!
      Além disso não deves saber do que estás a falar porque cliquei no link do e-mail e abriu-me a página do Paypal só que desconnfiei porque apesar de ser igualzinha pareceu-me que havia algo de estranho. Mas podia não haver eu é que ando sempre de pé atrás com o Paypal e tudo o que mete os meus cartões!

      Eliminar
    3. Problemas de phishing todos os grandes serviços hoje em dia tem, mas não são culpa deles... Relativamente à questão de não conseguir remover cartões de crédito e/ou contas bancárias deverá entrar em contacto com o apoio a cliente, pois eu consigo fazê-lo...

      Eliminar
    4. Problemas de phishing todos os grandes serviços hoje em dia tem, mas não são culpa deles... Relativamente à questão de não conseguir remover cartões de crédito e/ou contas bancárias deverá entrar em contacto com o apoio a cliente, pois eu consigo fazê-lo...

      Eliminar
    5. O Paypal na minha opinião não é confiável porque já tive vários problemas e foi sempre muito difícil conseguir apoio para os resolver. Uma vez recebi um e-mail a dizer que tinha sido efetuado um pagamento que eu não tinha autorizado e entrei em pânico. Quando finalmente consegui ajuda foram investigar e disseram que a culpa era minha porque tinha aceite pagamentos automáticos. E realmente era verdade porque não não reparei nessa opção que devia estar bem disfarçada. Mas erros acontecem e isso não explica porque nessas horas de aflição temos de esperar tanto tempo (mais de 24 horas) para obter ajuda. E devia ser possível reaver o dinheiro porque eu já havia cancelado o serviço... Enfim, fui enganado e o Paypal não fez nada!

      Há uns 2 anos tive um site de torrents e cometi a asneira de incluir um link Paypal para doações e quando eles descobriram limitaram a minha conta e disseram que iriam usar todo o dinheiro da conta para indemnizar todas as identidades prejudicadas por violação de direitos de autor. Isto pode parecer aceitável para algumas pessoas mas pergunto-me como é que o Paypal pode tomar esse tipo de decisões por nós e usar o nosso dinheiro sem autorização ??? E fiquei ainda mais assustado porque também fiquei impedido de tirar o cartão de credito e fiquei sem saber se iriam roubar-me o dinheiro da conta ou não ? O dinheiro que tinha na conta Paypal era a menor das minhas preocupações e o que me preocupava mais era o que tinha no banco. É claro que deviam estar a referir-se só ao dinheiro na conta Paypal mas como é que podemos ter a certeza de alguma coisa quando nos privam de tudo sem mais explicações ??? É claro que liguei imediatamente para o banco e cancelei o meu cartão de credito! Mas agora já sei que não se pode confiar no Paypal nem em nada que envolva o nosso dinheiro!

      Eliminar
  5. Já retirei o meu visa de lá.
    Podem explicar como agrego cartões Mbnet?

    ResponderEliminar
    Respostas
    1. Do mesmo modo que se agregam cartões de crédito.

      Não é necessário confirmar o cartão, até porque cobram 1€/1,5€ (salvo erro).
      Fora isso, vão "cobrar" igualmente 1€, o qual será reposto em poucos dias.

      Mesmo que o utilizador elimine esses cartões à posterior, em caso de devoluções, o montante será restituído para a conta originária desse cartão de débito poucos dias após a devolução constar no PayPal.

      Portanto, o MBnet funciona sem quaisquer restrições.

      Eliminar
    2. Estão a conseguir tirar o cartão ? Como ? Eu não estou a conseguir faze-lo porque já não me aparece essa opção... Não consigo apagar o cartão nem a conta bancária!

      Eliminar
  6. Mas eu tenho duas camadas de proteção. A passw e recebo sms com código para fazer login. Bastou ir ativar ao perfil, definições e ativar chaves de segurança. Pede o telemóvel, e desde então sempre que faço loGin, pela app ou web, recebo sms com 6 dígitos.

    ResponderEliminar
    Respostas
    1. Sim, eu também tenho. Mas o artigo fala na fragilidade do PayPal em dar acesso a quem não tem direito com recurso a dados pessoais. Mas... Supostamente esses dados serviriam para nos ajudar em caso de ser necessário. Eliminar essa opção seria um pesadelo para o fiel dono da conta. A dica de usar cartão virtual é muito boa.

      Eliminar
  7. Nenhum de voces ficou com a conta cancelada por adicionar e remover demasiados cartoes mbnet? Já me aconteceu..

    ResponderEliminar
    Respostas
    1. Já me aconteceu, liguei lá para a irlanda ou lá onde é a sede. Pediram-me um código de suporte que aparecia no site deles, e lá tentei explicar em inglês que usava mbnet e que são cartões temporários etc... Recomendaram-me fazer o "Top Up" para evitar que volte a acontecer de novo (acho que é transferencia ou associar banco). E lá me desbloquearam a conta, paguei prai 5€ e tal de chamada. E até hoje não voltou a bloquear

      Eliminar
  8. Pois, também um amigo meu se queixou que após várias inserções de MbNets cancelaram-lhe a conta... :(

    ResponderEliminar
  9. Há uns anos, depois de remover/inserir vários cartões mbnet no mesmo dia a minha conta foi considerada suspeita e foi bloqueada.
    Entrei em conta com eles expliquei-lhes que usava cartões temporários mbnet (que pelo que me apercebi não fazem ideia do que seja ) e disseram -me que tal não era permitido....

    ResponderEliminar
    Respostas
    1. Eu liguei e disse exatamente o mesmo e recomendaram associar o banco "Top Up" ou lá o qe é (claro qe nao fiz). Mas desbloquearam a conta. Posso ter tido sorte de muitos como tu terem ligado para lá antes de mim :P

      Eliminar
  10. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar