Эксперт по кибербезопасности продемонстрировал простоту взлома PayPal

Специалист по кибербезопасности из компании ESET поделился результатами своей операции по взлому учётной записи PayPal путём простого метода «сёрфинг через плечо». Подобный метод представляет собой попытку взлома аккаунта, хозяин которого находится рядом. Расскажем подробнее.

Джейк Мур в качестве жертвы выбрал своего друга и предложил ему поучаствовать в хакерской операции. Дэйв, друг Мура, сидел за столом в компании коллег и был увлечен разговорами, а его телефон лежал на столе и экран был включён. Джейк со своего ноутбука зашёл на сайт платёжной системы, использовал почтовый адрес Дэйва и нажал кнопку «забыли пароль». Методов восстановления у PayPal несколько, но самый распространённый – текстовый, когда код приходит на почту или номер телефона владельца. Мур увидел шестизначный код, который появился на экране, задал новый пароль и стал полноценным владельцем учётной записи с возможностью менять любые параметры, включая адрес электронной почты.

Чтобы закрепить результат эксперт перевёл уже на свой счёт 10 фунтов. Таким образом, случайно увиденный код мог стать причиной кражи всех средств с аккаунта Дэйва.

Получить доступ к учётным записям PayPal можно и другими способами, но пока самыми распространёнными являются методы социальной инженерии. «Серфинг через плечо» на самом деле более пугающий метод, чем может показаться на первый взгляд, ведь количество таких атак растёт.