Zdravím, na počítači kamaráda jsem měl automaticky přihlášený můj paypal účet. Dnes jsem zjistil, že přes tento paypal účet byly udělané platby ve výší 2,500 korun. Žádnou z těchto plateb jsem neprovedl já, ani dotyčný. Na stránce kinguin.com, si útočník vytvořil účet na spolužákův (kamarádův) školní email, s fiktiním jménem a adresou. (Město se shoduje s městem kde spolužák bydlí). Na tomto účtu udělal nákupy her, které následně zaplatil útočník neoprávněně mým paypal účtem. V emailu spolužáka je pouze "poděkování" za nákup daných her. Nic ohledně vytvoření účtů, aktivaci apod.. Platby jsem nahlásil na paypalu jako neautorizované, nicméně žádost mi byla zamítnuta s tím, že je vše v pořádku. Když se kamarád podíval na vytvořený účet na kinguinu, v přihlašovací aktivitě je záznam v den a čas nákupu, a IP adresa se shoduje s poskytovatelem kamaráda. (Jen jiná IP adresa). Např. kamarád má 85.111.222.3 a přihlášená 85.111.333.3 (Shoduje se tedy poskytovatel a první dvě části IP adresy.) Podle IP lokátoru je přibližná adresa kamarádova a mého bydliště. Můj dotaz je ten, jak je to vůbec možné, jestli nákup mohl udělat kamarád (Měl přístup k paypal účtu) i přesto, že má jeho poslední 2 části IP adresy jsou jiné a jak to případně řešit dále, když paypal stížnost zamítl. Předem děkuji za odpověď.

To jsi mu tam poskytl nejspíše i číslo mobilu? Paypal máš chráněný i mobilem ,na který Ti přijde ověřovací kód , který vypíšeš do formuláře a pak se transakce uskuteční. Můžeš to nahlásit policii , ale z kamaráda počítače dělat nákupy je nesmysl. Lépe řečeno , jsi mu tam musel nechat mobil? Nebo ho máš nabouraný.
Paypal je z obliga.

Spíše jde o to, že na jeho počítači bylo následnně uložené heslo, které pak při přihlášení již kod z telefonu nevyžadovalo.

Heslo na paypal samo o sobě platbu neprovede. Musíš tam vložit kod z mobilu, který Ti paypal zašle , má trvanlivost 10min.. Koukal si se na svůj mobil?

Ano, žádná SMS nepřišla. :) Spíše mě zaráží, jak je možné, kdyby to ten kamarád nebyl. Jak by se stalo to, že by měl podobnou IP, stejného poskytovatele, IP finder ve stejné lokalitě a město ve fakturační adrese jako daný kamarád. (Jak by "někdo zjistil", že komu kradu email, bydlí zrovna v tamtom městě") Je nějaká "pravděpodobnost" že by to mohl být přecijen někdo z "venku"?

Malá , snad jedině že by to kamarád někomu "vyzvonil? Je nesmysl dávat si účet kamarádovi do pC , pak si totiž může ten mobil změnit sám. Uhoď na něj , nebo mu řekni ,že voláš policii.

"Zdravím, na počítači kamaráda jsem měl automaticky přihlášený můj paypal účet"
"Můj dotaz je ten, jak je to vůbec možné,"

Ja se ptam, jak je mozne, ze na cizim PC je ulozene heslo k tvemu Paypal uctu? Staci dat zobrazit hesla
a hned kazdy vidi, jake mas heslo k Paypalu - a muze ho pouzit.

Paypal rozhodl logicky. Priznam se, ze automaticky (!) nalogovany Paypal na cizim (!) PC jsem jeste nevidel.
Je stesti ze bylo odcerpano pouze 2500 Kc. Nebo bylo tech 2500 Kc nahrano primo na Paypalu a platba
nebyla ztrzena z karty? Paypal by mel vyzadovat overeni pres SMS kod pro provedeni transakce.

"mohl udělat kamarád (Měl přístup k paypal účtu)"

Ano - nebo kdokoliv jiny, kdo mel pristup do jeho PC, protoze ulozene prihlasovaci udaje (citelne, v textove podobe).
Stacilo aby si kdokoliv stahl ulozena hesla a prihlasel se do PP. Nicmene dalsi dukazy neodpovidaji dalsi osobe.

"si útočník vytvořil účet na spolužákův (kamarádův) školní email,"

Kdopak mel pristup k emailum z tohoto uctu? Urcite si nejaky cizi podvodnik bude zakladat ucet na skolni email,
kdyby se k tem emailum nemohl dostat. Timto smerem bych se zameril, to je za a> podezrele a b> od podezreleho
ne zrovna chytre a napadne.

Bezpečné používání účtu PayPal dle podminek sluzby:

Ve vlastním zájmu byste měli podniknout přiměřené kroky, abyste zamezili zneužití vašeho účtu PayPal. Při používání
všech svých zařízení, položek, ID, hesel a osobních identifikačních čísel nebo kódů, které slouží pro přístup k účtu PayPal
a službám PayPal, dodržujte dostatečná bezpečnostní a kontrolní opatření. Pokyny naleznete v našem dokumentu hlavní
informace o platbách a službách.

Predpokladam, ze jsi obratem zmenil heslo na Paypalu aby se to nemohlo opakovat?

Dost dobře nechápu, jak se to mohlo stát, protože paypal vyžaduje dvoufaktorové ověření. Tedy nejen účet, ale ještě něco dalšího, nejčastěji kód v sms. Takže útočník musel změnit i telefonní číslo v účtu a po transakci vrátit zpět. Když tazatel tvrdí, že mu žádná sms nedošla...
No a jinak - nechat otevřený paypal účet na cizím počítači - co na to říct? Je to jako nechat otevřené dveře u baráku s cedulkou vezměte si co chcete...

Nevyzaduje ho vzdy.

Na takovou částku ho chce.

Platil jsem opakovane nasobky tehle castky a nechtelo to kod, zvlast kdyz kratce
pred tim probehla nejaka autorizovana platba.

Tech 2500 Kc take neni jedna platba.

Nejpravdepodobnejsi je ze si dotycny precetl v browseru heslo a nakoupil si hry.

Proc by si nejakay cizi utocnik zakladal ucet na skolni email?

"Když se kamarád podíval na vytvořený účet na kinguinu"

Znovu - cizi utocnik nebude pouzivat email obeti k nakupu.

Pokud krátce předtím autorizuješ, tak ne. Když platím do pětistovky, tak občas. Ale pokud třeba měsíc nic nekoupím a pak jdu kolem cca 100 dolarů, tak vždy.
Osobně si myslím, že časem najde u kamaráda ty hry a bude zajímavá odpověď na otázku, kde je vzal.