Neopravená chyba Paypalu by vás mohla okrást hackery jediným kliknutím

Když otočíme pohodlí při placení PayPal na hlavu, útočníkovi stačí jediné kliknutí, aby vyčerpal váš účet PayPal.

Bezpečnostní výzkumník ukázal, co tvrdí dosud neopravená chyba zabezpečení v PayPal to by v podstatě mohlo útočníkům umožnit vyprázdnit účet PayPal oběti poté, co ji oklamali, aby klikli na škodlivý odkaz, což je technicky označované jako útok typu clickjacking.

„Zranitelnost systému PayPal clickjack je jedinečná v tom, že únos kliknutí je obvykle prvním krokem ke spuštění nějakého dalšího útoku,“ Brad Hong, vCISO, Horizon3ai, řekl Lifewire e-mailem. "V tomto případě však [útok pomáhá] jediným kliknutím autorizovat vlastní částku platby nastavenou útočníkem."

Únos kliknutí

Stephanie Benoit-Kurtz, vedoucí fakulty na Vysoké škole informačních systémů a technologií v University of Phoenixdodal, že útoky typu clickjacking přimějí oběti k dokončení transakce, která dále iniciuje řadu různých aktivit.

"Prostřednictvím kliknutí se malware nainstaluje, špatní herci mohou získat přihlašovací jména, hesla a další položky na místním počítači a stáhnout ransomware," řekl Benoit-Kurtz Lifewire e-mailem. "Kromě uložení nástrojů na zařízení jednotlivce tato zranitelnost také umožňuje špatným aktérům krást peníze z účtů PayPal."

Hong přirovnal útoky typu clickjacking k novému školnímu přístupu, kdy nelze zavírat vyskakovací okna na streamovacích webech. Ale místo toho, aby skryli X, aby se uzavřeli, skryjí celou věc, aby napodobili normální, legitimní webové stránky.

"Útok oklame uživatele, aby si myslel, že kliká na jednu věc, i když ve skutečnosti je to něco úplně jiného," vysvětlil Hong. „Umístěním neprůhledné vrstvy na oblast pro kliknutí na webové stránce se uživatelé ocitnou nasměrováni kamkoli, které vlastní útočník, aniž by o tom věděli.“

Po prostudování technických detailů útoku Hong řekl, že to funguje tak, že zneužívá legitimní PayPal token, což je počítačový klíč, který autorizuje automatické platební metody prostřednictvím PayPal Express Překontrolovat.

Útok funguje tak, že umístí skrytý odkaz do toho, čemu se říká iframe s nulovou neprůhledností, nad reklamu na legitimní produkt na legitimním webu.

„Skrytá vrstva vás nasměruje na stránku, která se může zdát jako skutečná produktová stránka, ale místo toho kontroluje, zda již jste přihlášeni do PayPal, a pokud ano, je schopen přímo vybírat peníze z [vašeho] PayPal účtu,“ Hong

Dodal, že výběr jedním kliknutím je jedinečný a podobné podvody v bankách typu clickjacking obvykle zahrnují více kliknutí, aby oběti přiměly potvrdit přímý převod z webových stránek jejich banky.

Příliš mnoho úsilí?

Chris Goettl, viceprezident produktového managementu ve společnosti Ivanti, řekl, že pohodlí je něco, čeho se útočníci vždy snaží využít.

„Platba jedním kliknutím pomocí služby, jako je PayPal, je pohodlná funkce, na kterou si lidé zvyknou a pravděpodobně si jí nevšimnou něco je trochu mimo, pokud útočník dobře prezentuje škodlivý odkaz,“ řekl Goettl Lifewire. e-mailem.

Aby nás tento trik zachránil, Benoit-Kurtz navrhl řídit se zdravým rozumem a neklikat na žádné odkazy typ vyskakovacích oken nebo webových stránek, na které jsme konkrétně nenavštívili, a také ve zprávách a e-mailech, které jsme nenavštívili zahájit.

„Zajímavé je, že tato zranitelnost byla hlášena již v říjnu 2021 a dodnes zůstává známou zranitelností,“ zdůraznil Benoit-Kurtz.

E-mailem jsme zaslali PayPal, abychom se zeptali na jejich názory na zjištění výzkumníka, ale nedostali jsme odpověď.

Goettl však vysvětlil, že ačkoli zranitelnost stále nemusí být opravena, není snadné ji zneužít. Aby tento trik fungoval, musí útočníci proniknout na legitimní web, který přijímá platby přes PayPal, a poté vložit škodlivý obsah, aby na něj lidé klikli.

"To by se pravděpodobně našlo v krátkém časovém období, takže by to byla velká snaha o nízký zisk, než by byl útok pravděpodobně odhalen," míní Goettl.