El error de Paypal sin parches podría permitir que los piratas informáticos lo roben con un solo clic

May 25, 2022
EnNoticias Seguridad De Internet

Un investigador de seguridad ha demostrado cómo se puede abusar del mecanismo de pago con un solo clic de PayPal para robar dinero, con un solo clic.
El investigador afirma que la vulnerabilidad se descubrió por primera vez en octubre de 2021 y permanece sin parchear hasta hoy.
Los expertos en seguridad elogian la novedad del ataque, pero siguen siendo escépticos sobre su uso en el mundo real.

Manos de un hacker anónimo que sostiene una tarjeta de crédito sobre una computadora portátil con un código binario que se muestra en la pantalla. — boda boonchai / Getty Images

Dando la vuelta a la conveniencia de pago de PayPal, un clic es todo lo que un atacante necesita para vaciar su cuenta de PayPal.

Un investigador de seguridad ha demostrado lo que afirma que es una vulnerabilidad aún sin parchear en PayPal eso esencialmente podría permitir a los atacantes vaciar la cuenta de PayPal de una víctima después de engañarlos para que hagan clic en un enlace malicioso, en lo que técnicamente se conoce como un ataque de clickjacking.

"La vulnerabilidad de secuestro de clics de PayPal es única en el sentido de que, por lo general, secuestrar un clic es el primer paso para lanzar algún otro ataque".

brad hong, vCISO, horizonte3ai, le dijo a Lifewire por correo electrónico. "Pero en este caso, con un solo clic, [el ataque ayuda] a autorizar un monto de pago personalizado establecido por un atacante".

Secuestro de clics

Stephanie Benoit-Kurtz, profesor principal de la Facultad de Sistemas y Tecnología de la Información de la Universidad de Phoenix, agregó que los ataques de secuestro de clics engañan a las víctimas para que completen una transacción que inicia una serie de actividades diferentes.

"A través del clic, se instala el malware, los malos actores pueden recopilar nombres de usuario, contraseñas y otros elementos en la máquina local y descargar ransomware", dijo Benoit-Kurtz a Lifewire por correo electrónico. "Más allá del depósito de herramientas en el dispositivo del individuo, esta vulnerabilidad también permite que los malos actores roben dinero de las cuentas de PayPal".

Hong comparó los ataques de secuestro de clics con el enfoque de la nueva escuela de esas ventanas emergentes imposibles de cerrar en sitios web de transmisión. Pero en lugar de ocultar la X para cerrar, ocultan todo para emular sitios web normales y legítimos.

"El ataque engaña al usuario haciéndole creer que está haciendo clic en una cosa cuando en realidad es algo completamente diferente", explicó Hong. "Al colocar una capa opaca en la parte superior de un área de clic en una página web, los usuarios se encuentran enrutados a cualquier lugar que sea propiedad de un atacante, sin siquiera saberlo".

Después de examinar los detalles técnicos del ataque, Hong dijo que funciona mediante el uso indebido de un Token de PayPal, que es una clave de computadora que autoriza métodos de pago automático a través de PayPal Express Verificar.

El ataque funciona colocando un enlace oculto dentro de lo que se llama un iframe con su opacidad establecida en cero encima de un anuncio de un producto legítimo en un sitio legítimo.

"La capa oculta lo dirige a lo que podría parecer la página del producto real, pero en lugar de eso, está verificando si ya ha iniciado sesión en PayPal y, de ser así, puede retirar dinero directamente de [su] cuenta de PayPal", compartió Hong.

"El ataque engaña al usuario haciéndole creer que está haciendo clic en una cosa cuando en realidad es algo completamente diferente".

Agregó que el retiro con un solo clic es único, y los fraudes bancarios de secuestro de clics similares generalmente involucran múltiples clics para engañar a las víctimas para que confirmen una transferencia directa desde el sitio web de su banco.

¿Demasiado esfuerzo?

chris goettl, vicepresidente de gestión de productos en Ivanti, dijo que la conveniencia es algo que los atacantes siempre buscan aprovechar.

“El pago con un clic usando un servicio como PayPal es una característica conveniente que la gente se acostumbra a usar y probablemente no lo notará. algo está un poco mal en la experiencia si el atacante presenta bien el enlace malicioso”, dijo Goettl a Lifewire. Email.

Para evitar que caigamos en este truco, Benoit-Kurtz sugirió seguir el sentido común y no hacer clic en los enlaces de ninguna manera. tipo de ventanas emergentes o sitios web a los que no fuimos específicamente, así como en mensajes y correos electrónicos, que no visitamos iniciado.

“Curiosamente, esta vulnerabilidad se informó en octubre de 2021 y, a partir de hoy, sigue siendo una vulnerabilidad conocida”, señaló Benoit-Kurtz.

Vista sobre el hombro de una mujer joven que usa una computadora portátil, inicia sesión en una cuenta bancaria en línea con un dispositivo de seguridad digital — dem10 / Getty Images

Enviamos un correo electrónico a PayPal para solicitar su opinión sobre los hallazgos del investigador, pero no hemos recibido una respuesta.

Goettl, sin embargo, explicó que, aunque es posible que la vulnerabilidad aún no se haya solucionado, no es fácil de explotar. Para que el truco funcione, los atacantes deben ingresar a un sitio web legítimo que acepte pagos a través de PayPal y luego insertar el contenido malicioso para que las personas hagan clic.

"Es probable que esto se encuentre en un corto período de tiempo, por lo que sería un gran esfuerzo para una baja ganancia antes de que se descubra el ataque", opinó Goettl.