Paigaldamata Paypali viga võib lasta häkkeritel teid ühe klõpsuga röövida

Kui pöörate PayPali maksemugavuse pea peale, piisab ühest klõpsust, mida ründaja teie PayPali konto tühjendamiseks vajab.

Turvateadlane on näidanud, mida ta väidab veel parandamata haavatavus PayPalis mis võib sisuliselt võimaldada ründajatel tühjendada ohvri PayPali kontot pärast seda, kui nad on petnud teda pahatahtlikul lingil klõpsama, mida tehniliselt nimetatakse klõpsamisrünnakuks.

"PayPali Clickjacki haavatavus on ainulaadne selle poolest, et tavaliselt on kliki kaaperdamine esimene samm mõne muu rünnaku käivitamiseks." Brad Hong, vCISO, Horizon3ai, ütles Lifewire'ile meili teel. "Kuid antud juhul annab [rünnak abi] ühe klõpsuga ründaja määratud kohandatud maksesumma."

Klikkide kaaperdamine

Stephanie Benoit-Kurtz, Infosüsteemide ja tehnoloogia kolledži juhtiv teaduskond Phoenixi ülikool, lisas, et klõpsamisrünnakud meelitavad ohvreid tehingu lõpule viima, mis omakorda käivitab hulga erinevaid tegevusi.

"Kliki kaudu installitakse pahavara, halvad osalejad saavad koguda kohalikku masinasse sisselogimisi, paroole ja muid üksusi ning laadida alla lunavara," ütles Benoit-Kurtz Lifewire'ile e-posti teel. "Lisaks tööriistade paigutamisele inimese seadmesse võimaldab see haavatavus ka halbadel osalejatel PayPali kontodelt raha varastada."

Hong võrdles klikkide röövimise rünnakuid uue kooli lähenemisviisiga neile, mida voogesitusveebisaitidel on võimatu sulgeda. Kuid selle asemel, et sulgeda X-i, peidavad nad kogu asja, et jäljendada tavalisi seaduslikke veebisaite.

"Rünnak ajab kasutajad lolliks arvama, et nad klõpsavad ühel asjal, kuigi tegelikult on see midagi täiesti erinevat," selgitas Hong. "Asetades veebilehel klõpsamisala peale läbipaistmatu kihi, suunatakse kasutajad end teadmata kõikjale, mis kuulub ründajale."

Pärast rünnaku tehniliste üksikasjadega tutvumist ütles Hong, et see toimib legitiimse kuritarvitamise teel PayPal token, mis on arvutivõti, mis lubab PayPal Expressi kaudu automaatseid makseviise Kassasse.

Rünnak toimib, asetades peidetud lingi nn iframe'i, mille läbipaistmatuse komplekt on null, seaduslikul saidil oleva seadusliku toote reklaami peale.

"Peidetud kiht suunab teid sellele, mis võib tunduda tõelise tootelehena, kuid selle asemel kontrollib see, kas olete juba PayPali sisse logitud ja kui jah, siis saab see otse [teie] PayPali kontolt raha välja võtta," jagas Hong.

Ta lisas, et ühe klõpsuga raha väljavõtmine on ainulaadne ja sarnased pangapettused hõlmavad tavaliselt mitut klikki, et meelitada ohvreid kinnitama otseülekannet oma panga veebisaidilt.

Liiga palju pingutust?

Chris Goettl, tootehalduse asepresident aadressil Ivanti, ütles, et mugavus on midagi, mida ründajad soovivad alati ära kasutada.

"Ühe klõpsuga maksmine, kasutades sellist teenust nagu PayPal, on mugavusfunktsioon, millega inimesed harjuvad ja mida nad tõenäoliselt ei märka. midagi on kogemuses veidi viltu, kui ründaja esitab pahatahtliku lingi hästi,” ütles Goettl Lifewire'ile. meili.

Et päästa meid selle triki alla sattumast, soovitas Benoit-Kurtz järgida tervet mõistust ja mitte klõpsata linkidel tüüpi hüpikaknad või veebisaidid, mida me konkreetselt ei külastanud, samuti sõnumid ja meilid, mida me ei külastanud algatada.

"Huvitaval kombel teatati sellest haavatavusest 2021. aasta oktoobris ja tänase seisuga on see endiselt tuntud haavatavus," märkis Benoit-Kurtz.

Saatsime PayPalile meili, et küsida nende seisukohti uurija leidude kohta, kuid pole vastust saanud.

Goettl aga selgitas, et kuigi haavatavust ei pruugita ikka veel parandada, ei ole seda lihtne ära kasutada. Et trikk toimiks, peavad ründajad tungima seaduslikule veebisaidile, mis aktsepteerib PayPali kaudu makseid, ja seejärel sisestama pahatahtliku sisu, et inimesed saaksid sellel klõpsata.

"Tõenäoliselt leitakse see lühikese aja jooksul, nii et enne rünnaku avastamist oleks vaja teha suuri jõupingutusi väikese kasu saamiseks," arvas Goettl.