Korjaamaton Paypal-vika voi antaa hakkereiden ryöstää sinut yhdellä napsautuksella

May 25, 2022
SisäänUutiset Internet Turvallisuus

Tietoturvatutkija on osoittanut, kuinka PayPalin yhden napsautuksen maksumekanismia voidaan käyttää väärin rahan varastamiseksi yhdellä napsautuksella.
Tutkija väittää, että haavoittuvuus löydettiin ensimmäisen kerran lokakuussa 2021, ja se on edelleen korjaamaton.
Turvallisuusasiantuntijat ylistävät hyökkäyksen uutuutta, mutta ovat edelleen skeptisiä sen todellisen käytön suhteen.

Anonyymin hakkerin kädet pitelevät luottokorttia kannettavan tietokoneen päällä ja binaarikoodi näkyy näytöllä. — boonchai wedmakawand / Getty Images

Kääntämällä PayPalin maksumukavuuden päälaelleen, hyökkääjä tarvitsee vain yhden napsautuksen tyhjentääkseen PayPal-tilisi.

Turvallisuustutkija on osoittanut, mitä hän väittää olevan vielä korjaamaton PayPalin haavoittuvuus Tämä voisi käytännössä antaa hyökkääjille mahdollisuuden tyhjentää uhrin PayPal-tili huijattuaan hänet napsauttamaan haitallista linkkiä, mitä teknisesti kutsutaan clickjacking-hyökkäykseksi.

"PayPalin clickjack-haavoittuvuus on ainutlaatuinen siinä mielessä, että tyypillisesti napsautuksen kaappaaminen on ensimmäinen askel johonkin muuhun hyökkäykseen."

Brad Hong, vCISO, Horizon3ai, kertoi Lifewirelle sähköpostitse. "Mutta tässä tapauksessa yhdellä napsautuksella [hyökkäys auttaa] valtuuttamaan hyökkääjän asettaman mukautetun maksusumman."

Napsautusten kaappaaminen

Stephanie Benoit-Kurtz, Tietojärjestelmien ja teknologian korkeakoulun johtava tiedekunta Phoenixin yliopisto, lisäsi, että clickjacking-hyökkäykset huijaavat uhrit suorittamaan tapahtuman, joka käynnistää edelleen monia erilaisia toimintoja.

"Klikkauksen kautta haittaohjelmat asennetaan, pahat toimijat voivat kerätä kirjautumistunnuksia, salasanoja ja muita kohteita paikalliselle koneelle ja ladata kiristysohjelmia", Benoit-Kurtz kertoi Lifewirelle sähköpostitse. "Työkalujen tallettamisen lisäksi henkilön laitteelle tämä haavoittuvuus sallii myös huonojen toimijoiden varastaa rahaa PayPal-tileiltä."

Hong vertasi napsautushyökkäyksiä uuteen koulun lähestymistapaan, jossa ponnahdusikkunoita ei voida sulkea suoratoistosivustoilla. Mutta sen sijaan, että piilottaisivat X: n sulkeakseen, he piilottavat koko asian jäljitelläkseen normaaleja, laillisia verkkosivustoja.

"Hyökkäys huijaa käyttäjää ajattelemaan, että he napsauttavat yhtä asiaa, vaikka todellisuudessa se on jotain aivan muuta", Hong selitti. "Asettamalla läpinäkymättömän kerroksen verkkosivun napsautusalueen päälle, käyttäjät joutuvat reitittämään minne tahansa, jonka hyökkääjä omistaa, tietämättään."

Tutustuttuaan hyökkäyksen tekniset yksityiskohdat Hong sanoi, että se toimii väärinkäyttäen laillista PayPal-tunnus, joka on tietokoneen avain, joka valtuuttaa automaattiset maksutavat PayPal Expressin kautta Tarkista.

Hyökkäys toimii sijoittamalla piilotetun linkin niin kutsuttuun iframe-kehykseen, jonka peittävyys on nolla, laillisen tuotteen mainoksen päälle laillisella sivustolla.

"Piilotettu kerros ohjaa sinut todelliselta tuotesivulta, mutta sen sijaan se tarkistaa, onko olet jo kirjautunut PayPaliin, ja jos näin on, se voi nostaa rahaa suoraan [PayPal-tililtäsi", kertoi. Hong.

"Hyökkäys huijaa käyttäjää ajattelemaan, että he napsauttavat yhtä asiaa, vaikka todellisuudessa se on jotain aivan muuta."

Hän lisäsi, että yhden napsautuksen nosto on ainutlaatuinen, ja samankaltaisiin napsautusten kaappauksiin liittyy yleensä useita napsautuksia, joilla uhrit huijataan vahvistamaan suora siirto pankkinsa verkkosivustolta.

Liikaa vaivaa?

Chris Goettl, tuotehallinnan johtaja osoitteessa Ivanti, sanoi mukavuus on asia, jota hyökkääjät pyrkivät aina hyödyntämään.

"Yhdellä napsautuksella maksaminen PayPalin kaltaisella palvelulla on mukavuusominaisuus, johon ihmiset tottuvat eivätkä todennäköisesti huomaa jotain on hieman pielessä kokemuksessa, jos hyökkääjä esittää haitallisen linkin hyvin", Goettl kertoi Lifewirelle. sähköposti.

Pelastaakseen meidät joutumasta tähän temppuun Benoit-Kurtz ehdotti tervettä järkeä ja olla klikkaamatta linkkejä missään. ponnahdusikkunoita tai verkkosivustoja, joille emme erityisesti käyneet, sekä viesteissä ja sähköposteissa, joita emme käyneet aloittaa.

"Mielenkiintoista kyllä, tästä haavoittuvuudesta ilmoitettiin jo lokakuussa 2021, ja se on edelleen tunnettu haavoittuvuus", Benoit-Kurtz huomautti.

Olkapään yli nuoresta naisesta, joka käyttää kannettavaa tietokonetta ja kirjautuu sisään verkkopankkitilille digitaalisella turvalaitteella — dem10 / Getty Images

Lähetimme PayPalille sähköpostia kysyäksemme heidän näkemyksiään tutkijan tuloksista, mutta emme ole saaneet vastausta.

Goettl kuitenkin selitti, että vaikka haavoittuvuutta ei ehkä vieläkään ole korjattu, sitä ei ole helppo hyödyntää. Jotta temppu toimisi, hyökkääjien on murtauduttava lailliselle verkkosivustolle, joka hyväksyy maksut PayPalin kautta, ja sitten lisättävä haitallinen sisältö ihmisten klikattavaksi.

"Tämä löydettäisiin todennäköisesti lyhyessä ajassa, joten olisi suuri ponnistelu alhaisen voiton saamiseksi ennen kuin hyökkäys todennäköisesti löydettäisiin", Goettl arvioi.