अनपेक्षित पेपैल बग हैकर्स को एक क्लिक के साथ आपको लूटने दे सकता है

May 25, 2022
मेंसमाचार इंटरनेट सुरक्षा

एक सुरक्षा शोधकर्ता ने दिखाया है कि कैसे एक क्लिक के साथ पैसे चुराने के लिए पेपाल के एक-क्लिक भुगतान तंत्र का दुरुपयोग किया जा सकता है।
शोधकर्ता का दावा है कि भेद्यता पहली बार अक्टूबर 2021 में खोजी गई थी और आज तक बरकरार है।
सुरक्षा विशेषज्ञ हमले की नवीनता की सराहना करते हैं लेकिन वास्तविक दुनिया में इसके उपयोग को लेकर संशय में रहते हैं।

स्क्रीन पर प्रदर्शित बाइनरी कोड के साथ एक लैपटॉप पर क्रेडिट कार्ड रखने वाले एक अनाम हैकर के हाथ। — बूनचाई वेदमाकावंद / गेट्टी छवियां

पेपाल की भुगतान सुविधा को अपने सिर पर मोड़ते हुए, एक क्लिक वह सब है जो एक हमलावर को आपके पेपाल खाते को खत्म करने की आवश्यकता होती है।

एक सुरक्षा शोधकर्ता ने दिखाया है कि वह क्या दावा करता है पेपैल में अभी तक अप्रकाशित भेद्यता जो अनिवार्य रूप से हमलावरों को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए धोखा देने के बाद पीड़ित के पेपैल खाते को खाली करने की अनुमति दे सकता है, जिसे तकनीकी रूप से क्लिकजैकिंग हमले के रूप में जाना जाता है।

"पेपैल क्लिकजैक भेद्यता इस मायने में अद्वितीय है कि आम तौर पर एक क्लिक को हाईजैक करना किसी अन्य हमले को शुरू करने के साधन के लिए एक कदम है," ब्रैड होंग, वीसीआईएसओ, क्षितिज3aiने लाइफवायर को ईमेल पर बताया। "लेकिन इस उदाहरण में, एक क्लिक के साथ, [हमला मदद करता है] एक हमलावर द्वारा निर्धारित कस्टम भुगतान राशि को अधिकृत करता है।"

अपहरण क्लिक

स्टेफ़नी बेनोइट-कर्ट्ज़, सूचना प्रणाली और प्रौद्योगिकी कॉलेज के लिए लीड फैकल्टी, फीनिक्स विश्वविद्यालय, ने कहा कि क्लिकजैकिंग हमले पीड़ितों को एक लेनदेन पूरा करने के लिए प्रेरित करते हैं जो आगे विभिन्न गतिविधियों की मेजबानी करता है।

बेनोइट-कर्ट्ज़ ने ईमेल पर लाइफवायर को बताया, "क्लिक के माध्यम से, मैलवेयर इंस्टॉल हो जाता है, खराब अभिनेता स्थानीय मशीन पर लॉगिन, पासवर्ड और अन्य वस्तुओं को इकट्ठा कर सकते हैं और रैंसमवेयर डाउनलोड कर सकते हैं।" "व्यक्ति के डिवाइस पर उपकरण जमा करने के अलावा, यह भेद्यता खराब अभिनेताओं को पेपाल खातों से पैसे चोरी करने की भी अनुमति देती है।"

हांग ने क्लिकजैकिंग हमलों की तुलना स्ट्रीमिंग वेबसाइटों पर पॉपअप को बंद करने के असंभव लोगों के नए स्कूल दृष्टिकोण से की। लेकिन एक्स को बंद करने के लिए छिपाने के बजाय, वे सामान्य, वैध वेबसाइटों का अनुकरण करने के लिए पूरी बात छुपाते हैं।

"हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जब वास्तव में यह कुछ पूरी तरह से अलग है," हांग ने समझाया। "एक वेबपेज पर एक क्लिक क्षेत्र के ऊपर एक अपारदर्शी परत रखकर, उपयोगकर्ता खुद को कहीं भी ले जाते हैं, जो किसी हमलावर के स्वामित्व में है, बिना कभी जाने।"

हमले के तकनीकी विवरण के माध्यम से देखने के बाद, हांग ने कहा कि यह वैध का दुरुपयोग करके काम करता है पेपैल टोकन, जो एक कंप्यूटर कुंजी है जो पेपैल एक्सप्रेस के माध्यम से स्वचालित भुगतान विधियों को अधिकृत करता है चेक आउट।

हमला एक वैध साइट पर एक वैध उत्पाद के लिए एक विज्ञापन के शीर्ष पर शून्य के अस्पष्टता सेट के साथ एक आईफ्रेम कहलाता है, के अंदर एक छुपा लिंक रखकर काम करता है।

"छिपी हुई परत आपको वास्तविक उत्पाद पृष्ठ की तरह लग सकती है, लेकिन इसके बजाय, यह देखने के लिए जांच कर रही है कि क्या आप पहले से ही पेपैल में लॉग इन हैं, और यदि ऐसा है, तो यह [आपके] पेपैल खाते से सीधे पैसे निकालने में सक्षम है," साझा किया गया हांग।

"हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जबकि वास्तव में यह कुछ अलग है।"

उन्होंने कहा कि एक-क्लिक निकासी अद्वितीय है, और इसी तरह की क्लिकजैकिंग बैंक धोखाधड़ी में आमतौर पर पीड़ितों को उनके बैंक की वेबसाइट से सीधे हस्तांतरण की पुष्टि करने के लिए कई क्लिक शामिल होते हैं।

अत्यधिक प्रयास?

क्रिस गोएट्ल, उत्पाद प्रबंधन के उपाध्यक्ष इवान्तिकने कहा कि सुविधा एक ऐसी चीज है जिसका हमलावर हमेशा फायदा उठाना चाहते हैं।

"पेपैल जैसी सेवा का उपयोग करके एक-क्लिक भुगतान एक सुविधा सुविधा है जिसे लोग उपयोग करने के लिए उपयोग करते हैं और संभवतः नोटिस नहीं करेंगे" यदि हमलावर दुर्भावनापूर्ण लिंक को अच्छी तरह से प्रस्तुत करता है, तो अनुभव में कुछ कमी है," गोएटल ने लाइफवायर को बताया ईमेल।

हमें इस तरकीब में पड़ने से बचाने के लिए, बेनोइट-कर्ट्ज़ ने सामान्य ज्ञान का पालन करने और किसी भी लिंक पर क्लिक न करने का सुझाव दिया पॉपअप या वेबसाइटों के प्रकार जिन पर हम विशेष रूप से नहीं गए, साथ ही संदेशों और ईमेल में, जो हमने नहीं किए आरंभ करना।

"दिलचस्प बात यह है कि इस भेद्यता को अक्टूबर 2021 में वापस रिपोर्ट किया गया था और आज तक, एक ज्ञात भेद्यता बनी हुई है," बेनोइट-कर्टज़ ने बताया।

लैपटॉप का उपयोग करने वाली युवती के कंधे से कंधा मिलाकर, डिजिटल सुरक्षा उपकरण के साथ ऑनलाइन बैंकिंग खाते में लॉग इन करना — dem10 / गेट्टी छवियां

हमने पेपैल को शोधकर्ता के निष्कर्षों पर उनके विचार पूछने के लिए ईमेल किया लेकिन हमें कोई प्रतिक्रिया नहीं मिली।

हालांकि, गोएटल ने समझाया कि हालांकि भेद्यता को अभी भी ठीक नहीं किया जा सकता है, लेकिन इसका फायदा उठाना आसान नहीं है। काम करने की चाल के लिए, हमलावरों को एक वैध वेबसाइट में सेंध लगाने की आवश्यकता होती है जो पेपाल के माध्यम से भुगतान स्वीकार करती है और फिर लोगों को क्लिक करने के लिए दुर्भावनापूर्ण सामग्री सम्मिलित करती है।

गोएटल ने कहा, "यह संभवत: थोड़े समय में मिल जाएगा, इसलिए हमले की संभावना से पहले कम लाभ के लिए यह एक उच्च प्रयास होगा।"