閉じる
メニュー

パッチが適用されていないPaypalのバグにより、ハッカーはシングルクリックであなたを奪う可能性があります

  • セキュリティ研究者は、PayPalのワンクリック支払いメカニズムを悪用して、シングルクリックでお金を盗む方法を示しました。
  • 研究者は、脆弱性が最初に発見されたのは2021年10月であり、今日までパッチが適用されていないと主張しています。
  • セキュリティの専門家は攻撃の目新しさを称賛しますが、実際の使用には懐疑的です。
画面にバイナリコードが表示されたラップトップ上にクレジットカードを持っている匿名のハッカーの手。

boonchaiwedmakawand/ゲッティイメージズ

PayPalの支払いの利便性を頭に入れて、攻撃者がPayPalアカウントを使い果たすために必要なのはワンクリックだけです。

セキュリティ研究者は、彼が主張していることを実証しました PayPalのまだパッチが適用されていない脆弱性 これにより、攻撃者は、攻撃者をだまして悪意のあるリンクをクリックさせた後、被害者のPayPalアカウントを空にすることができます。これは、技術的にはクリックジャッキング攻撃と呼ばれます。

「PayPalのクリックジャックの脆弱性は、通常、クリックのハイジャックが他の攻撃を開始する手段への第一歩であるという点で独特です。」 ブラッドホン、vCISO、 Horizo​​n3ai、Lifewireにメールで伝えた。 「しかし、この場合、シングルクリックで、[攻撃は]攻撃者によって設定されたカスタム支払い額を承認します。」

クリックのハイジャック

ステファニー・ブノワ-クルツ、情報システム技術学部の主任教員 フェニックス大学、クリックジャッキング攻撃は被害者をだまして、さまざまな活動のホストをさらに開始するトランザクションを完了するように仕向けると付け加えました。

「クリックするだけでマルウェアがインストールされ、悪意のある人物がローカルマシンにログイン、パスワード、その他のアイテムを収集してランサムウェアをダウンロードする可能性があります」とBenoit-Kurtzは電子メールでLifewireに語った。 「個人のデバイスにツールが蓄積されるだけでなく、この脆弱性により、悪意のある人物がPayPalアカウントからお金を盗むことも可能になります。」

Hongは、クリックジャッキング攻撃を、ストリーミングWebサイトのポップアップを閉じることが不可能な新しい学校のアプローチと比較しました。 ただし、Xを非表示にして閉じるのではなく、すべてを非表示にして、通常の正当なWebサイトをエミュレートします。

「この攻撃は、実際にはまったく異なるものであるのに、ユーザーが1つのものをクリックしていると思わせるように仕向けます」とHong氏は説明します。 「Webページのクリック領域の上に不透明なレイヤーを配置することで、ユーザーは、知らないうちに、攻撃者が所有する場所に自分自身がルーティングされていることに気付きます。」

攻撃の技術的な詳細を熟読した後、ホン氏は、正当なものを誤用することで機能すると述べた PayPalトークン。PayPalExpressを介した自動支払い方法を承認するコンピューターキーです。 チェックアウト。

攻撃は、合法的なサイトの合法的な製品の広告の上に、不透明度がゼロに設定されたiframeと呼ばれるものの中に隠しリンクを配置することによって機能します。

「隠しレイヤーは、実際の製品ページのように見えるものに移動しますが、代わりに、 あなたはすでにPayPalにログインしており、ログインしている場合は、[あなたの]PayPalアカウントから直接お金を引き出すことができます。」 ホン。

「この攻撃は、実際にはまったく異なるものであるにもかかわらず、ユーザーをだまして1つのものをクリックしていると思い込ませます。」

彼は、ワンクリックの引き出しは独特であり、同様のクリックジャッキング銀行詐欺は通常、被害者をだまして銀行のWebサイトからの直接送金を確認させるために複数回クリックすることを伴うと付け加えました。

努力が多すぎますか?

クリス・ゲトル、製品管理担当副社長 Ivanti、利便性は攻撃者が常に利用しようとしているものであると述べました。

「PayPalのようなサービスを使用したワンクリック支払いは、人々が使い慣れており、気付かない可能性が高い便利な機能です。 攻撃者が悪意のあるリンクを上手く提示した場合、エクスペリエンスが少しずれます」とGoettlはLifewireに語りました。 Eメール。

このトリックに陥るのを防ぐために、Benoit-Kurtzは常識に従い、リンクをクリックしないことを提案しました。 特にアクセスしなかったポップアップやウェブサイトの種類、メッセージ、メールなど、アクセスしなかったもの 開始する。

「興味深いことに、この脆弱性は2021年10月に報告され、現在でも既知の脆弱性です」とBenoit-Kurtz氏は指摘しました。

ラップトップを使用して、デジタルセキュリティデバイスでオンラインバンキングアカウントにログインしている若い女性の肩越しのビュー

dem10/ゲッティイメージズ

PayPalにメールを送信して、研究者の調査結果についての意見を求めましたが、返信がありません。

ただし、Goettlは、この脆弱性はまだ修正されていない可能性があるものの、悪用するのは簡単ではないと説明しました。 トリックを機能させるには、攻撃者はPayPalを介した支払いを受け入れる正規のWebサイトに侵入し、悪意のあるコンテンツを挿入して人々がクリックできるようにする必要があります。

「これは短期間で発見される可能性が高いので、攻撃が発見される可能性が高い前に、低ゲインのための多大な努力になるでしょう」とGoettlは意見を述べました。