패치되지 않은 페이팔 버그로 해커가 한 번의 클릭으로 사용자를 강탈할 수 있음

May 25, 2022
에뉴스 인터넷 보안

한 보안 연구원이 PayPal의 원클릭 지불 메커니즘을 악용하여 클릭 한 번으로 돈을 훔치는 방법을 보여주었습니다.
연구원은 취약점이 2021년 10월에 처음 발견되었으며 현재까지 패치되지 않은 상태라고 주장합니다.
보안 전문가들은 공격의 참신함을 높이 평가하지만 실제 사용에 대해서는 여전히 회의적입니다.

화면에 바이너리 코드가 표시된 노트북 위에 신용 카드를 들고 있는 익명의 해커의 손. — 분차이 wedmakawand / 게티 이미지

PayPal의 결제 편의성을 최우선으로 생각하면 공격자가 PayPal 계정을 고갈시키는 데 필요한 것은 클릭 한 번이면 됩니다.

보안 연구원은 자신이 주장하는 바를 입증했습니다. PayPal의 아직 패치되지 않은 취약점 이는 본질적으로 공격자가 악성 링크를 클릭하도록 속인 후 피해자의 PayPal 계정을 비울 수 있도록 하며, 이를 기술적으로 클릭재킹 공격이라고 합니다.

"PayPal 클릭재킹 취약점은 일반적으로 클릭을 가로채는 것이 다른 공격을 시작하는 수단의 1단계라는 점에서 독특합니다." 브래드 홍, vCISO, 호라이즌3ai, 이메일을 통해 Lifewire에 말했습니다. "하지만 이 경우 [공격을 돕습니다] 한 번의 클릭으로 공격자가 설정한 사용자 지정 지불 금액을 승인합니다."

하이재킹 클릭

스테파니 베누아 커츠, 정보 시스템 및 기술 대학의 수석 교수 피닉스 대학교, 클릭재킹 공격은 피해자가 거래를 완료하도록 속여 다양한 활동을 추가로 시작하게 한다고 덧붙였습니다.

Benoit-Kurtz는 이메일을 통해 Lifewire에 "클릭을 통해 맬웨어가 설치되고 악의적인 사용자가 로컬 시스템에서 로그인, 비밀번호 및 기타 항목을 수집하고 랜섬웨어를 다운로드할 수 있습니다."라고 말했습니다. "이 취약점은 개인의 기기에 도구를 보관하는 것 외에도 악의적인 사용자가 PayPal 계정에서 돈을 훔칠 수 있도록 합니다."

Hong은 클릭재킹 공격을 스트리밍 웹사이트에서 팝업을 닫을 수 없는 새로운 학교 접근 방식에 비유했습니다. 그러나 닫기 위해 X를 숨기는 대신 정상적이고 합법적인 웹 사이트를 에뮬레이트하기 위해 전체를 숨깁니다.

홍은 "이 공격은 사용자가 실제로는 전혀 다른 것을 클릭한다고 생각하도록 속이는 것"이라고 설명했다. "웹 페이지의 클릭 영역 상단에 불투명 레이어를 배치함으로써 사용자는 자신도 모르게 공격자가 소유한 모든 곳으로 라우팅됩니다."

홍씨는 공격의 기술적 세부 사항을 살펴본 후 합법적인 PayPal Express를 통해 자동 결제 수단을 승인하는 컴퓨터 키인 PayPal 토큰 점검.

이 공격은 합법적인 사이트의 합법적인 제품에 대한 광고 위에 불투명도가 0으로 설정된 iframe이라는 내부에 숨겨진 링크를 배치하여 작동합니다.

"숨겨진 레이어는 실제 제품 페이지처럼 보일 수 있는 페이지로 안내하지만 대신 귀하는 이미 PayPal에 로그인되어 있으며, 그렇다면 [귀하의] PayPal 계정에서 직접 돈을 인출할 수 있습니다." 홍.

"이 공격은 사용자가 실제로는 완전히 다른 것을 클릭하고 있다고 생각하도록 속입니다."

그는 원클릭 출금이 독특하며 유사한 클릭재킹 은행 사기에는 일반적으로 피해자가 은행 웹사이트에서 직접 송금을 확인하도록 속이기 위해 여러 번 클릭해야 한다고 덧붙였습니다.

너무 많은 노력?

크리스 고틀, 제품 관리 부사장 이반티, "편리함은 공격자가 항상 이용하려고 하는 것입니다.

“PayPal과 같은 서비스를 사용한 원클릭 결제는 사람들이 사용하는 데 익숙하지만 눈치채지 못할 가능성이 있는 편리한 기능입니다. 공격자가 악성 링크를 잘 제시하면 경험에서 약간 벗어난 것입니다.”라고 Goettl은 Lifewire에 말했습니다. 이메일.

우리가 이 속임수에 빠지지 않도록 Benoit-Kurtz는 상식을 따르고 링크를 클릭하지 말 것을 제안했습니다. 우리가 특별히 방문하지 않은 팝업 또는 웹사이트의 유형, 우리가 방문하지 않은 메시지 및 이메일 시작하다.

Benoit-Kurtz는 "흥미롭게도 이 취약점은 2021년 10월에 보고되었으며 현재까지 알려진 취약점으로 남아 있습니다.

노트북을 사용하는 젊은 여성의 어깨 너머로 디지털 보안 장치로 온라인 뱅킹 계정에 로그인 — dem10 / 게티 이미지

우리는 연구원의 연구 결과에 대한 의견을 요청하기 위해 PayPal에 이메일을 보냈지만 응답을 받지 못했습니다.

그러나 Goettl은 취약점이 아직 수정되지는 않았지만 악용하기가 쉽지 않다고 설명했습니다. 이 트릭이 작동하려면 공격자가 PayPal을 통한 지불을 허용하는 합법적인 웹 사이트에 침입한 다음 사람들이 클릭할 수 있는 악성 콘텐츠를 삽입해야 합니다.

Goettl은 "이것은 짧은 시간 내에 발견될 가능성이 높으므로 공격이 발견되기 전에 낮은 이득을 위해 많은 노력을 기울일 것"이라고 말했습니다.