Niet-gepatchte Paypal-bug kan ervoor zorgen dat hackers u met een enkele klik beroven

May 25, 2022
InNieuws Internet Beveiliging

Een beveiligingsonderzoeker heeft aangetoond hoe het betalingsmechanisme met één klik van PayPal kan worden misbruikt om met één klik geld te stelen.
De onderzoeker beweert dat de kwetsbaarheid voor het eerst werd ontdekt in oktober 2021 en tot op de dag van vandaag niet is gepatcht.
Beveiligingsexperts prijzen de nieuwigheid van de aanval, maar blijven sceptisch over het gebruik in de echte wereld.

Handen van een anonieme hacker die een creditcard vasthoudt boven een laptop met binaire code die op het scherm wordt weergegeven. — boonchai wedmakawand / Getty Images

Als u het betalingsgemak van PayPal op zijn kop zet, is één klik alles wat een aanvaller nodig heeft om uw PayPal-rekening leeg te halen.

Een beveiligingsonderzoeker heeft aangetoond wat hij beweert: een nog niet gepatchte kwetsbaarheid in PayPal waarmee aanvallers in wezen de PayPal-rekening van een slachtoffer kunnen legen nadat ze hen hebben misleid om op een kwaadaardige link te klikken, in wat technisch een clickjacking-aanval wordt genoemd.

"De PayPal clickjack-kwetsbaarheid is uniek omdat het kapen van een klik doorgaans de eerste stap is naar een manier om een andere aanval uit te voeren,"

Brad Hong, vCISO, Horizon3ai, vertelde Lifewire via e-mail. "Maar in dit geval kan [de aanval helpt] met een enkele klik een aangepast betalingsbedrag autoriseren dat door een aanvaller is ingesteld."

Klikken kapen

Stephanie Benoit-Kurtz, hoofdfaculteit voor het College of Information Systems and Technology aan de Universiteit van Phoenix, voegde eraan toe dat clickjacking-aanvallen slachtoffers verleiden tot het voltooien van een transactie die een groot aantal verschillende activiteiten initieert.

"Door de klik wordt malware geïnstalleerd, de kwaadwillenden kunnen logins, wachtwoorden en andere items op de lokale computer verzamelen en ransomware downloaden", vertelde Benoit-Kurtz aan Lifewire via e-mail. "Naast het deponeren van tools op het apparaat van het individu, stelt deze kwetsbaarheid ook kwaadwillenden in staat om geld te stelen van PayPal-rekeningen."

Hong vergeleek clickjacking-aanvallen met de nieuwe schoolbenadering van die onmogelijk te sluiten pop-ups op streamingwebsites. Maar in plaats van de X te verbergen om te sluiten, verbergen ze het hele ding om normale, legitieme websites te emuleren.

"De aanval laat de gebruiker denken dat ze op één ding klikken, terwijl het in werkelijkheid iets heel anders is", legt Hong uit. "Door een ondoorzichtige laag op een klikgebied op een webpagina te plaatsen, worden gebruikers zonder het te weten naar elke plek geleid die eigendom is van een aanvaller."

Na het doornemen van de technische details van de aanval, zei Hong dat het werkt door een legitieme aanval te misbruiken PayPal-token, een computersleutel die automatische betalingsmethoden autoriseert via PayPal Express Uitchecken.

De aanval werkt door een verborgen link te plaatsen in een zogenaamd iframe met een dekking van nul bovenop een advertentie voor een legitiem product op een legitieme site.

"De verborgen laag leidt je naar wat lijkt op de echte productpagina, maar in plaats daarvan controleert het of je bent al ingelogd op PayPal, en als dat zo is, kan het direct geld opnemen van [je] PayPal-account," gedeeld Hong.

"De aanval laat de gebruiker denken dat ze op één ding klikken, terwijl het in werkelijkheid iets heel anders is."

Hij voegde eraan toe dat opname met één klik uniek is, en soortgelijke bankfraude met clickjacking omvat meestal meerdere klikken om slachtoffers te misleiden om een directe overboeking van de website van hun bank te bevestigen.

Te veel moeite?

Chris Goettl, VP Product Management bij Ivanti, zei dat gemak iets is waar aanvallers altijd van willen profiteren.

“Betalen met één klik met een dienst als PayPal is een handige functie die mensen gewend zijn te gebruiken en die ze waarschijnlijk niet zullen merken er is iets mis in de ervaring als de aanvaller de kwaadaardige link goed presenteert, "vertelde Goettl Lifewire over e-mail.

Om te voorkomen dat we voor deze truc vallen, stelde Benoit-Kurtz voor om gezond verstand te volgen en nergens op links te klikken soort pop-ups of websites waar we niet specifiek naartoe zijn gegaan, evenals in berichten en e-mails die we niet hebben bezocht initiëren.

"Interessant is dat deze kwetsbaarheid in oktober 2021 werd gemeld en vanaf vandaag nog steeds een bekende kwetsbaarheid is", benadrukt Benoit-Kurtz.

Over de schouder zicht op jonge vrouw die laptop gebruikt, inloggen op online bankrekening met digitaal beveiligingsapparaat — dem10 / Getty Images

We hebben PayPal een e-mail gestuurd om hun mening over de bevindingen van de onderzoeker te vragen, maar we hebben geen reactie ontvangen.

Goettl legde echter uit dat hoewel het beveiligingslek nog steeds niet is verholpen, het niet gemakkelijk te misbruiken is. Om de truc te laten werken, moeten aanvallers inbreken op een legitieme website die betalingen via PayPal accepteert en vervolgens de schadelijke inhoud invoegen zodat mensen erop kunnen klikken.

"Dit zou waarschijnlijk in een korte tijdsperiode worden gevonden, dus het zou een grote inspanning zijn voor een lage winst voordat de aanval waarschijnlijk zou worden ontdekt", meende Goettl.