Nepopravljena napaka Paypal bi lahko hekerjem omogočila, da vas ukradejo z enim samim klikom

Če obrnemo PayPalovo udobje plačil na glavo, je en klik vse, kar napadalec potrebuje, da izprazni vaš račun PayPal.

Varnostni raziskovalec je pokazal, kar trdi, da je še nepopravljena ranljivost v PayPalu ki bi lahko v bistvu omogočila napadalcem, da izpraznijo žrtvin račun PayPal, potem ko jih zavedejo, da kliknejo zlonamerno povezavo, kar se tehnično imenuje napad klikanja.

"Ranljivost PayPal clickjack je edinstvena po tem, da je običajno ugrabitev klika prvi korak k sredstvu za sprožitev kakšnega drugega napada," Brad Hong, vCISO, Horizon3ai, je za Lifewire povedal po elektronski pošti. "V tem primeru pa [napad pomaga] z enim samim klikom odobriti znesek plačila po meri, ki ga je določil napadalec."

Ugrabitev klikov

Stephanie Benoit-Kurtz, vodilna fakulteta za Visoko šolo za informacijske sisteme in tehnologijo pri Univerza v Phoenixu, je dodal, da napadi clickjacking zavedejo žrtve, da dokončajo transakcijo, ki nadalje sproži vrsto različnih dejavnosti.

"S klikom se namesti zlonamerna programska oprema, slabi akterji lahko zberejo prijave, gesla in druge elemente na lokalnem računalniku in prenesejo izsiljevalsko programsko opremo," je Benoit-Kurtz povedal za Lifewire po e-pošti. "Poleg depozita orodij na napravi posameznika ta ranljivost omogoča tudi slabim akterjem, da ukradejo denar z računov PayPal."

Hong je napade klikanja primerjal z novim šolskim pristopom tistih, ki jih je nemogoče zapreti na spletnih mestih za pretakanje. Toda namesto da bi skrili X za zaprtje, skrijejo celotno stvar, da posnemajo normalna, zakonita spletna mesta.

"Napad uporabnika zavede, da misli, da klikne eno stvar, medtem ko je v resnici nekaj povsem drugega," je pojasnil Hong. "Če postavimo neprozorno plast na vrh območja klika na spletni strani, se uporabniki znajdejo, ne da bi vedeli, da so preusmerjeni kamor koli, ki je v lasti napadalca."

Po pregledu tehničnih podrobnosti napada je Hong dejal, da deluje tako, da zlorablja zakonito PayPal žeton, ki je računalniški ključ, ki avtorizira samodejna plačilna sredstva prek PayPal Expressa Preveri.

Napad deluje tako, da postavi skrito povezavo znotraj tako imenovanega iframe z nizom motnosti nič na vrhu oglasa za zakonit izdelek na zakonitem spletnem mestu.

"Skrita plast vas usmeri na tisto, kar se morda zdi kot prava stran izdelka, vendar namesto tega preverja, ali ste že prijavljeni v PayPal in če je tako, lahko neposredno dvigne denar z [vašega] PayPal računa,« je delil Hong.

Dodal je, da je umik z enim klikom edinstven in podobne bančne goljufije s klikanjem običajno vključujejo več klikov, s katerimi žrtve zavedejo, da potrdijo neposreden prenos s spletnega mesta njihove banke.

Preveč truda?

Chris Goettl, podpredsednik produktnega managementa pri Ivanti, je dejal, da je udobje nekaj, kar napadalci vedno želijo izkoristiti.

»Plačilo z enim klikom s storitvijo, kot je PayPal, je priročna funkcija, ki se je ljudje navadijo uporabljati in je verjetno ne bodo opazili nekaj je malo narobe z izkušnjo, če napadalec dobro predstavi zlonamerno povezavo,« je Goettl povedal za Lifewire. E-naslov.

Da bi nas rešil, da ne bi padli na ta trik, je Benoit-Kurtz predlagal, da sledimo zdravemu razumu in ne klikamo povezav v nobenem vrste pojavnih oken ali spletnih mest, ki jih nismo posebej obiskali, pa tudi v sporočilih in e-pošti, ki jih nismo sprožiti.

"Zanimivo je, da so o tej ranljivosti poročali že oktobra 2021 in od danes ostaja znana ranljivost," je poudaril Benoit-Kurtz.

PayPal smo poslali po e-pošti, da bi prosili za njihov pogled na ugotovitve raziskovalca, vendar nismo prejeli odgovora.

Goettl pa je pojasnil, da čeprav ranljivosti še vedno ni mogoče odpraviti, je ni enostavno izkoristiti. Da bi trik deloval, morajo napadalci vdreti na zakonito spletno mesto, ki sprejema plačila prek PayPala, in nato vstaviti zlonamerno vsebino, da jo ljudje kliknejo.

"To bi verjetno odkrili v kratkem času, zato bi bilo veliko truda za nizek dobiček, preden bi napad verjetno odkril," je menil Goettl.