ข้อบกพร่องของ Paypal ที่ไม่ได้รับการแพตช์สามารถปล่อยให้แฮกเกอร์ขโมยคุณได้ด้วยการคลิกเพียงครั้งเดียว

ความสะดวกในการชำระเงินของ PayPal อยู่ที่การคลิกเพียงครั้งเดียวคือสิ่งที่ผู้โจมตีต้องการเพื่อระบายบัญชี PayPal ของคุณ

นักวิจัยด้านความปลอดภัยได้สาธิตสิ่งที่เขาอ้างว่าเป็น ช่องโหว่ที่ยังไม่ได้รับการแก้ไขใน PayPal ที่อาจทำให้ผู้โจมตีสามารถล้างบัญชี PayPal ของเหยื่อได้หลังจากหลอกล่อให้คลิกลิงก์ที่เป็นอันตราย ซึ่งในทางเทคนิคเรียกว่าการโจมตีแบบคลิกแจ็ค

"ช่องโหว่ Clickjack ของ PayPal มีลักษณะเฉพาะตรงที่การจี้คลิกเป็นขั้นตอนที่ 1 ในการเริ่มการโจมตีอื่นๆ" แบรด หง, vCISO, Horizon3aiบอก Lifewire ทางอีเมล "แต่ในกรณีนี้ ด้วยการคลิกเพียงครั้งเดียว [การโจมตีช่วย] อนุญาตจำนวนเงินที่ผู้โจมตีกำหนดขึ้นเอง"

การลักลอบคลิก

สเตฟานี เบอนัวต์-เคิร์ตซ์

, คณะผู้นำวิทยาลัยระบบสารสนเทศและเทคโนโลยี ที่ มหาวิทยาลัยฟีนิกซ์เสริมว่าการโจมตีแบบคลิกแจ็คจะหลอกล่อเหยื่อให้ทำธุรกรรมที่เริ่มต้นกิจกรรมต่างๆ มากมาย

Benoit-Kurtz บอกกับ Lifewire ทางอีเมลว่า "ด้วยการคลิก มัลแวร์ได้รับการติดตั้ง ผู้ไม่หวังดีสามารถรวบรวมการเข้าสู่ระบบ รหัสผ่าน และรายการอื่นๆ ในเครื่องท้องถิ่นและดาวน์โหลดแรนซัมแวร์" "นอกเหนือจากการฝากเครื่องมือบนอุปกรณ์ของแต่ละบุคคล ช่องโหว่นี้ยังช่วยให้ผู้ไม่หวังดีสามารถขโมยเงินจากบัญชี PayPal ได้"

Hong เปรียบเทียบการโจมตีแบบคลิกแจ็คกับแนวทางใหม่ของโรงเรียนที่ไม่สามารถปิดป๊อปอัปบนเว็บไซต์สตรีมมิงได้ แต่แทนที่จะซ่อน X เพื่อปิด พวกเขาซ่อนทุกสิ่งเพื่อเลียนแบบเว็บไซต์ปกติและถูกกฎหมาย

"การโจมตีหลอกให้ผู้ใช้คิดว่าพวกเขากำลังคลิกสิ่งหนึ่ง แต่ในความเป็นจริง เป็นสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิง" Hong อธิบาย "โดยการวางเลเยอร์ทึบแสงที่ด้านบนของพื้นที่การคลิกบนหน้าเว็บ ผู้ใช้พบว่าตัวเองถูกนำไปยังทุกที่ที่ผู้โจมตีเป็นเจ้าของโดยที่ไม่รู้เลย"

หลังจากอ่านรายละเอียดทางเทคนิคของการโจมตีแล้ว Hong กล่าวว่ามันทำงานโดยใช้กฎหมายที่ถูกต้อง โทเค็น PayPal ซึ่งเป็นรหัสคอมพิวเตอร์ที่อนุญาตวิธีการชำระเงินอัตโนมัติผ่าน PayPal Express เช็คเอาท์.

การโจมตีทำงานโดยการวางลิงก์ที่ซ่อนอยู่ภายในสิ่งที่เรียกว่า iframe โดยมีค่าความทึบเป็นศูนย์ที่ด้านบนของโฆษณาสำหรับผลิตภัณฑ์ที่ถูกต้องตามกฎหมายในไซต์ที่ถูกต้อง

"เลเยอร์ที่ซ่อนอยู่จะนำคุณไปยังสิ่งที่อาจดูเหมือนหน้าผลิตภัณฑ์จริง แต่จะตรวจสอบเพื่อดูว่า คุณได้เข้าสู่ระบบ PayPal แล้ว และหากเป็นเช่นนั้น ก็สามารถถอนเงินจากบัญชี [ของคุณ] PayPal ได้โดยตรง" แชร์ หง.

เขาเสริมว่าการถอนเงินด้วยคลิกเดียวนั้นไม่เหมือนใคร และการฉ้อโกงของธนาคารที่คล้ายคลึงกันมักจะเกี่ยวข้องกับการคลิกหลายครั้งเพื่อหลอกให้เหยื่อยืนยันการโอนเงินโดยตรงจากเว็บไซต์ของธนาคาร

ความพยายามมากเกินไป?

Chris Goettl, VP of Product Management ที่ อิวานตีความสะดวกสบายเป็นสิ่งที่ผู้โจมตีมักมองหาเพื่อฉวยโอกาสอยู่เสมอ

“เพียงคลิกเดียวชำระเงินโดยใช้บริการอย่าง PayPal เป็นคุณสมบัติอำนวยความสะดวกที่ผู้คนเคยใช้และมักจะไม่สังเกตเห็น มีบางอย่างผิดปกติหากผู้โจมตีนำเสนอลิงก์ที่เป็นอันตรายได้ดี” Goettl บอกกับ Lifewire มากกว่า อีเมล.

เพื่อช่วยเราจากการตกหล่นสำหรับเคล็ดลับนี้ Benoit-Kurtz แนะนำให้ทำตามสามัญสำนึกและอย่าคลิกลิงก์ใด ๆ ประเภทของป๊อปอัปหรือเว็บไซต์ที่เราไม่ได้เข้าไปโดยเฉพาะ เช่นเดียวกับในข้อความและอีเมลที่เราไม่ได้ เริ่มต้น

Benoit-Kurtz ชี้ว่า “น่าสนใจ มีการรายงานช่องโหว่นี้ในเดือนตุลาคมปี 2021 และ ณ วันนี้ยังคงเป็นช่องโหว่ที่ทราบกันดีอยู่แล้ว” Benoit-Kurtz กล่าว

เราส่งอีเมลถึง PayPal เพื่อขอความคิดเห็นเกี่ยวกับผลการวิจัยของผู้วิจัย แต่ยังไม่ได้รับการตอบกลับ

อย่างไรก็ตาม Goettl อธิบายว่าแม้ว่าช่องโหว่อาจยังไม่ได้รับการแก้ไข แต่ก็ไม่ง่ายที่จะใช้ประโยชน์ สำหรับกลอุบายในการทำงาน ผู้โจมตีจำเป็นต้องเจาะเข้าไปในเว็บไซต์ที่ถูกต้องซึ่งยอมรับการชำระเงินผ่าน PayPal แล้วแทรกเนื้อหาที่เป็นอันตรายเพื่อให้ผู้คนคลิก

Goettl ให้ความเห็นว่า “สิ่งนี้น่าจะพบได้ในระยะเวลาอันสั้น ดังนั้นจึงเป็นความพยายามอย่างมากเพื่อให้ได้มาซึ่งกำไรต่ำก่อนที่จะค้นพบการโจมตี” Goettl ให้ความเห็น