Невиправлена помилка Paypal може дозволити хакерам пограбувати вас одним кліком
- Дослідник безпеки показав, як можна зловживати механізмом оплати в один клік PayPal для крадіжки грошей одним кліком.
- Дослідник стверджує, що вразливість була вперше виявлена в жовтні 2021 року і залишається невиправленою до сьогодні.
- Експерти з безпеки високо оцінюють новизну атаки, але залишаються скептично налаштованими щодо її реального використання.
boonchai wedmakawand / Getty Images
Повернувши зручність платежів PayPal з ніг на голову, зловмиснику потрібно лише одним клацанням миші, щоб вичерпати ваш обліковий запис PayPal.
Дослідник безпеки продемонстрував те, що він стверджує ще не виправлена вразливість у PayPal це, по суті, може дозволити зловмисникам очистити обліковий запис PayPal жертви, змусивши її натиснути шкідливе посилання, що технічно називається атакою клікджекінгу.
«Уразливість PayPal clickjack унікальна тим, що, як правило, викрадення кліку є першим кроком до запуску іншої атаки», Бред Хонг, vCISO, Horizon3ai, повідомив Lifewire електронною поштою. «Але в цьому випадку, одним клацанням миші [атака допомагає] авторизувати спеціальну суму платежу, встановлену зловмисником».
Викрадання кліків
Стефані Бенуа-Курц, провідний факультет коледжу інформаційних систем і технологій при Університет Фенікса, додав, що атаки клікджекінгу обманом змушують жертв завершити транзакцію, яка в подальшому ініціює безліч різних дій.
«Через клік встановлюється шкідливе програмне забезпечення, зловмисники можуть збирати логіни, паролі та інші елементи на локальній машині та завантажувати програму-вимагач», — сказав Бенуа-Курц Lifewire по електронній пошті. «Окрім зберігання інструментів на пристрої особи, ця вразливість також дозволяє зловмисникам красти гроші з акаунтів PayPal».
Хонг порівняв атаки клікджекінгу з новим шкільним підходом до тих, що неможливо закрити спливаючі вікна на потокових веб-сайтах. Але замість того, щоб приховувати X, щоб закрити, вони приховують все, щоб наслідувати нормальні, законні веб-сайти.
«Атака обманює користувача, думаючи, що він натискає одну річ, а насправді це щось зовсім інше», — пояснив Хонг. «Розміщуючи непрозорий шар поверх області кліка на веб-сторінці, користувачі опиняються в будь-якому місці, яке належить зловмиснику, навіть не підозрюючи».
Ознайомившись із технічними деталями атаки, Хонг сказав, що вона працює шляхом зловживання законним Токен PayPal, який є комп’ютерним ключем, який авторизує автоматичні способи оплати через PayPal Express Перевіряти.
Атака працює шляхом розміщення прихованого посилання всередині так званого iframe з нульовим набором непрозорості поверх оголошення законного продукту на законному сайті.
«Прихований шар спрямовує вас до того, що може здатися справжньою сторінкою продукту, але замість цього він перевіряє, чи ви вже ввійшли в PayPal, і якщо так, то він може безпосередньо знімати гроші з [вашого] облікового запису PayPal», — поділився Гон.
«Атака обманює користувача, думаючи, що він натискає одну річ, а насправді це щось зовсім інше».
Він додав, що зняття коштів одним кліком є унікальним, і подібні банківські шахрайства з клікджекінгом зазвичай включають кілька кліків, щоб обманом змусити жертв підтвердити прямий переказ з веб-сайту свого банку.
Забагато зусиль?
Кріс Геттл, віце-президент з управління продуктами в Іванті, сказав, що зловмисники завжди прагнуть скористатися зручністю.
«Оплата одним клацанням миші за допомогою такої служби, як PayPal, є зручною функцією, до якої люди звикають і, швидше за все, не помітять щось не так, якщо зловмисник добре представляє шкідливе посилання», – сказав Геттл Lifewire. електронна пошта.
Щоб уберегти нас від цього трюку, Бенуа-Курц запропонував дотримуватися здорового глузду і не натискати посилання в жодному типи спливаючих вікон або веб-сайтів, на які ми спеціально не заходили, а також у повідомленнях та електронних листах, які ми не відвідували ініціювати.
«Цікаво, що ця вразливість була повідомлена ще в жовтні 2021 року, і на сьогодні вона залишається відомою», – зазначив Бенуа-Курц.
dem10 / Getty Images
Ми надіслали електронний лист PayPal, щоб запитати їхню думку щодо висновків дослідника, але не отримали відповіді.
Геттл, однак, пояснив, що хоча вразливість все ще не буде виправлена, її нелегко використати. Щоб трюк спрацював, зловмисники повинні проникнути на законний веб-сайт, який приймає платежі через PayPal, а потім вставити шкідливий вміст, щоб люди могли натиснути.
«Ймовірно, це буде виявлено за короткий проміжок часу, тому було б докласти великих зусиль, щоб отримати низький виграш, перш ніж, ймовірно, буде виявлено атаку», – вважає Геттль.