Kluczowe dania na wynos
- Badacz bezpieczeństwa wykazał, w jaki sposób mechanizm płatności jednym kliknięciem w systemie PayPal może zostać wykorzystany do kradzieży pieniędzy za pomocą jednego kliknięcia.
- Badacz twierdzi, że luka została odkryta po raz pierwszy w październiku 2021 r. i nie została załatana do dziś.
- Eksperci ds. bezpieczeństwa chwalą nowość ataku, ale pozostają sceptyczni co do jego wykorzystania w świecie rzeczywistym.
Zmieniając wygodę płatności PayPal na głowę, wystarczy jedno kliknięcie, aby atakujący opróżnił Twoje konto PayPal.
Badacz ds. bezpieczeństwa wykazał, jak twierdzi, nie załataną jeszcze lukę w systemie PayPal, która może zasadniczo umożliwić atakującym opróżnienie konta PayPal ofiary po nakłonieniu ich do kliknięcia złośliwego łącza, co jest technicznie nazywane „clickjackingiem” atak.
„Luka typu clickjack w systemie PayPal jest wyjątkowa, ponieważ zwykle przejęcie kliknięcia jest pierwszym krokiem do przeprowadzenia innego ataku” - powiedział Lifewire Brad Hong, vCISO, Horizon3ai przez e-mail. „Ale w tym przypadku za pomocą jednego kliknięcia [atak pomaga] autoryzować niestandardową kwotę płatności ustawioną przez atakującego”.
Porwanie kliknięć
Stephanie Benoit-Kurtz, główny wydział College of Information Systems and Technology na University of Phoenix, dodała, że ataki typu clickjacking nakłaniają ofiary do wykonania transakcji, która dodatkowo inicjuje szereg różnych działań.
„Poprzez kliknięcie, złośliwe oprogramowanie jest instalowane, źli aktorzy mogą gromadzić loginy, hasła i inne elementy na lokalnym komputerze i pobierać oprogramowanie ransomware”, powiedział Benoit-Kurtz Lifewire przez e-mail.„Poza zdeponowaniem narzędzi na urządzeniu danej osoby, ta luka pozwala również złym podmiotom na kradzież pieniędzy z kont PayPal”.
Hong porównał ataki typu clickjacking do nowego szkolnego podejścia polegającego na tym, że nie można zamknąć wyskakujących okienek w witrynach streamingowych. Ale zamiast ukrywać X, aby zamknąć, ukrywają całą rzecz, aby emulować normalne, legalne witryny.
„Atak skłania użytkownika do myślenia, że klika jedną rzecz, podczas gdy w rzeczywistości jest to coś zupełnie innego” – wyjaśnił Hong. „Umieszczając nieprzezroczystą warstwę w górnej części obszaru kliknięcia na stronie internetowej, użytkownicy zostają przekierowani do dowolnego miejsca, które jest własnością osoby atakującej, nawet o tym nie wiedząc”.
Po zapoznaniu się ze szczegółami technicznymi ataku, Hong powiedział, że działa on poprzez niewłaściwe wykorzystanie legalnego tokena PayPal, który jest kluczem komputerowym, który autoryzuje automatyczne metody płatności za pośrednictwem PayPal Express Checkout.
Atak polega na umieszczeniu ukrytego łącza w tak zwanej ramce iframe z jej przezroczystością ustawioną na zero na górze reklamy legalnego produktu w legalnej witrynie.
"Ukryta warstwa kieruje Cię do strony, która może wyglądać jak prawdziwa strona produktu, ale zamiast tego sprawdza, czy jesteś już zalogowany do PayPal, a jeśli tak, jest w stanie bezpośrednio wypłacić pieniądze z [Twojego] Konto PayPal, " współdzielone Hong.
Atak skłania użytkownika do myślenia, że klika jedną rzecz, podczas gdy w rzeczywistości jest to coś zupełnie innego.
Dodał, że wypłata jednym kliknięciem jest wyjątkowa, a podobne oszustwa bankowe typu clickjacking zazwyczaj obejmują wiele kliknięć, aby nakłonić ofiary do potwierdzenia bezpośredniego przelewu ze strony internetowej ich banku.
Za dużo wysiłku?
Chris Goettl, wiceprezes ds. zarządzania produktami w firmie Ivanti, powiedział, że wygoda to coś, z czego atakujący zawsze chcą skorzystać.
„Płać jednym kliknięciem za pomocą usługi takiej jak PayPal to wygodna funkcja, do której ludzie przyzwyczajają się i prawdopodobnie nie zauważą, że coś jest nie tak, jeśli atakujący dobrze przedstawi złośliwy link” – powiedział Lifewire Goettl. przez e-mail.
Aby uchronić nas przed wpadnięciem w tę sztuczkę, Benoit-Kurtz zasugerował przestrzeganie zdrowego rozsądku i nieklikanie linków w wyskakujących okienkach lub witrynach, do których nie weszliśmy, a także w wiadomościach i e-mailach, którego nie zainicjowaliśmy.
„Co ciekawe, ta luka została zgłoszona w październiku 2021 r. i na dzień dzisiejszy pozostaje znaną luką”, wskazał Benoit-Kurtz.
Wysłaliśmy do PayPal wiadomość e-mail z prośbą o opinię na temat wyników badacza, ale nie otrzymaliśmy odpowiedzi.
Goettl wyjaśnił jednak, że chociaż luka może nadal nie zostać naprawiona, nie jest łatwo ją wykorzystać. Aby sztuczka zadziałała, osoby atakujące muszą włamać się do legalnej witryny, która akceptuje płatności za pośrednictwem systemu PayPal, a następnie wstawić złośliwą zawartość, aby użytkownicy mogli kliknąć.
„Prawdopodobnie zostałoby to znalezione w krótkim czasie, więc byłby to duży wysiłek przy niskim wzmocnieniu, zanim atak zostałby prawdopodobnie wykryty”, zaopiniował Goettl.
