Keeawayt
- Turvallisuustutkija on osoittanut, kuinka PayPalin yhden napsautuksen maksumekanismia voidaan käyttää väärin rahan varastamiseksi yhdellä napsautuksella.
- Tutkijan mukaan haavoittuvuus löydettiin ensimmäisen kerran lokakuussa 2021, ja se on edelleen korjaamaton.
- Turvallisuusasiantuntijat ylistävät hyökkäyksen uutuutta, mutta ovat edelleen skeptisiä sen todellisen käytön suhteen.
Kääntämällä PayPalin maksumukavuuden päälaelleen, hyökkääjä tarvitsee vain yhdellä napsautuksella tyhjentää PayPal-tilisi.
Tietoturvatutkija on osoittanut, että hän väittää olevan vielä korjaamaton PayPalin haavoittuvuus, jonka avulla hyökkääjät voivat käytännössä tyhjentää uhrin PayPal-tilin huijattuaan hänet napsauttamaan haitallista linkkiä. hyökkäys.
"PayPalin napsautushaavoittuvuus on ainutlaatuinen siinä mielessä, että tyypillisesti napsautuksen kaappaaminen on askel yksi keinoin käynnistää jokin muu hyökkäys", Brad Hong, vCISO, Horizon3ai, kertoi Lifewirelle sähköpostitse. "Mutta tässä tapauksessa [hyökkäys auttaa] yhdellä napsautuksella v altuuttamaan hyökkääjän asettaman mukautetun maksusumman."
Kaappaavat napsautukset
Stephanie Benoit-Kurtz, Phoenixin yliopiston tietojärjestelmien ja teknologian korkeakoulun johtava tiedekunta, lisäsi, että napsautushyökkäykset huijaavat uhreja saamaan päätökseen tapahtuman, joka edelleen käynnistää monia erilaisia toimintoja.
"Klikkauksen avulla haittaohjelmat asennetaan, huonot toimijat voivat kerätä kirjautumistunnuksia, salasanoja ja muita kohteita paikalliselle koneelle ja ladata kiristysohjelmia", Benoit-Kurtz kertoi Lifewirelle sähköpostitse."Työkalujen tallettamisen lisäksi henkilön laitteelle tämä haavoittuvuus mahdollistaa myös sen, että huonot toimijat voivat varastaa rahaa PayPal-tileiltä."
Hong vertasi napsautushyökkäyksiä uuteen koulun lähestymistapaan, jossa ponnahdusikkunoita ei voida sulkea suoratoistosivustoilla. Mutta sen sijaan, että X piilottaisi sulkemisen, he piilottavat koko asian jäljitelläkseen normaaleja, laillisia verkkosivustoja.
"Hyökkäys huijaa käyttäjää ajattelemaan, että he napsauttavat yhtä asiaa, vaikka todellisuudessa se on jotain aivan muuta", Hong selitti. "Asettamalla läpinäkymättömän kerroksen verkkosivun napsautusalueen päälle, käyttäjät joutuvat reitittämään minne tahansa, joka on hyökkääjän omistama, tietämättään."
Tutkittuaan hyökkäyksen tekniset yksityiskohdat Hong sanoi, että se toimii väärin käyttämällä laillista PayPal-tunnusta, joka on tietokoneavain, joka v altuuttaa automaattiset maksutavat PayPal Express Checkout -palvelun kautta.
Hyökkäys toimii sijoittamalla piilotetun linkin niin kutsuttuun iframe-kehykseen, jonka peittävyys on nolla, laillisella sivustolla olevan laillisen tuotteen mainoksen päälle.
"Piilotettu kerros ohjaa sinut todelliselta tuotesivulta, mutta sen sijaan se tarkistaa, oletko jo kirjautunut PayPaliin, ja jos olet, se voi nostaa rahaa suoraan [sinun] PayPal-tili, " jakoi Hong.
Hyökkäys huijaa käyttäjää ajattelemaan, että he napsauttavat yhtä asiaa, vaikka todellisuudessa se on jotain aivan muuta.
Hän lisäsi, että yhden napsautuksen nosto on ainutlaatuinen, ja samank altaisiin napsautusten kaappauksiin liittyy yleensä useita napsautuksia, jotta uhrit huijataan vahvistamaan suora siirto pankkinsa verkkosivustolta.
Liian paljon vaivaa?
Chris Goettl, Ivantin tuotehallinnan johtaja, sanoi, että hyökkääjät pyrkivät aina hyödyntämään mukavuutta.
"Yhdellä napsautuksella maksaminen PayPalin k altaisella palvelulla on käyttömukavuusominaisuus, johon ihmiset tottuvat, eivätkä todennäköisesti huomaa, että kokemuksessa on jotain pientä, jos hyökkääjä esittää haitallisen linkin hyvin", Goettl kertoi Lifewirelle. sähköpostitse.
Benoit-Kurtz ehdotti tervettä järkeä ja ponnahdusikkunoiden tai verkkosivustojen linkkien napsauttamista, joille emme erityisesti käyneet, sekä viesteissä ja sähköposteissa pelastaakseen meidät joutumasta tähän temppuun. jota emme tehneet.
"Mielenkiintoista kyllä, tämä haavoittuvuus ilmoitettiin jo lokakuussa 2021, ja se on edelleen tunnettu haavoittuvuus", huomautti Benoit-Kurtz.
Lähetimme PayPalille sähköpostia pyytääksemme heidän näkemyksiään tutkijan löydöksistä, mutta emme ole saaneet vastausta.
Goettl kuitenkin selitti, että vaikka haavoittuvuutta ei ehkä vieläkään ole korjattu, sitä ei ole helppo hyödyntää. Jotta temppu toimisi, hyökkääjien on murtauduttava lailliselle verkkosivustolle, joka hyväksyy maksut PayPalin kautta, ja sitten lisättävä haitallinen sisältö, jota ihmiset voivat klikata.
"Tämä todennäköisesti löydettäisiin lyhyessä ajassa, joten olisi suuri ponnistelu alhaisen voiton saavuttamiseksi ennen kuin hyökkäys todennäköisesti löydettäisiin", Goettl arvioi.
