A legfontosabb elvitelek
- Egy biztonsági kutató kimutatta, hogyan lehet visszaélni a PayPal egykattintásos fizetési mechanizmusával pénzlopásra, egyetlen kattintással.
- A kutató azt állítja, hogy a sebezhetőséget először 2021 októberében fedezték fel, és a mai napig nem javították.
- A biztonsági szakértők dicsérik a támadás újszerűségét, de továbbra is szkeptikusak a valós felhasználást illetően.
A PayPal fizetési kényelmét a feje tetejére állítva a támadónak egyetlen kattintással kell lemerítenie PayPal-fiókját.
Egy biztonsági kutató bebizonyította, hogy állítása szerint a PayPal egy még kijavítatlan biztonsági rése, amely lényegében lehetővé teheti a támadók számára, hogy kiürítsék az áldozat PayPal-fiókját, miután ráveszik őket egy rosszindulatú linkre kattintva, amit technikailag kattintástörésnek neveznek. támadás.
"A PayPal clickjack sebezhetősége egyedülálló abban, hogy a kattintások eltérítése általában az első lépés egy másik támadás indításához" - mondta Brad Hong, a Horizon3ai vCISO munkatársa a Lifewire-nek e-mailben. "De ebben az esetben egyetlen kattintással [a támadás segít] engedélyezni egy támadó által beállított egyéni fizetési összeget."
Kattintások eltérítése
Stephanie Benoit-Kurtz, a Phoenix Egyetem Informatikai Rendszerek és Technológiai Főiskolájának vezető oktatója hozzátette, hogy a kattintás elleni támadások ráveszik az áldozatokat, hogy olyan tranzakciót hajtsanak végre, amely egy sor különböző tevékenységet indít el.
"A kattintással rosszindulatú programok települnek, a rossz szereplők bejelentkezési adatokat, jelszavakat és egyéb elemeket gyűjthetnek a helyi gépen, és letölthetik a zsarolóprogramot" - mondta Benoit-Kurtz a Lifewire-nek e-mailben."Az egyén eszközén elhelyezett eszközökön túl ez a sérülékenység azt is lehetővé teszi, hogy rossz szereplők pénzt lopjanak el PayPal-számlákról."
Hong összehasonlította a clickjacking támadásokat az új iskolai megközelítéssel, amely szerint lehetetlen bezárni az előugró ablakokat a streaming webhelyeken. De ahelyett, hogy elrejtik az X-et, hogy lezárják, az egészet elrejtik, hogy normális, legitim webhelyeket emuláljanak.
"A támadás megtéveszti a felhasználót, és azt gondolja, hogy egy dologra kattint, miközben valójában az valami egészen más" - magyarázta Hong. "Ha egy átlátszatlan réteget helyeznek el egy weboldal kattintási területének tetején, a felhasználók anélkül találják magukat irányítani bárhová, ami egy támadó tulajdonában van, anélkül, hogy tudnák."
A támadás technikai részleteinek áttanulmányozása után Hong azt mondta, hogy a támadás egy legitim PayPal-tokennel való visszaélés révén működik, amely egy számítógépes kulcs, amely engedélyezi az automatikus fizetési módokat a PayPal Express Checkouton keresztül.
A támadás úgy működik, hogy egy rejtett linket helyez el az úgynevezett iframe-en belül, amelynek átlátszatlansága nulla, egy legitim webhelyen lévő legitim termékre vonatkozó hirdetés tetején.
"A rejtett réteg a valódi termékoldalra irányítja, de ehelyett ellenőrzi, hogy be vagy-e már bejelentkezve a PayPalba, és ha igen, akkor közvetlenül tud pénzt felvenni a] PayPal-fiók, " megosztotta Hong.
A támadás megtéveszti a felhasználót, és azt hiszi, hogy egy dologra kattint, pedig valójában az valami egészen más.
Hozzátette, hogy az egykattintásos pénzfelvétel egyedi, és a hasonló, kattintástörő banki csalások során általában többszörös kattintással próbálják rávenni az áldozatokat, hogy megerősítsék a bankjuk webhelyéről történő közvetlen átutalást.
Túl sok erőfeszítés?
Chris Goettl, az Ivanti termékmenedzsmentért felelős alelnöke azt mondta, hogy a kényelem az, amit a támadók mindig igyekeznek kihasználni.
„Az egykattintásos fizetés egy olyan szolgáltatás használatával, mint a PayPal, olyan kényelmi funkció, amelyet az emberek megszoktak, és valószínűleg nem veszik észre, hogy valami kissé elromlik az élményben, ha a támadó jól mutatja be a rosszindulatú hivatkozást” – mondta Goettl a Lifewire-nek. e-mailben.
Annak érdekében, hogy megóvjon minket attól a trükktől, hogy kövessük a józan észt, és ne kattintsunk azokon a felugró ablakokon vagy webhelyeken található hivatkozásokra, amelyeket nem kerestünk fel, sem az üzenetekben és e-mailekben, hogy nem mi kezdeményeztük.
„Érdekes módon ezt a sebezhetőséget 2021 októberében jelentették, és a mai napig ismert sebezhetőség” – mutatott rá Benoit-Kurtz.
E-mailt küldtünk a PayPalnak, hogy véleményt kérjünk a kutató megállapításairól, de nem kaptunk választ.
Goettl azonban kifejtette, hogy bár a sérülékenységet még mindig nem sikerült kijavítani, nem könnyű kihasználni. A trükk működéséhez a támadóknak be kell törniük egy legitim webhelyre, amely elfogadja a PayPal-on keresztüli fizetéseket, majd be kell helyeznie a rosszindulatú tartalmat, hogy az emberek rákattinthassanak.
„Ez valószínűleg rövid időn belül kiderül, ezért nagy erőfeszítést igényel az alacsony nyereség, mielőtt a támadást valószínűleg felfedeznék” – vélekedett Goettl.
