Sleutel wegneemetes
- 'n Sekuriteitsnavorser het gewys hoe PayPal se een-klik-betaalmeganisme misbruik kan word om geld te steel, met 'n enkele klik.
- Die navorser beweer die kwesbaarheid is vir die eerste keer in Oktober 2021 ontdek en bly tot vandag toe nie reg nie.
- Veiligheidskenners prys die nuwigheid van die aanval, maar bly skepties oor die werklike gebruik daarvan.
Om PayPal se betalingsgerief op sy kop te draai, is een klik al wat 'n aanvaller nodig het om jou PayPal-rekening te dreineer.
'n Sekuriteitsnavorser het gedemonstreer wat hy beweer 'n kwesbaarheid in PayPal is wat nog nie opgelos is nie, wat aanvallers in wese kan toelaat om 'n slagoffer se PayPal-rekening leeg te maak nadat hulle hulle mislei het om op 'n kwaadwillige skakel te klik, in wat tegnies na verwys word as 'n clickjacking aanval.
"Die PayPal clickjack-kwesbaarheid is uniek deurdat die kaping van 'n klik tipies stap een is tot 'n manier om 'n ander aanval te loods," het Brad Hong, vCISO, Horizon3ai, per e-pos aan Lifewire gesê. "Maar in hierdie geval, met 'n enkele klik, [die aanval help] om 'n pasgemaakte betalingsbedrag wat deur 'n aanvaller gestel is, te magtig."
Kapingsklikke
Stephanie Benoit-Kurtz, Hooffakulteit vir die Kollege van Inligtingstelsels en Tegnologie aan die Universiteit van Phoenix, het bygevoeg dat klikkapaanvalle slagoffers mislei om 'n transaksie te voltooi wat 'n magdom verskillende aktiwiteite verder inisieer.
"Deur die klik word wanware geïnstalleer, die slegte akteurs kan aanmeldings, wagwoorde en ander items op die plaaslike masjien versamel en losprysware aflaai," het Benoit-Kurtz per e-pos aan Lifewire gesê."Behalwe die deposito van gereedskap op die individu se toestel, laat hierdie kwesbaarheid ook slegte akteurs toe om geld uit PayPal-rekeninge te steel."
Hong het clickjacking-aanvalle vergelyk met die nuwe skoolbenadering van daardie onmoontlike om opspringers op stromende webwerwe toe te maak. Maar in plaas daarvan om die X weg te steek om af te sluit, versteek hulle die hele ding om normale, wettige webwerwe na te boots.
"Die aanval flous die gebruiker om te dink hulle klik op een ding terwyl dit in werklikheid iets heeltemal anders is," het Hong verduidelik. "Deur 'n ondeursigtige laag bo-op 'n klikarea op 'n webblad te plaas, word gebruikers na enige plek gestuur waar 'n aanvaller besit word, sonder om ooit te weet."
Nadat hy deur die tegniese besonderhede van die aanval gelees het, het Hong gesê dit werk deur 'n wettige PayPal-token te misbruik, wat 'n rekenaarsleutel is wat outomatiese betaalmetodes via PayPal Express Checkout magtig.
Die aanval werk deur 'n versteekte skakel binne wat 'n iframe genoem word met sy ondeursigtigheidstel van nul te plaas bo-op 'n advertensie vir 'n wettige produk op 'n wettige werf.
"Die versteekte laag lei jou na wat kan lyk soos die regte produkbladsy, maar in plaas daarvan kyk dit om te sien of jy reeds by PayPal aangemeld is, en indien wel, kan dit direk geld van [jou] onttrek.] PayPal-rekening, " het Hong gedeel.
Die aanval flous die gebruiker om te dink dat hulle een ding klik terwyl dit in werklikheid iets heeltemal anders is.
Hy het bygevoeg die een-klik-onttrekking is uniek, en soortgelyke clickjacking-bankbedrog behels gewoonlik veelvuldige klikke om slagoffers te mislei om 'n direkte oordrag vanaf hul bank se webwerf te bevestig.
Te veel moeite?
Chris Goettl, VP van produkbestuur by Ivanti, het gesê gerief is iets wat aanvallers altyd wil benut.
“Een-klik betaal deur 'n diens soos PayPal te gebruik, is 'n geriefskenmerk waaraan mense gewoond raak en sal waarskynlik nie agterkom dat iets 'n bietjie af in die ervaring is as die aanvaller die kwaadwillige skakel goed aanbied nie,” het Goettl aan Lifewire gesê. oor e-pos.
Om ons te red om vir hierdie truuk te val, het Benoit-Kurtz voorgestel om gesonde verstand te volg en nie skakels te klik in enige soort opspringers of webwerwe waarna ons nie spesifiek gegaan het nie, sowel as in boodskappe en e-posse, wat ons nie geïnisieer het nie.
“Interessant genoeg is hierdie kwesbaarheid terug in Oktober 2021 aangemeld en bly dit vandag 'n bekende kwesbaarheid,” het Benoit-Kurtz uitgewys.
Ons het PayPal per e-pos gestuur om hul mening oor die navorser se bevindinge te vra, maar het nie 'n antwoord ontvang nie.
Goettl het egter verduidelik dat hoewel die kwesbaarheid dalk steeds nie reggestel is nie, dit nie maklik is om te ontgin nie. Vir die truuk om te werk, moet aanvallers by 'n wettige webwerf inbreek wat betalings deur PayPal aanvaar en dan die kwaadwillige inhoud invoeg sodat mense kan klik.
“Dit sal waarskynlik binne 'n kort tydperk gevind word, so dit sal 'n groot poging wees vir 'n lae wins voordat die aanval waarskynlik ontdek sal word,” meen Goettl.