Ключевые выводы
- Исследователь в области безопасности показал, как механизм оплаты в один клик PayPal может быть использован для кражи денег одним кликом.
- Исследователь утверждает, что уязвимость была впервые обнаружена в октябре 2021 года и до сих пор не исправлена.
- Эксперты по безопасности высоко оценивают новизну атаки, но по-прежнему скептически относятся к ее реальному использованию.
Переворачивая удобство оплаты PayPal с ног на голову, злоумышленнику достаточно одного клика, чтобы опустошить ваш счет PayPal.
Исследователь в области безопасности продемонстрировал, как он утверждает, еще не исправленную уязвимость в PayPal, которая, по сути, может позволить злоумышленникам опустошить учетную запись PayPal после того, как они обманом заставят их перейти по вредоносной ссылке, что технически называется кликджекингом. атака.
«Уязвимость PayPal clickjack уникальна тем, что обычно перехват клика является первым шагом к средству запуска какой-либо другой атаки», - сказал Lifewire по электронной почте Брэд Хонг, vCISO, Horizon3ai. «Но в этом случае одним щелчком мыши [атака помогает] авторизовать пользовательскую сумму платежа, установленную злоумышленником».
Перехват кликов
Стефани Бенуа-Куртц, ведущий преподаватель Колледжа информационных систем и технологий Университета Феникса, добавила, что кликджекинговые атаки заставляют жертв совершить транзакцию, которая в дальнейшем инициирует множество различных действий.
«По щелчку мыши устанавливается вредоносное ПО, злоумышленники могут собирать логины, пароли и другие элементы на локальном компьютере и загружать программы-вымогатели», - сообщил Бенуа-Курц Lifewire по электронной почте.«Помимо хранения инструментов на устройстве человека, эта уязвимость также позволяет злоумышленникам красть деньги со счетов PayPal».
Хонг сравнил атаки кликджекинга с подходом новой школы, когда невозможно закрыть всплывающие окна на потоковых веб-сайтах. Но вместо того, чтобы скрыть X, чтобы закрыть, они скрывают все это, чтобы имитировать нормальные, законные веб-сайты.
«Атака вводит пользователя в заблуждение, заставляя его думать, что он нажимает одно, хотя на самом деле это совершенно другое», - объяснил Хонг. «Помещая непрозрачный слой поверх области щелчка на веб-странице, пользователи, даже не подозревая об этом, перенаправляются в любое место, принадлежащее злоумышленнику».
Посмотрев технические детали атаки, Хонг сказал, что она работает за счет неправомерного использования законного токена PayPal, который представляет собой компьютерный ключ, разрешающий автоматические способы оплаты через PayPal Express Checkout.
Атака работает путем размещения скрытой ссылки внутри так называемого iframe с нулевой непрозрачностью поверх рекламы законного продукта на законном сайте.
"Скрытый уровень направляет вас на то, что может показаться реальной страницей продукта, но вместо этого он проверяет, вошли ли вы уже в PayPal, и если да, он может напрямую снять деньги с [вашего] Аккаунт PayPal», поделился Гонконг.
Атака вводит пользователя в заблуждение, заставляя его думать, что он нажимает одно, хотя на самом деле это совершенно другое.
Он добавил, что снятие средств в один клик является уникальным, и аналогичные банковские мошенничества с кликджекингом обычно включают несколько кликов, чтобы обманом заставить жертв подтвердить прямой перевод с веб-сайта их банка.
Слишком много усилий?
Крис Геттл, вице-президент по управлению продуктами в Ivanti, сказал, что злоумышленники всегда стремятся воспользоваться удобством.
«Оплата в один клик с помощью такой услуги, как PayPal, - это удобная функция, к которой люди привыкли и, скорее всего, не заметят, что что-то не так, если злоумышленник правильно представит вредоносную ссылку», - сказал Геттл Lifewire. по электронной почте.
Чтобы уберечь нас от этой уловки, Бенуа-Курц предложил следовать здравому смыслу и не нажимать ссылки в любых типах всплывающих окон или веб-сайтов, на которые мы специально не заходили, а также в сообщениях и электронных письмах, что мы не инициировали.
«Интересно, что об этой уязвимости было сообщено еще в октябре 2021 года, и на сегодняшний день она остается известной уязвимостью», - отметил Бенуа-Курц.
Мы отправили письмо в PayPal, чтобы узнать их мнение о выводах исследователя, но не получили ответа.
Геттл, однако, объяснил, что, хотя уязвимость еще не устранена, ее нелегко использовать. Чтобы трюк сработал, злоумышленникам необходимо проникнуть на законный веб-сайт, который принимает платежи через PayPal, а затем вставить вредоносный контент, чтобы люди могли нажимать на него.
«Это, скорее всего, будет обнаружено в течение короткого периода времени, поэтому потребуются большие усилия для получения небольшого выигрыша, прежде чем атака, вероятно, будет обнаружена», - считает Геттл.