Ключови изводи
- Изследовател по сигурността показа как механизмът за плащане с едно кликване на PayPal може да бъде злоупотребен, за да се откраднат пари с едно кликване.
- Изследователят твърди, че уязвимостта е открита за първи път през октомври 2021 г. и остава непоправена до днес.
- Експертите по сигурността възхваляват новостта на атаката, но остават скептични относно използването й в реалния свят.
Преобръщайки удобството за плащане на PayPal с главата надолу, едно щракване е всичко, от което един нападател се нуждае, за да източи акаунта ви в PayPal.
Изследовател по сигурността демонстрира това, което според него е все още неотстранена уязвимост в PayPal, която по същество може да позволи на нападателите да изпразнят акаунта на жертвата в PayPal, след като ги подмамят да кликнат върху злонамерена връзка, в това, което технически се нарича кликкикване атака.
"Уязвимостта на PayPal clickjack е уникална с това, че обикновено отвличането на клик е стъпка едно към средство за стартиране на друга атака", каза Брад Хонг, vCISO, Horizon3ai, пред Lifewire по имейл. „Но в този случай, с едно щракване, [атаката помага] да разреши персонализирана сума за плащане, зададена от нападател.“
Отвличане на кликвания
Стефани Беноа-Курц, водещ факултет към Колежа по информационни системи и технологии към Университета на Финикс, добави, че атаките за кликване подмамват жертвите да завършат транзакция, която допълнително инициира множество различни дейности.
"Чрез щракването се инсталира злонамерен софтуер, лошите участници могат да съберат данни за вход, пароли и други елементи на локалната машина и да изтеглят рансъмуер", каза Беноа-Курц пред Lifewire по имейл.„Освен депозирането на инструменти на устройството на индивида, тази уязвимост също позволява на злонамерени лица да крадат пари от сметки в PayPal.“
Hong сравни атаките за кликване с новия училищен подход на тези невъзможни за затваряне изскачащи прозорци на стрийминг уебсайтове. Но вместо да скрият X, за да го затворят, те скриват всичко, за да подражават на нормални, законни уебсайтове.
"Атаката заблуждава потребителя да мисли, че щраква върху едно нещо, докато в действителност е нещо съвсем различно", обясни Хонг. „Чрез поставяне на непрозрачен слой върху зона за щракване на уеб страница, потребителите се насочват към всяко място, което е собственост на нападател, без изобщо да знаят.“
След като прегледа техническите подробности за атаката, Хонг каза, че работи чрез злоупотреба с легитимен токен на PayPal, който е компютърен ключ, който разрешава автоматични методи на плащане чрез PayPal Express Checkout.
Атаката работи чрез поставяне на скрита връзка вътре в това, което се нарича iframe с непрозрачност, зададена от нула върху реклама за законен продукт на легитимен сайт.
"Скритият слой ви насочва към това, което може да изглежда като истинската продуктова страница, но вместо това той проверява дали вече сте влезли в PayPal и ако е така, може директно да тегли пари от [вашия] PayPal акаунт, " сподели Хонг.
Атаката заблуждава потребителя да мисли, че щраква върху едно нещо, докато в действителност е нещо съвсем различно.
Той добави, че тегленето с едно щракване е уникално и подобни банкови измами с щракане на кликове обикновено включват множество кликвания, за да подмамят жертвите да потвърдят директен превод от уебсайта на тяхната банка.
Твърде много усилия?
Chris Goettl, вицепрезидент на продуктовия мениджмънт в Ivanti, каза, че удобството е нещо, от което нападателите винаги се стремят да се възползват.
„Плащането с едно щракване с помощта на услуга като PayPal е удобна функция, която хората свикват да използват и вероятно няма да забележат, че нещо не е наред с изживяването, ако нападателят представи добре злонамерената връзка“, каза Гьотъл пред Lifewire по имейл.
За да ни спаси от този трик, Беноа-Курц предложи да следваме здравия разум и да не щракваме върху връзки в изскачащи прозорци или уебсайтове, които не сме посещавали конкретно, както и в съобщения и имейли, които не сме инициирали.
„Интересното е, че тази уязвимост беше докладвана през октомври 2021 г. и към днешна дата остава известна уязвимост,“посочи Беноа-Курц.
Изпратихме имейл на PayPal, за да поискаме мнението им относно констатациите на изследователя, но не получихме отговор.
Goettl обаче обясни, че въпреки че уязвимостта все още може да не е коригирана, не е лесно да се използва. За да проработи трикът, нападателите трябва да проникнат в законен уебсайт, който приема плащания чрез PayPal, и след това да вмъкнат злонамереното съдържание, за да могат хората да кликнат.
„Това вероятно ще бъде намерено за кратък период от време, така че би било голямо усилие за ниска печалба, преди атаката вероятно да бъде открита“, каза Goettl.
