Pagrindiniai pasiėmimai
- Saugumo tyrinėtojas parodė, kaip „PayPal“mokėjimo vienu paspaudimu mechanizmu galima piktnaudžiauti siekiant pavogti pinigus vienu paspaudimu.
- Tyrėjas tvirtina, kad pažeidžiamumas pirmą kartą buvo aptiktas 2021 m. spalį ir iki šiol nepataisytas.
- Saugumo ekspertai giria atakos naujumą, bet ir toliau skeptiškai vertina jos naudojimą realiame pasaulyje.
Pakeitus PayPal mokėjimo patogumą, užpuolikui užtenka vieno paspaudimo, kad išeikvotų jūsų PayPal paskyrą.
Saugumo tyrinėtojas įrodė, jo teigimu, dar nepataisytą „PayPal“pažeidžiamumą, kuris iš esmės gali leisti užpuolikams ištuštinti aukos „PayPal“paskyrą, apgaule apgaule spustelėjus kenkėjišką nuorodą, techniškai vadinamu paspaudimų užgrobimu. puolimas.
„PayPal Clickjack pažeidžiamumas yra unikalus tuo, kad paprastai paspaudimo užgrobimas yra pirmasis žingsnis siekiant pradėti kitą ataką“, – „Lifewire“el. paštu sakė Bradas Hongas, Horizon3ai, vCISO. "Tačiau šiuo atveju vienu spustelėjimu [ataka padeda] autorizuoti užpuoliko nustatytą tinkintą mokėjimo sumą."
Paspaudimų užgrobimas
Stephanie Benoit-Kurtz, Finikso universiteto Informacinių sistemų ir technologijų kolegijos vadovaujanti fakulteto fakulteto vadovė, pridūrė, kad spragtelėjimo atakos apgaudinėja aukas, kad jos užbaigtų sandorį, kuris dar labiau inicijuoja daugybę skirtingų veiklų.
„Paspaudus įdiegiama kenkėjiška programa, blogi veikėjai gali rinkti prisijungimo vardus, slaptažodžius ir kitus elementus vietiniame kompiuteryje ir atsisiųsti išpirkos reikalaujančią programinę įrangą“, – „Lifewire“el. paštu sakė Benoit-Kurtz.„Ne tik įrankių deponavimas asmens įrenginyje, bet ir šis pažeidžiamumas leidžia blogiems veikėjams pavogti pinigus iš „PayPal“sąskaitų.“
Hong palygino paspaudimų užgrobimo atakas su nauju mokykliniu metodu, kai neįmanoma uždaryti iššokančiųjų langų srautinio perdavimo svetainėse. Tačiau užuot slėpę X, kad uždarytų, jie paslepia visą dalyką, kad imituotų įprastas, teisėtas svetaines.
„Ataka suklaidina vartotoją ir galvoja, kad spustelėja vieną dalyką, nors iš tikrųjų tai yra kažkas visiškai kitokio“, – paaiškino Hongas. „Padėję nepermatomą sluoksnį tinklalapio spustelėjimo srities viršuje, naudotojai patys to nežinodami nukreipiami į bet kurią vietą, kuri priklauso užpuolikui.“
Išnagrinėjęs technines atakos detales, Hong pasakė, kad ji veikia netinkamai naudojant teisėtą PayPal prieigos raktą, kuris yra kompiuterio raktas, leidžiantis naudoti automatinius mokėjimo metodus per PayPal Express Checkout.
Ataka veikia įdedant paslėptą nuorodą į vadinamąjį iframe, kurio neskaidrumo rinkinys yra nulis, teisėto produkto skelbimo viršuje teisėtoje svetainėje.
"Paslėptas sluoksnis nukreipia jus į tai, kas gali atrodyti kaip tikras produkto puslapis, bet vietoj to jis tikrina, ar jau esate prisijungę prie PayPal, ir jei taip, jis gali tiesiogiai atsiimti pinigus iš [jūsų] „PayPal“paskyra“, – bendrino Hong.
Ataka priverčia vartotoją manyti, kad spustelėja vieną dalyką, nors iš tikrųjų tai yra kažkas visiškai kito.
Jis pridūrė, kad pinigų išėmimas vienu spustelėjimu yra unikalus, o panašus banko apgaulės užgrobimas paprastai apima kelis paspaudimus, siekiant apgauti aukas, kad jos patvirtintų tiesioginį pervedimą iš savo banko svetainės.
Per daug pastangų?
Chrisas Goettlas, „Ivanti“produktų valdymo viceprezidentas, sakė, kad patogumas yra tai, kuo užpuolikai visada stengiasi pasinaudoti.
„Mokėjimas vienu spustelėjimu naudojant tokią paslaugą kaip „PayPal“yra patogumo funkcija, prie kurios žmonės pripranta ir greičiausiai nepastebės, kad kažkas yra šiek tiek ne taip, jei užpuolikas gerai pateikia kenkėjišką nuorodą“, – portalui Lifewire sakė Goettlas. el. paštu.
Siekdamas išgelbėti mus nuo šio triuko, Benoit-Kurtz pasiūlė vadovautis sveiku protu ir nespausti nuorodų jokiuose iššokančiuosiuose languose ar svetainėse, į kurias specialiai nesilankėme, taip pat pranešimuose ir el. laiškuose, kad ne mes inicijavome.
„Įdomu tai, kad apie šį pažeidžiamumą buvo pranešta dar 2021 m. spalio mėn. ir iki šiol jis išlieka žinomas“, – pažymėjo Benoit-Kurtz.
Išsiuntėme el. laišką PayPal, norėdami paklausti jų nuomonės apie tyrėjo išvadas, bet negavome atsakymo.
Tačiau Goettl paaiškino, kad nors pažeidžiamumas vis tiek gali būti nepataisytas, jį išnaudoti nėra lengva. Kad triukas veiktų, užpuolikai turi įsilaužti į teisėtą svetainę, kuri priima mokėjimus per PayPal, ir tada įterpti kenkėjišką turinį, kad žmonės galėtų spustelėti.
„Tikėtina, kad tai būtų rasta per trumpą laiką, todėl norint gauti nedidelį pelną reikės daug pastangų, kol ataka greičiausiai būtų aptikta“, – teigė Goettl.
