Key takeaways
- En sikkerhedsforsker har vist, hvordan PayPals betalingsmekanisme med ét klik kan misbruges til at stjæle penge med et enkelt klik.
- Forskeren hævder, at sårbarheden først blev opdaget i oktober 2021 og forbliver upatched indtil i dag.
- Sikkerhedseksperter roser angrebets nyhed, men er fortsat skeptiske over for dets brug i den virkelige verden.
Når du vender PayPals betalingskomfort på hovedet, er ét klik alt, hvad en angriber behøver for at dræne din PayPal-konto.
En sikkerhedsforsker har påvist, hvad han hævder, er en endnu ikke-patchet sårbarhed i PayPal, der i det væsentlige kunne tillade angribere at tømme et offers PayPal-konto efter at have narret dem til at klikke på et ondsindet link, i det der teknisk kaldes clickjacking angreb.
"PayPal Clickjack-sårbarheden er unik ved, at kapring af et klik typisk er trin et til et middel til at iværksætte et andet angreb," fort alte Brad Hong, vCISO, Horizon3ai, til Lifewire via e-mail. "Men i dette tilfælde, med et enkelt klik, [hjælper angrebet] med at godkende et tilpasset betalingsbeløb, der er angivet af en angriber."
Klikkapring
Stephanie Benoit-Kurtz, ledende fakultet for College of Information Systems and Technology ved University of Phoenix, tilføjede, at clickjacking-angreb narrer ofrene til at gennemføre en transaktion, der yderligere igangsætter en lang række forskellige aktiviteter.
"Gennem klikket installeres malware, de dårlige aktører kan samle logins, adgangskoder og andre ting på den lokale maskine og downloade ransomware," fort alte Benoit-Kurtz til Lifewire via e-mail."Ud over deponering af værktøjer på den enkeltes enhed giver denne sårbarhed også dårlige skuespillere mulighed for at stjæle penge fra PayPal-konti."
Hong sammenlignede clickjacking-angreb med den nye skoletilgang med de umulige at lukke popups på streaming-websteder. Men i stedet for at skjule X'et for at lukke ud, skjuler de det hele for at efterligne normale, legitime websteder.
"Angrebet narrer brugeren til at tro, at de klikker på én ting, når det i virkeligheden er noget helt andet," forklarede Hong. "Ved at placere et uigennemsigtigt lag oven på et klikområde på en webside, bliver brugerne dirigeret til et hvilket som helst sted, der ejes af en angriber, uden nogensinde at vide det."
Efter at have gennemlæst de tekniske detaljer om angrebet, sagde Hong, at det virker ved at misbruge et legitimt PayPal-token, som er en computernøgle, der autoriserer automatiske betalingsmetoder via PayPal Express Checkout.
Angrebet virker ved at placere et skjult link inde i det, der kaldes en iframe med dens opacitetssæt på nul oven på en annonce for et legitimt produkt på et legitimt websted.
"Det skjulte lag leder dig til, hvad der kan virke som den rigtige produktside, men i stedet tjekker det, om du allerede er logget ind på PayPal, og hvis det er tilfældet, er det i stand til at hæve penge direkte fra [din] PayPal-konto, " delte Hong.
Angrebet narrer brugeren til at tro, at de klikker på én ting, mens det i virkeligheden er noget helt andet.
Han tilføjede, at tilbagetrækningen med et enkelt klik er unik, og lignende clickjacking-banksvig involverer norm alt flere klik for at narre ofrene til at bekræfte en direkte overførsel fra deres banks hjemmeside.
For meget indsats?
Chris Goettl, VP for Product Management hos Ivanti, sagde, at bekvemmelighed er noget, angribere altid søger at drage fordel af.
“Betal med et enkelt klik ved at bruge en tjeneste som PayPal er en bekvemmelighedsfunktion, som folk vænner sig til at bruge, og som sandsynligvis ikke vil bemærke, at noget er lidt forkert i oplevelsen, hvis angriberen præsenterer det ondsindede link godt, siger Goettl til Lifewire. via e-mail.
For at redde os fra at falde for dette trick, foreslog Benoit-Kurtz at følge sund fornuft og ikke klikke på links i nogen form for popup-vinduer eller websteder, som vi ikke specifikt gik til, såvel som i beskeder og e-mails, som vi ikke startede.
“Interessant nok blev denne sårbarhed rapporteret tilbage i oktober 2021, og den er i dag stadig en kendt sårbarhed,” påpegede Benoit-Kurtz.
Vi har sendt en e-mail til PayPal for at bede om deres syn på forskerens resultater, men vi har ikke modtaget et svar.
Goettl forklarede dog, at selvom sårbarheden måske stadig ikke er rettet, er den ikke let at udnytte. For at tricket skal virke, skal angribere bryde ind på et legitimt websted, der accepterer betalinger via PayPal, og derefter indsætte det ondsindede indhold, så folk kan klikke.
"Dette ville sandsynligvis blive fundet i løbet af kort tid, så det ville være en stor indsats for en lav gevinst, før angrebet sandsynligvis ville blive opdaget," mente Goettl.