Key Takeaway
- Seorang penyelidik keselamatan telah menunjukkan bagaimana mekanisme pembayaran satu klik PayPal boleh disalahgunakan untuk mencuri wang, dengan satu klik.
- Penyelidik mendakwa kelemahan itu mula-mula ditemui pada Oktober 2021 dan masih belum ditambal sehingga hari ini.
- Pakar keselamatan memuji kebaharuan serangan itu tetapi tetap ragu-ragu tentang penggunaan dunia sebenar.
Menghidupkan kemudahan pembayaran PayPal, satu klik sahaja yang diperlukan oleh penyerang untuk mengosongkan akaun PayPal anda.
Seorang penyelidik keselamatan telah menunjukkan perkara yang didakwanya sebagai kelemahan yang belum ditambal dalam PayPal yang pada asasnya boleh membenarkan penyerang mengosongkan akaun PayPal mangsa selepas menipu mereka untuk mengklik pautan berniat jahat, dalam perkara yang secara teknikal disebut sebagai clickjacking serang.
"Kerentanan clickjack PayPal adalah unik kerana kebiasaannya merampas klik adalah langkah pertama untuk melancarkan beberapa serangan lain," kata Brad Hong, vCISO, Horizon3ai, kepada Lifewire melalui e-mel. "Tetapi dalam keadaan ini, dengan satu klik, [serangan membantu] membenarkan jumlah pembayaran tersuai yang ditetapkan oleh penyerang."
Klik Merampas
Stephanie Benoit-Kurtz, Fakulti Utama untuk Kolej Sistem Maklumat dan Teknologi di Universiti Phoenix, menambah bahawa serangan clickjacking memperdaya mangsa untuk menyelesaikan transaksi yang seterusnya memulakan pelbagai aktiviti yang berbeza.
"Melalui klik, perisian hasad dipasang, pelaku jahat boleh mengumpulkan log masuk, kata laluan dan item lain pada mesin tempatan dan memuat turun perisian tebusan," kata Benoit-Kurtz kepada Lifewire melalui e-mel."Selain deposit alat pada peranti individu, kerentanan ini juga membenarkan pelakon jahat mencuri wang daripada akaun PayPal."
Hong membandingkan serangan clickjacking dengan pendekatan sekolah baharu yang mustahil untuk menutup pop timbul pada tapak web penstriman. Tetapi daripada menyembunyikan X untuk ditutup, mereka menyembunyikan keseluruhannya untuk mencontohi tapak web biasa yang sah.
"Serangan itu memperbodohkan pengguna untuk berfikir bahawa mereka mengklik satu perkara sedangkan sebenarnya ia adalah sesuatu yang sama sekali berbeza," jelas Hong. "Dengan meletakkan lapisan legap di atas kawasan klik pada halaman web, pengguna mendapati diri mereka dialihkan ke mana-mana yang dimiliki oleh penyerang, tanpa pernah mengetahui."
Selepas meneliti butiran teknikal serangan itu, Hong berkata ia berfungsi dengan menyalahgunakan token PayPal yang sah, iaitu kunci komputer yang membenarkan kaedah pembayaran automatik melalui PayPal Express Checkout.
Serangan berfungsi dengan meletakkan pautan tersembunyi di dalam apa yang dipanggil iframe dengan set kelegapan sifar di atas iklan untuk produk yang sah di tapak yang sah.
"Lapisan tersembunyi menghalakan anda ke halaman yang mungkin kelihatan seperti halaman produk sebenar, tetapi sebaliknya, ia menyemak untuk melihat sama ada anda telah log masuk ke PayPal, dan jika ya, ia boleh mengeluarkan wang secara langsung daripada [anda] Akaun PayPal, " berkongsi Hong.
Serangan itu memperbodohkan pengguna untuk berfikir bahawa mereka mengklik satu perkara sedangkan sebenarnya ia adalah sesuatu yang berbeza sama sekali.
Beliau menambah pengeluaran satu klik adalah unik, dan penipuan bank clickjacking serupa biasanya melibatkan berbilang klik untuk menipu mangsa supaya mengesahkan pemindahan terus daripada tapak web bank mereka.
Terlalu Banyak Usaha?
Chris Goettl, VP Pengurusan Produk di Ivanti, berkata kemudahan adalah sesuatu yang selalu dicari oleh penyerang untuk mengambil kesempatan.
“Bayar satu klik menggunakan perkhidmatan seperti PayPal ialah ciri kemudahan yang biasa digunakan oleh orang ramai dan berkemungkinan tidak akan menyedari ada sesuatu yang tidak kena dalam pengalaman jika penyerang membentangkan pautan berniat jahat dengan baik,” kata Goettl kepada Lifewire melalui e-mel.
Untuk menyelamatkan kami daripada terpengaruh dengan helah ini, Benoit-Kurtz mencadangkan mengikut akal sehat dan tidak mengklik pautan dalam sebarang jenis tetingkap timbul atau tapak web yang kami tidak pergi secara khusus, serta dalam mesej dan e-mel, yang kami tidak mulakan.
“Menariknya, kerentanan ini telah dilaporkan pada Oktober 2021 dan, setakat hari ini, kekal sebagai kelemahan yang diketahui,” jelas Benoit-Kurtz.
Kami menghantar e-mel kepada PayPal untuk meminta pandangan mereka tentang penemuan penyelidik tetapi belum menerima jawapan.
Goettl, bagaimanapun, menjelaskan bahawa walaupun kelemahan itu mungkin masih belum diperbaiki, ia tidak mudah untuk dieksploitasi. Untuk helah itu berjaya, penyerang perlu menceroboh tapak web yang sah yang menerima pembayaran melalui PayPal dan kemudian memasukkan kandungan berniat jahat untuk diklik oleh orang ramai.
“Ini mungkin akan ditemui dalam tempoh yang singkat, jadi ia akan menjadi usaha yang tinggi untuk keuntungan yang rendah sebelum serangan itu mungkin ditemui,” pendapat Goettl.
