Võtmed kaasavõtmiseks
- Turbeuurija on näidanud, kuidas PayPali ühe klõpsuga maksmise mehhanismi saab ühe klõpsuga raha varastada.
- Teadlase väitel avastati haavatavus esmakordselt 2021. aasta oktoobris ja see on tänaseni parandamata.
- Turvaeksperdid kiidavad rünnaku uudsust, kuid on endiselt skeptilised selle kasutamise suhtes reaalses maailmas.
PayPali maksemugavuse pea peale pöörates on ründajal vaid üks klõps, et teie PayPali konto tühjendada.
Turbeteadlane on näidanud, et tema väitel on PayPali veel parandamata haavatavus, mis võib sisuliselt lubada ründajatel tühjendada ohvri PayPali kontot pärast seda, kui nad on meelitanud neid klõpsama pahatahtlikul lingil, mida tehniliselt nimetatakse klõpsamiseks. rünnak.
"PayPali klikijaki haavatavus on ainulaadne selle poolest, et tavaliselt on kliki kaaperdamine mõne muu rünnaku käivitamise vahendi esimene samm," ütles Brad Hong vCISO, Horizon3ai, Lifewire'ile e-posti teel. "Kuid antud juhul annab [rünnak abi] ühe klõpsuga ründaja määratud kohandatud maksesumma."
Klikkide kaaperdamine
Stephanie Benoit-Kurtz, Phoenixi ülikooli infosüsteemide ja tehnoloogia kolledži juhtivteaduskond, lisas, et klõpsude röövimise rünnakud meelitavad ohvreid lõpetama tehingut, mis omakorda käivitab hulga erinevaid tegevusi.
"Klõpsamisega installitakse pahavara, halvad osalejad saavad koguda sisselogimisandmeid, paroole ja muid üksusi kohalikus masinas ning laadida alla lunavara," ütles Benoit-Kurtz Lifewire'ile e-posti teel."Peale tööriistade paigutamise üksikisiku seadmesse võimaldab see haavatavus ka halbadel osalejatel PayPali kontodelt raha varastada."
Hong võrdles klikkide röövimise rünnakuid voogesitusveebisaitide hüpikakende sulgemise uue kooli lähenemisviisiga. Kuid selle asemel, et sulgeda X-i, peidavad nad kogu asja, et jäljendada tavalisi seaduslikke veebisaite.
"Rünnak ajab kasutajat lolliks arvama, et nad klõpsavad ühel asjal, kuigi tegelikult on see hoopis midagi muud," selgitas Hong. "Kui asetate veebilehel klõpsamisala peale läbipaistmatu kihi, suunatakse kasutajad end teadmata kõikjale, mis kuulub ründajale."
Pärast ründe tehniliste üksikasjadega tutvumist ütles Hong, et see toimib seadusliku PayPali märgi kuritarvitamisega, mis on arvutivõti, mis lubab automaatseid makseviise PayPal Express Checkouti kaudu.
Rünnak toimib, asetades peidetud lingi nn iframe'i, mille läbipaistmatuse komplekt on null, seaduslikul saidil oleva seadusliku toote reklaami peale.
"Peidetud kiht suunab teid sellele, mis võib tunduda tõelise tootelehena, kuid selle asemel kontrollib see, kas olete juba PayPali sisse logitud ja kui jah, siis saab see otse välja võtta raha [teie] PayPali konto, jagas Hong.
Rünnak ajab kasutajat lolliks arvama, et nad klõpsavad ühel asjal, kuigi tegelikult on see hoopis midagi muud.
Ta lisas, et ühe klõpsuga väljamakse on ainulaadne ja sarnased pangapettused hõlmavad tavaliselt mitut klikki, et meelitada ohvreid kinnitama otseülekannet oma panga veebisaidilt.
Liiga palju vaeva?
Chris Goettl, Ivanti tootehalduse asepresident, ütles, et mugavus on midagi, mida ründajad alati ära kasutavad.
„Ühe klõpsuga maksmine, kasutades sellist teenust nagu PayPal, on mugavusfunktsioon, mille kasutamisega inimesed harjuvad ja tõenäoliselt ei märka, et midagi on kogemuses pisut valesti, kui ründaja esitab pahatahtliku lingi hästi,” ütles Goettl Lifewire'ile. meili teel.
Et meid sellesse trikki sattumast päästa, soovitas Benoit-Kurtz järgida tervet mõistust ja mitte klõpsata linke mis tahes tüüpi hüpikakendes või veebisaitidel, mida me konkreetselt ei külastanud, samuti sõnumites ja meilides, mida me ei algatanud.
„Huvitaval kombel teatati sellest haavatavusest 2021. aasta oktoobris ja tänase seisuga on see endiselt tuntud haavatavus,” märkis Benoit-Kurtz.
Saatsime PayPalile meili, et küsida nende seisukohti uurija leidude kohta, kuid pole vastust saanud.
Goettl aga selgitas, et kuigi haavatavust ei pruugi ikka veel parandada, ei ole seda lihtne ära kasutada. Et trikk toimiks, peavad ründajad tungima seaduslikule veebisaidile, mis aktsepteerib PayPali kaudu makseid, ja seejärel sisestama pahatahtliku sisu, et inimesed saaksid sellel klõpsata.
“Tõenäoliselt leitakse see lühikese aja jooksul, nii et enne rünnaku tõenäoliselt avastamist oleks vaja teha suuri jõupingutusi väikese kasu saamiseks,” arvas Goettl.
