Kľúčové poznatky
- Bezpečnostný výskumník ukázal, ako je možné zneužiť mechanizmus platby PayPal jedným kliknutím na krádež peňazí jediným kliknutím.
- Výskumník tvrdí, že zraniteľnosť bola prvýkrát objavená v októbri 2021 a dodnes zostáva neopravená.
- Bezpečnostní experti chvália novinku útoku, no zostávajú skeptickí, pokiaľ ide o jeho použitie v reálnom svete.
Keď sme otočili pohodlie platby PayPal na hlavu, útočníkovi stačí jedno kliknutie, aby vyčerpal váš účet PayPal.
Bezpečnostný výskumník preukázal to, o čom tvrdí, že ide o zatiaľ neopravenú zraniteľnosť v službe PayPal, ktorá by v podstate mohla umožniť útočníkom vyprázdniť účet PayPal obete po tom, čo ju prinútili kliknúť na škodlivý odkaz, čo je technicky označované ako clickjacking útok.
„Zraniteľnosť PayPal clickjack je jedinečná v tom, že únos kliknutia je zvyčajne prvým krokom k spusteniu nejakého iného útoku,“povedal pre Lifewire e-mailom Brad Hong, vCISO, Horizon3ai. "V tomto prípade však [útok pomáha] jediným kliknutím autorizovať vlastnú sumu platby nastavenú útočníkom."
Únos kliknutí
Stephanie Benoit-Kurtz, vedúca fakulta na Vysokej škole informačných systémov a technológií na Univerzite vo Phoenixe, dodala, že útoky typu clickjacking oklamú obete, aby dokončili transakciu, ktorá ďalej iniciuje množstvo rôznych aktivít.
„Kliknutím sa nainštaluje malvér, zlí herci môžu získať prihlasovacie mená, heslá a ďalšie položky na lokálnom počítači a stiahnuť ransomvér,“povedal Benoit-Kurtz Lifewire e-mailom.„Okrem uloženia nástrojov na zariadení jednotlivca táto zraniteľnosť tiež umožňuje zlým aktérom kradnúť peniaze z účtov PayPal.“
Hong porovnal útoky typu clickjacking s novým školským prístupom, ktorým je nemožné zatvárať vyskakovacie okná na streamovaných webových stránkach. Ale namiesto toho, aby skryli X, aby sa uzavreli, skryjú celú vec, aby napodobnili normálne, legitímne webové stránky.
„Útok oklame používateľa, aby si myslel, že kliká na jednu vec, hoci v skutočnosti je to niečo úplne iné,“vysvetlil Hong. „Umiestnením nepriehľadnej vrstvy na oblasť kliknutia na webovej stránke sa používatelia ocitnú nasmerovaní kamkoľvek, ktoré vlastní útočník, bez toho, aby o tom vedeli.“
Po preštudovaní technických detailov útoku Hong povedal, že to funguje tak, že zneužije legitímny token PayPal, čo je počítačový kľúč, ktorý autorizuje automatické spôsoby platby cez PayPal Express Checkout.
Útok funguje tak, že do reklamy na legitímny produkt na legitímnej stránke umiestnite skrytý odkaz do toho, čo sa nazýva iframe s nulovou nepriehľadnosťou.
„Skrytá vrstva vás nasmeruje na stránku, ktorá sa môže zdať ako skutočná stránka produktu, ale namiesto toho kontroluje, či ste už prihlásený/-á do služby PayPal, a ak áno, môže priamo vybrať peniaze z [vašej] PayPal účet, " shared Hong.
Útok oklame používateľa, aby si myslel, že kliká na jednu vec, hoci v skutočnosti je to niečo úplne iné.
Dodal, že výber jedným kliknutím je jedinečný a podobné bankové podvody typu clickjacking zvyčajne zahŕňajú viacnásobné kliknutia s cieľom oklamať obete, aby potvrdili priamy prevod z webovej stránky svojej banky.
Príliš veľa úsilia?
Chris Goettl, viceprezident produktového manažmentu v Ivanti, povedal, že pohodlie je niečo, čo sa útočníci vždy snažia využiť.
„Platba jedným kliknutím pomocou služby, ako je PayPal, je pohodlnou funkciou, na ktorú si ľudia zvyknú a pravdepodobne si nevšimnú, že niečo nie je v poriadku, ak útočník dobre prezentuje škodlivý odkaz,“povedal Goettl pre Lifewire. e-mailom.
Aby nás tento trik zachránil, Benoit-Kurtz navrhol riadiť sa zdravým rozumom a neklikať na odkazy v žiadnom type kontextových okien alebo webových stránok, na ktoré sme špecificky nechodili, ako aj v správach a e-mailoch, ktoré sme neiniciovali.
„Je zaujímavé, že táto zraniteľnosť bola nahlásená už v októbri 2021 a dodnes zostáva známou zraniteľnosťou,“zdôraznil Benoit-Kurtz.
Poslali sme e-mail spoločnosti PayPal, aby sme sa spýtali na ich názory na zistenia výskumníka, ale nedostali sme odpoveď.
Goettl však vysvetlil, že hoci táto chyba zabezpečenia stále nie je opravená, nie je ľahké ju zneužiť. Aby tento trik fungoval, útočníci musia preniknúť na legitímnu webovú stránku, ktorá prijíma platby cez PayPal, a potom vložiť škodlivý obsah, aby ľudia klikli.
„Pravdepodobne by sa to našlo v krátkom časovom období, takže by to bolo veľmi náročné na nízky zisk, kým by sa útok pravdepodobne odhalil,“povedal Goettl.
