Atslēgas līdzņemšanai
- Drošības pētnieks ir parādījis, kā PayPal maksāšanas ar vienu klikšķi mehānismu var ļaunprātīgi izmantot, lai ar vienu klikšķi nozagtu naudu.
- Pētnieks apgalvo, ka ievainojamība pirmo reizi tika atklāta 2021. gada oktobrī un joprojām nav aizlāpīta.
- Drošības eksperti slavē uzbrukuma novitāti, taču joprojām ir skeptiski par tā izmantošanu reālajā pasaulē.
Pagriežot PayPal maksājumu ērtības uz galvas, uzbrucējam ir nepieciešams tikai viens klikšķis, lai iztukšotu jūsu PayPal kontu.
Drošības pētnieks ir pierādījis, viņaprāt, vēl neatklātu PayPal ievainojamību, kas būtībā varētu ļaut uzbrucējiem iztukšot upura PayPal kontu pēc tam, kad viņi ir piemānījuši viņu noklikšķināt uz ļaunprātīgas saites, ko tehniski dēvē par klikšķu uzlaupīšanu. uzbrukums.
"PayPal Clickjack ievainojamība ir unikāla ar to, ka parasti klikšķa nolaupīšana ir pirmais solis ceļā uz cita uzbrukuma uzsākšanu," e-pastā Lifewire pastāstīja Breds Hons, vCISO, Horizon3ai. "Taču šajā gadījumā ar vienu klikšķi [uzbrukums palīdz] autorizēt pielāgotu maksājuma summu, ko iestatījis uzbrucējs."
Klikšķu nolaupīšana
Stefānija Benuā-Kurca, Fīniksas Universitātes Informācijas sistēmu un tehnoloģiju koledžas vadošā fakultāte, piebilda, ka klikšķu nolaupīšanas uzbrukumi upuriem liek pabeigt darījumu, kas vēl vairāk sāk virkni dažādu darbību.
"Noklikšķinot, tiek instalēta ļaunprātīga programmatūra, sliktie dalībnieki var apkopot pieteikumvārdus, paroles un citus vienumus vietējā datorā un lejupielādēt izspiedējvīrusu programmatūru," Benuā-Kurts pastāstīja Lifewire pa e-pastu."Papildus rīku noguldīšanai personas ierīcē šī ievainojamība ļauj ļaunajiem dalībniekiem nozagt naudu no PayPal kontiem."
Hongs salīdzināja klikšķu uzlaušanas uzbrukumus ar jauno skolas pieeju, kurā nav iespējams aizvērt uznirstošos logus straumēšanas vietnēs. Bet tā vietā, lai paslēptu X, lai aizvērtu, viņi slēpj visu, lai līdzinātos parastajām, likumīgajām vietnēm.
"Uzbrukums mudina lietotāju, liekot domāt, ka viņš noklikšķina uz vienas lietas, lai gan patiesībā tas ir kaut kas pavisam cits," skaidroja Hons. "Novietojot necaurspīdīgu slāni tīmekļa lapas klikšķa apgabala augšpusē, lietotāji tiek novirzīti uz jebkuru vietu, kas pieder uzbrucējam, pat nezinot."
Pēc uzbrukuma tehnisko detaļu izpētes Hongs sacīja, ka tas darbojas, ļaunprātīgi izmantojot likumīgu PayPal marķieri, kas ir datora atslēga, kas autorizē automātiskās maksājuma metodes, izmantojot PayPal Express Checkout.
Uzbrukums darbojas, ievietojot slēptu saiti tā sauktajā iframe, kuras necaurredzamības kopa ir nulle virs likumīga produkta reklāmas likumīgā vietnē.
"Slēptais slānis novirza jūs uz to, kas varētu šķist īsta produkta lapa, taču tā vietā tiek pārbaudīts, vai esat jau pieteicies PayPal, un, ja tā, tas var tieši izņemt naudu no [jūsu] PayPal konts, koplietots Hong.
Uzbrukums liek lietotājam domāt, ka viņš noklikšķina uz vienas lietas, lai gan patiesībā tas ir kaut kas pavisam cits.
Viņš piebilda, ka naudas izņemšana ar vienu klikšķi ir unikāla, un līdzīgas banku krāpšanas ar klikšķu nolaupīšanu parasti ietver vairākus klikšķus, lai apmānītu upurus, lai viņi apstiprinātu tiešu pārskaitījumu no savas bankas vietnes.
Pārāk daudz pūļu?
Kriss Gētls, Ivanti produktu pārvaldības viceprezidents, teica, ka ērtības ir tas, ko uzbrucēji vienmēr cenšas izmantot.
“Maksāšana ar vienu klikšķi, izmantojot tādu pakalpojumu kā PayPal, ir ērta funkcija, pie kuras cilvēki pierod un, visticamāk, nepamanīs, ka pieredzē kaut kas ir nedaudz neparasts, ja uzbrucējs labi parāda ļaunprātīgo saiti,” portālam Lifewire stāstīja Gētls. pa e-pastu.
Lai glābtu mūs no šī trika, Benuā-Kurcs ieteica ievērot veselo saprātu un neklikšķināt uz saitēm nekāda veida uznirstošajos logos vai vietnēs, kuras mēs īpaši neapmeklējām, kā arī ziņojumos un e-pastos, ko mēs neierosinājām.
“Interesanti, ka par šo ievainojamību tika ziņots jau 2021. gada oktobrī, un līdz šodienai tā joprojām ir zināma ievainojamība,” norādīja Benuā-Kurts.
Mēs nosūtījām PayPal e-pasta ziņojumu, lai lūgtu viņu viedokli par pētnieka atklājumiem, taču neesam saņēmuši atbildi.
Gētls tomēr paskaidroja, ka, lai gan ievainojamība joprojām var nebūt novērsta, to nav viegli izmantot. Lai triks darbotos, uzbrucējiem ir jāielaužas likumīgā vietnē, kas pieņem maksājumus, izmantojot PayPal, un pēc tam jāievieto ļaunprātīgs saturs, lai cilvēki varētu noklikšķināt.
“Tas, visticamāk, tiktu atklāts īsā laika periodā, tāpēc būtu jāpieliek lielas pūles, lai panāktu nelielu ieguvumu, pirms uzbrukums, visticamāk, tiks atklāts,” sacīja Gētls.
