Klíčové poznatky
- Bezpečnostní výzkumník ukázal, jak lze platební mechanismus PayPal jedním kliknutím zneužít ke krádeži peněz jediným kliknutím.
- Výzkumník tvrdí, že zranitelnost byla poprvé objevena v říjnu 2021 a dodnes zůstává neopravena.
- Bezpečnostní experti chválí novinku útoku, ale zůstávají skeptičtí ohledně jeho použití v reálném světě.
Nastavíme-li pohodlí při placení přes PayPal, útočníkovi stačí jediné kliknutí, aby vyčerpal váš účet PayPal.
Bezpečnostní výzkumník prokázal to, o čem tvrdí, že jde o dosud neopravenou zranitelnost v PayPal, která by v podstatě mohla umožnit útočníkům vyprázdnit PayPal účet oběti poté, co ji přiměl ke kliknutí na škodlivý odkaz, což je technicky označované jako clickjacking útok.
„Zranitelnost PayPal clickjack je jedinečná v tom, že typicky únos kliknutí je prvním krokem k zahájení nějakého jiného útoku,“řekl Brad Hong, vCISO, Horizon3ai Lifewire e-mailem. "V tomto případě však [útok pomáhá] jediným kliknutím autorizovat vlastní částku platby nastavenou útočníkem."
Únos kliknutí
Stephanie Benoit-Kurtz, vedoucí fakulta na College of Information Systems and Technology na University of Phoenix, dodala, že útoky typu clickjacking přimějí oběti k dokončení transakce, která dále iniciuje řadu různých aktivit.
„Prostřednictvím kliknutí se malware nainstaluje, špatní herci mohou získat přihlašovací jména, hesla a další položky na místním počítači a stáhnout ransomware,“řekl Benoit-Kurtz Lifewire e-mailem.„Kromě uložení nástrojů na zařízení jednotlivce tato zranitelnost také umožňuje zlým aktérům krást peníze z účtů PayPal.“
Hong přirovnal útoky clickjackingem k novému školnímu přístupu, kdy nelze zavírat vyskakovací okna na streamovacích webech. Ale místo toho, aby skryli X, aby se uzavřeli, skryjí celou věc, aby napodobili normální, legitimní webové stránky.
„Útok oklame uživatele, aby si myslel, že kliká na jednu věc, i když ve skutečnosti je to něco úplně jiného,“vysvětlil Hong. „Umístěním neprůhledné vrstvy na oblast pro kliknutí na webové stránce se uživatelé ocitnou nasměrováni kamkoli, které vlastní útočník, aniž by o tom věděli.“
Po prostudování technických detailů útoku Hong řekl, že to funguje tak, že zneužívá legitimní token PayPal, což je počítačový klíč, který autorizuje automatické platební metody prostřednictvím PayPal Express Checkout.
Útok funguje tak, že umístí skrytý odkaz do toho, čemu se říká iframe s nulovou neprůhledností nad reklamou na legitimní produkt na legitimním webu.
"Skrytá vrstva vás nasměruje na stránku, která se může zdát jako skutečná produktová stránka, ale místo toho kontroluje, zda jste již přihlášeni do služby PayPal, a pokud ano, je schopna přímo vybrat peníze z [vaše] PayPal účet, " shared Hong.
Útok oklame uživatele, aby si myslel, že kliká na jednu věc, i když ve skutečnosti je to něco úplně jiného.
Dodal, že výběr jedním kliknutím je jedinečný a podobné podvody bank typu clickjacking obvykle zahrnují více kliknutí, aby oběti přiměly potvrdit přímý převod z webových stránek jejich banky.
Příliš mnoho úsilí?
Chris Goettl, viceprezident produktového managementu ve společnosti Ivanti, řekl, že pohodlí je něco, čeho se útočníci vždy snaží využít.
„Platba jedním kliknutím pomocí služby, jako je PayPal, je pohodlnou funkcí, na kterou si lidé zvyknou a pravděpodobně si nevšimnou, že je něco trochu špatného, pokud útočník dobře prezentuje škodlivý odkaz,“řekl Goettl Lifewire. e-mailem.
Aby nás tento trik zachránil, Benoit-Kurtz navrhl řídit se zdravým rozumem a neklikat na odkazy v žádném typu vyskakovacích oken nebo webových stránek, na které jsme konkrétně nechodili, stejně jako ve zprávách a e-mailech, které jsme nezahájili my.
„Je zajímavé, že tato zranitelnost byla nahlášena již v říjnu 2021 a k dnešnímu dni zůstává známou zranitelností,“upozornil Benoit-Kurtz.
Poslali jsme společnosti PayPal e-mail, abychom se zeptali na jejich názory na zjištění výzkumníka, ale nedostali jsme odpověď.
Goettl však vysvětlil, že ačkoli zranitelnost stále nemusí být opravena, není snadné ji zneužít. Aby tento trik fungoval, musí útočníci proniknout na legitimní web, který přijímá platby přes PayPal, a poté vložit škodlivý obsah, aby na něj lidé klikli.
„To by se pravděpodobně našlo v krátkém časovém období, takže by bylo vynaloženo velké úsilí na nízký zisk, než by byl pravděpodobně odhalen útok,“míní Goettl.