Folje kryesore
- Një studiues sigurie ka treguar se si mekanizmi i pagesës me një klikim të PayPal mund të abuzohet për të vjedhur para, me një klik të vetëm.
- Kërkuesi pretendon se cenueshmëria u zbulua për herë të parë në tetor 2021 dhe mbetet e pazgjidhur deri më sot.
- Ekspertët e sigurisë lavdërojnë risinë e sulmit, por mbeten skeptikë për përdorimin e tij në botën reale.
Duke e kthyer lehtësinë e pagesës së PayPal në kokë, një klikim është gjithçka që i duhet një sulmuesi për të kulluar llogarinë tuaj PayPal.
Një studiues sigurie ka demonstruar atë që ai pretendon se është një cenueshmëri ende e parregulluar në PayPal, e cila në thelb mund t'i lejojë sulmuesit të zbrazin llogarinë e një viktime në PayPal pasi i mashtronin të klikojnë në një lidhje me qëllim të keq, në atë që teknikisht referohet si një klikim. sulm.
"Dënueshmëria e klikimit të PayPal është unike në atë që zakonisht rrëmbimi i një klikimi është hapi i parë drejt një mjeti për të nisur një sulm tjetër," tha Brad Hong, vCISO, Horizon3ai, Lifewire përmes emailit. "Por në këtë rast, me një klikim të vetëm, [sulmi ndihmon] autorizon një shumë të personalizuar pagese të caktuar nga një sulmues."
Klikime rrëmbimi
Stephanie Benoit-Kurtz, Fakulteti Udhëheqës për Kolegjin e Sistemeve të Informacionit dhe Teknologjisë në Universitetin e Phoenix, shtoi se sulmet e klikimeve mashtrojnë viktimat për të përfunduar një transaksion që më tej fillon një mori aktivitetesh të ndryshme.
"Përmes klikimit, instalohet malware, aktorët e këqij mund të mbledhin hyrje, fjalëkalime dhe artikuj të tjerë në makinën lokale dhe të shkarkojnë ransomware," i tha Benoit-Kurtz Lifewire përmes emailit."Përtej depozitimit të mjeteve në pajisjen e individit, kjo dobësi gjithashtu lejon aktorët e këqij të vjedhin para nga llogaritë e PayPal."
Hong krahasoi sulmet e vjedhjes së klikimeve me qasjen e re shkollore të atyre që nuk mund të mbyllen dritaret kërcyese në faqet e internetit të transmetimit. Por në vend që të fshehin X për ta mbyllur, ata fshehin të gjithë gjënë për të imituar faqet e internetit normale dhe legjitime.
"Sulmi mashtron përdoruesin duke menduar se ata po klikojnë një gjë kur në fakt është diçka krejtësisht ndryshe," shpjegoi Hong. "Duke vendosur një shtresë të errët në krye të një zone klikimi në një faqe ueb, përdoruesit e gjejnë veten të drejtuar drejt kudo që është në pronësi të një sulmuesi, pa e ditur kurrë."
Pas shqyrtimit të detajeve teknike të sulmit, Hong tha se funksionon duke keqpërdorur një token legjitim të PayPal, i cili është një çelës kompjuteri që autorizon metodat automatike të pagesës nëpërmjet PayPal Express Checkout.
Sulmi funksionon duke vendosur një lidhje të fshehur brenda asaj që quhet iframe me grupin e saj të paqartësisë zero në krye të një reklame për një produkt legjitim në një sajt legjitim.
"Shtesa e fshehur ju drejton drejt asaj që mund të duket si faqja e vërtetë e produktit, por në vend të kësaj, ajo po kontrollon nëse jeni identifikuar tashmë në PayPal dhe nëse po, është në gjendje të tërheqë drejtpërdrejt para nga [tuajja] Llogaria PayPal, " ndau Hong.
Sulmi mashtron përdoruesin duke menduar se ata po klikojnë një gjë kur në fakt është diçka krejtësisht ndryshe.
Ai shtoi se tërheqja me një klikim është unike, dhe mashtrime të ngjashme bankare me klikime zakonisht përfshijnë klikime të shumta për të mashtruar viktimat për të konfirmuar një transferim të drejtpërdrejtë nga faqja e internetit e bankës së tyre.
Shumë përpjekje?
Chris Goettl, VP i Menaxhimit të Produkteve në Ivanti, tha se komoditeti është diçka nga e cila sulmuesit gjithmonë kërkojnë të përfitojnë.
"Paga me një klikim duke përdorur një shërbim si PayPal është një veçori komoditeti që njerëzit mësohen ta përdorin dhe ka të ngjarë të mos vënë re diçka që është pak e keqe në përvojë nëse sulmuesi paraqet mirë lidhjen me qëllim të keq," tha Goettl për Lifewire. me email.
Për të na shpëtuar nga rënia pas këtij truku, Benoit-Kurtz sugjeroi të ndiqni sensin e shëndoshë dhe të mos klikoni lidhje në asnjë lloj dritareje kërcyese ose faqe interneti në të cilat nuk kemi shkuar në mënyrë specifike, si dhe në mesazhe dhe emaile, që ne nuk e nisëm.
"Interesante, kjo dobësi u raportua në tetor të vitit 2021 dhe, që nga sot, mbetet një dobësi e njohur," vuri në dukje Benoit-Kurtz.
I dërguam email PayPal për të kërkuar pikëpamjet e tyre mbi gjetjet e studiuesit, por nuk kemi marrë përgjigje.
Goettl, megjithatë, shpjegoi se megjithëse dobësia mund të mos zgjidhet ende, nuk është e lehtë për t'u shfrytëzuar. Që truku të funksionojë, sulmuesit duhet të hyjnë në një faqe interneti të ligjshme që pranon pagesa përmes PayPal dhe më pas të fusin përmbajtjen me qëllim të keq që njerëzit të klikojnë.
"Kjo ka të ngjarë të gjendet në një periudhë të shkurtër kohe, kështu që do të ishte një përpjekje e madhe për një fitim të ulët përpara se sulmi të mund të zbulohej," mendoi Goettl.