Key takeaways
- En sikkerhetsforsker har vist hvordan PayPals ett-klikks-betalingsmekanisme kan misbrukes til å stjele penger med et enkelt klikk.
- Forskeren hevder at sårbarheten først ble oppdaget i oktober 2021 og forblir uopprettet til i dag.
- Sikkerhetseksperter roser nyheten i angrepet, men er fortsatt skeptiske til bruken i den virkelige verden.
Snu PayPals betalingsvennlighet på hodet, ett klikk er alt en angriper trenger for å tømme PayPal-kontoen din.
En sikkerhetsforsker har vist det han hevder er en ennå uopprettet sårbarhet i PayPal som i hovedsak kan tillate angripere å tømme et offers PayPal-konto etter å ha lurt dem til å klikke på en ondsinnet lenke, i det som teknisk blir referert til som en clickjacking angrep.
"PayPal clickjack-sårbarheten er unik ved at kapring av et klikk typisk er trinn én for å sette i gang et annet angrep," sa Brad Hong, vCISO, Horizon3ai, til Lifewire via e-post. "Men i dette tilfellet, med et enkelt klikk, [hjelper angrepet] å autorisere et tilpasset betalingsbeløp satt av en angriper."
Klikkkapring
Stephanie Benoit-Kurtz, ledende fakultet for College of Information Systems and Technology ved University of Phoenix, la til at clickjacking-angrep lurer ofrene til å fullføre en transaksjon som ytterligere setter i gang en rekke forskjellige aktiviteter.
"Gjennom klikket blir skadelig programvare installert, de dårlige aktørene kan samle pålogginger, passord og andre elementer på den lokale maskinen og laste ned løsepengeprogramvare," sa Benoit-Kurtz til Lifewire via e-post."I tillegg til innskudd av verktøy på den enkeltes enhet, lar denne sårbarheten også dårlige skuespillere stjele penger fra PayPal-kontoer."
Hong sammenlignet clickjacking-angrep med den nye skoletilnærmingen til de umulige å lukke popup-vinduer på strømmenettsteder. Men i stedet for å skjule X-en for å lukke ute, skjuler de hele greia for å etterligne normale, legitime nettsteder.
"Angrepet lurer brukeren til å tro at de klikker på én ting når det i virkeligheten er noe helt annet," forklarte Hong. "Ved å plassere et ugjennomsiktig lag på toppen av et klikkområde på en nettside, blir brukere rutet til hvor som helst som eies av en angriper, uten å vite det."
Etter å ha lest gjennom de tekniske detaljene om angrepet, sa Hong at det fungerer ved å misbruke et legitimt PayPal-token, som er en datamaskinnøkkel som autoriserer automatiske betalingsmetoder via PayPal Express Checkout.
Angrepet fungerer ved å plassere en skjult lenke inne i det som kalles en iframe med opasitetssettet null på toppen av en annonse for et legitimt produkt på et legitimt nettsted.
"Det skjulte laget leder deg til det som kan virke som den virkelige produktsiden, men i stedet sjekker det om du allerede er logget på PayPal, og i så fall er det i stand til å ta ut penger direkte fra [din] PayPal-konto, " delte Hong.
Angrepet lurer brukeren til å tro at de klikker på én ting når det i virkeligheten er noe helt annet.
Han la til at uttaket med ett klikk er unikt, og lignende banksvindel med klikkjack involverer vanligvis flere klikk for å lure ofrene til å bekrefte en direkte overføring fra bankens nettsted.
For mye innsats?
Chris Goettl, VP of Product Management i Ivanti, sa at bekvemmelighet er noe angripere alltid ønsker å dra nytte av.
“Ett klikk-betal ved å bruke en tjeneste som PayPal er en bekvemmelighetsfunksjon som folk blir vant til å bruke og vil sannsynligvis ikke legge merke til at noe er litt feil i opplevelsen hvis angriperen presenterer den ondsinnede koblingen godt,” sa Goettl til Lifewire via e-post.
For å redde oss fra å falle for dette trikset, foreslo Benoit-Kurtz å følge sunn fornuft og ikke klikke på lenker i noen form for popup-vinduer eller nettsteder som vi ikke spesifikt gikk til, så vel som i meldinger og e-poster, som vi ikke startet.
«Interessant nok ble dette sikkerhetsproblemet rapportert tilbake i oktober 2021, og per i dag er det fortsatt en kjent sårbarhet,» påpekte Benoit-Kurtz.
Vi sendte en e-post til PayPal for å be om deres syn på forskerens funn, men har ikke mottatt noe svar.
Goettl forklarte imidlertid at selv om sårbarheten kanskje fortsatt ikke er fikset, er den ikke lett å utnytte. For at trikset skal fungere, må angripere bryte seg inn på et legitimt nettsted som godtar betalinger via PayPal og deretter sette inn det skadelige innholdet slik at folk kan klikke.
"Dette vil sannsynligvis bli funnet i løpet av kort tid, så det vil være en stor innsats for en lav gevinst før angrepet sannsynligvis vil bli oppdaget," mente Goettl.
