Clau per emportar
- Un investigador de seguretat ha demostrat com es pot abusar del mecanisme de pagament d'un sol clic de PayPal per robar diners amb un sol clic.
- L'investigador afirma que la vulnerabilitat es va descobrir per primera vegada a l'octubre de 2021 i continua sense pegat fins avui.
- Els experts en seguretat lloen la novetat de l'atac, però es mostren escèptics sobre el seu ús en el món real.
Amb la comoditat de pagament de PayPal, tot el que necessita un atacant és un clic per esgotar el vostre compte de PayPal.
Un investigador de seguretat ha demostrat que el que diu és una vulnerabilitat encara sense pegar a PayPal que bàsicament podria permetre als atacants buidar el compte de PayPal d'una víctima després d'enganyar-los perquè facin clic en un enllaç maliciós, en el que tècnicament s'anomena clickjacking. atac.
"La vulnerabilitat de PayPal clickjack és única, ja que normalment el segrest d'un clic és el primer pas per llançar un altre atac", va dir Brad Hong, vCISO, Horizon3ai, a Lifewire per correu electrònic. "Però en aquest cas, amb un sol clic, [l'atac ajuda] a autoritzar una quantitat de pagament personalitzada establerta per un atacant."
Clics de segrest
Stephanie Benoit-Kurtz, professora principal de la Facultat de Sistemes d'Informació i Tecnologia de la Universitat de Phoenix, va afegir que els atacs de clic enganyen les víctimes perquè finalitzin una transacció que inicia una sèrie d'activitats diferents.
"A través del clic, s'instal·la programari maliciós, els actors dolents poden reunir inicis de sessió, contrasenyes i altres elements a la màquina local i descarregar ransomware", va dir Benoit-Kurtz a Lifewire per correu electrònic."Més enllà del dipòsit d'eines al dispositiu de l'individu, aquesta vulnerabilitat també permet als actors dolents robar diners dels comptes de PayPal."
Hong va comparar els atacs de clickjacking amb el nou enfocament escolar d'aquells impossibles de tancar finestres emergents als llocs web de transmissió. Però en lloc d'amagar la X per tancar-lo, ho amaguen tot per emular llocs web normals i legítims.
"L'atac enganya l'usuari fent-li pensar que està fent clic en una cosa quan en realitat és una cosa completament diferent", va explicar Hong. "En col·locar una capa opaca a la part superior d'una àrea de clic en una pàgina web, els usuaris es troben dirigits a qualsevol lloc que sigui propietat d'un atacant, sense saber-ho mai."
Després de revisar els detalls tècnics de l'atac, Hong va dir que funciona utilitzant malament un testimoni legítim de PayPal, que és una clau d'ordinador que autoritza mètodes de pagament automàtic mitjançant PayPal Express Checkout.
L'atac funciona col·locant un enllaç ocult dins del que s'anomena un iframe amb el seu conjunt d'opacitats de zero a sobre d'un anunci d'un producte legítim en un lloc legítim.
"La capa oculta us dirigeix al que pot semblar la pàgina del producte real, però en canvi, està comprovant si ja heu iniciat sessió a PayPal i, si és així, pot retirar diners directament de [el vostre] Compte de PayPal", ha compartit Hong.
L'atac enganya l'usuari fent-li pensar que està fent clic en una cosa quan en realitat és una cosa completament diferent.
Va afegir que la retirada d'un sol clic és única i que els fraus bancaris similars amb clic-jacking solen implicar diversos clics per enganyar les víctimes perquè confirmin una transferència directa des del lloc web del seu banc.
Massa esforç?
Chris Goettl, vicepresident de gestió de productes d'Ivanti, va dir que la comoditat és una cosa que els atacants sempre busquen aprofitar.
"El pagament amb un sol clic mitjançant un servei com PayPal és una característica de comoditat a la qual la gent s'acostuma a fer servir i que probablement no notarà que alguna cosa no està una mica fora de l'experiència si l'atacant presenta bé l'enllaç maliciós", va dir Goettl a Lifewire. per correu electrònic.
Per estalviar-nos de caure en aquest truc, Benoit-Kurtz va suggerir seguir el sentit comú i no fer clic a enllaços en cap tipus de finestres emergents o llocs web als quals no vam anar específicament, així com als missatges i correus electrònics. que no vam iniciar.
"Curiosament, aquesta vulnerabilitat es va informar a l'octubre de 2021 i, a dia d'avui, continua sent una vulnerabilitat coneguda", va assenyalar Benoit-Kurtz.
Vam enviar un correu electrònic a PayPal per demanar-li la seva opinió sobre les troballes de l'investigador, però no hem rebut cap resposta.
Goettl, però, va explicar que encara que la vulnerabilitat encara no s'hagi solucionat, no és fàcil d'explotar. Perquè el truc funcioni, els atacants han d'entrar en un lloc web legítim que accepti pagaments mitjançant PayPal i després inserir el contingut maliciós perquè la gent faci clic.
"Probablement es trobaria en un curt període de temps, de manera que seria un gran esforç per obtenir un guany baix abans que es descobrís l'atac", va opinar Goettl.