Raziskovalci pravijo, da ranljivost Paypala še ni odpravljena

Kazalo:

Raziskovalci pravijo, da ranljivost Paypala še ni odpravljena
Raziskovalci pravijo, da ranljivost Paypala še ni odpravljena
Anonim

Ključni izsledki

  • Raziskovalec varnosti je pokazal, kako je mogoče PayPalov plačilni mehanizem z enim klikom zlorabiti za krajo denarja z enim klikom.
  • Raziskovalec trdi, da je bila ranljivost prvič odkrita oktobra 2021 in ostaja nepopravljena do danes.
  • Varnostni strokovnjaki hvalijo novost napada, vendar ostajajo skeptični glede njegove uporabe v resničnem svetu.
Image
Image

Priročnost plačil PayPal obrnete na glavo, en klik je vse, kar napadalec potrebuje, da izprazni vaš račun PayPal.

Raziskovalec varnosti je pokazal, za kar trdi, da je še nepopravljena ranljivost v PayPalu, ki bi lahko napadalcem v bistvu omogočila, da izpraznijo žrtvin račun PayPal, potem ko so jih preslepili, da so kliknile zlonamerno povezavo, kar se tehnično imenuje vgrajevanje klikov napad.

"Ranljivost PayPal clickjack je edinstvena v tem, da je običajno ugrabitev klika prvi korak do načina za začetek kakega drugega napada," je za Lifewire po elektronski pošti povedal Brad Hong, vCISO, Horizon3ai. "Toda v tem primeru z enim samim klikom [napad pomaga] avtorizirati znesek plačila po meri, ki ga nastavi napadalec."

Ugrabitev klikov

Stephanie Benoit-Kurtz, vodilna fakulteta za Fakulteto za informacijske sisteme in tehnologijo na Univerzi v Phoenixu, je dodala, da napadi vgrajevanja klikov zavedejo žrtve, da dokončajo transakcijo, ki nadalje sproži množico različnih dejavnosti.

»S klikom se namesti zlonamerna programska oprema, zlobni akterji lahko zberejo prijave, gesla in druge elemente na lokalnem računalniku ter prenesejo izsiljevalsko programsko opremo,« je Benoit-Kurtz povedal Lifewire po elektronski pošti."Poleg deponiranja orodij na napravi posameznika ta ranljivost tudi omogoča slabim akterjem, da ukradejo denar iz računov PayPal."

Hong je napade vgrajevanja klikov primerjal z novim šolskim pristopom tistih, ki jih je na pretočnih spletnih mestih nemogoče zapreti. Toda namesto da bi skrili X, da bi ga zaprli, skrijejo celotno stvar, da posnemajo običajna, legitimna spletna mesta.

"Napad zavede uporabnika, da misli, da klika eno stvar, medtem ko je v resnici nekaj povsem drugega," je pojasnil Hong. "Z namestitvijo neprozorne plasti na območje klika na spletni strani se uporabniki znajdejo preusmerjeni kamor koli, ki je v lasti napadalca, ne da bi sploh vedeli."

Po preučitvi tehničnih podrobnosti napada je Hong dejal, da deluje z zlorabo zakonitega žetona PayPal, ki je računalniški ključ, ki avtorizira samodejne načine plačila prek PayPal Express Checkout.

Napad deluje tako, da na oglas za zakonit izdelek na zakonitem spletnem mestu postavi skrito povezavo znotraj tako imenovanega okvirja iframe z nizko motnostjo.

"Skrita plast vas usmeri na nekaj, kar se morda zdi kot prava stran izdelka, vendar namesto tega preverja, ali ste že prijavljeni v PayPal, in če ste, lahko neposredno dvigne denar iz [vaše] Račun PayPal, « je delil Hong.

Napad zavede uporabnika, da misli, da klika eno stvar, v resnici pa je nekaj povsem drugega.

Dodal je, da je dvig z enim klikom edinstven in da podobne bančne goljufije z vgrajevanjem klikov običajno vključujejo več klikov, da bi žrtve pretentali v potrditev neposrednega nakazila s spletnega mesta njihove banke.

Preveč napora?

Chris Goettl, podpredsednik produktnega upravljanja pri Ivantiju, je dejal, da je priročnost nekaj, kar napadalci vedno želijo izkoristiti.

»Plačilo z enim klikom s storitvijo, kot je PayPal, je priročna funkcija, ki se je ljudje navadijo uporabljati in verjetno ne bodo opazili, da je v izkušnji nekaj manjšega, če napadalec dobro predstavi zlonamerno povezavo,« je Goettl povedal za Lifewire po e-pošti.

Da bi nas rešil pred tem trikom, je Benoit-Kurtz predlagal, da sledimo zdravi pameti in ne klikamo povezav v nobeni vrsti pojavnih oken ali spletnih mest, ki jih nismo posebej obiskali, pa tudi v sporočilih in e-pošti, ki ga nismo mi sprožili.

»Zanimivo je, da so o tej ranljivosti poročali že oktobra 2021 in do danes ostaja znana ranljivost,« je poudaril Benoit-Kurtz.

Image
Image

Na PayPal smo poslali e-poštno sporočilo, da bi ga vprašali za njihovo mnenje o ugotovitvah raziskovalca, vendar nismo prejeli odgovora.

Goettl pa je pojasnil, da čeprav ranljivost morda še ni odpravljena, je ni enostavno izkoristiti. Da bi trik deloval, morajo napadalci vdreti v zakonito spletno mesto, ki sprejema plačila prek PayPala, in nato vstaviti zlonamerno vsebino, da jo ljudje kliknejo.

»To bi verjetno odkrili v kratkem času, zato bi bilo veliko truda za nizek dobiček, preden bi bil napad verjetno odkrit,« je menil Goettl.

Priporočena:

Raziskovalci so pokazali, da je priljubljen GPS sledilnik ranljiv za hekerje

Raziskovalci so pokazali, da je priljubljen GPS sledilnik ranljiv za hekerje

Raziskovalci so odkrili kritične ranljivosti v priljubljenem sledilniku GPS, ki se uporablja v milijonih vozil. Težava še ni odpravljena

Raziskovalci dokazujejo ranljivost v Bluetoothu

Raziskovalci dokazujejo ranljivost v Bluetoothu

Glavni ključ, ki lahko odklene katero koli pametno ključavnico bluetooth, se sliši strašljivo. Dobro je torej, da se kaj takega verjetno ne bo zgodilo

Kako prenesti denar iz PayPala na bančni račun

Kako prenesti denar iz PayPala na bančni račun

Ko povežete račun, je prenos denarja z vašega računa PayPal na bančni račun enostaven

Video klici morda niso varni, pravijo raziskovalci

Video klici morda niso varni, pravijo raziskovalci

Raziskovalci pri McAfeeju so odkrili, da je programska oprema za video klice lahko ranljiva za vdore, kar pomeni, da lahko nekdo prisluškuje vašim pogovorom ali še hujše

Kako takoj dvigniti denar iz PayPala

Kako takoj dvigniti denar iz PayPala

PayPal je odličen način za pošiljanje in prejemanje denarja prek spleta. Naučite se, kako takoj dvigniti svoj denar iz PayPala