Βασικά Takeaways
- Ένας ερευνητής ασφάλειας έδειξε πώς μπορεί να γίνει κατάχρηση του μηχανισμού πληρωμής με ένα κλικ του PayPal για την κλοπή χρημάτων, με ένα μόνο κλικ.
- Ο ερευνητής ισχυρίζεται ότι η ευπάθεια ανακαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2021 και παραμένει χωρίς επιδιόρθωση μέχρι σήμερα.
- Εμπειρογνώμονες σε θέματα ασφαλείας επαινούν την καινοτομία της επίθεσης, αλλά παραμένουν δύσπιστοι σχετικά με τη χρήση της στον πραγματικό κόσμο.
Αναλλάσσοντας την ευκολία πληρωμής του PayPal, ένα κλικ είναι το μόνο που χρειάζεται ένας εισβολέας για να εξαντλήσει τον λογαριασμό σας στο PayPal.
Ένας ερευνητής ασφάλειας απέδειξε αυτό που ισχυρίζεται ότι είναι μια ευπάθεια που δεν έχει επιδιορθωθεί ακόμη στο PayPal που θα μπορούσε ουσιαστικά να επιτρέψει στους εισβολείς να αδειάσουν τον λογαριασμό PayPal ενός θύματος αφού το εξαπατήσουν να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο, σε αυτό που τεχνικά αναφέρεται ως clickjacking επίθεση.
"Η ευπάθεια του PayPal clickjack είναι μοναδική στο ότι συνήθως η παραβίαση ενός κλικ είναι το πρώτο βήμα προς ένα μέσο εκτόξευσης κάποιας άλλης επίθεσης", είπε ο Brad Hong, vCISO, Horizon3ai, στο Lifewire μέσω email. "Αλλά σε αυτήν την περίπτωση, με ένα μόνο κλικ, [η επίθεση βοηθά] εξουσιοδοτεί ένα προσαρμοσμένο ποσό πληρωμής που ορίζεται από έναν εισβολέα."
Κλικ πειρατείας
Stephanie Benoit-Kurtz, Επικεφαλής Σχολής για το Κολλέγιο Πληροφοριακών Συστημάτων και Τεχνολογίας στο Πανεπιστήμιο του Phoenix, πρόσθεσε ότι οι επιθέσεις clickjacking εξαπατούν τα θύματα να ολοκληρώσουν μια συναλλαγή που ξεκινά περαιτέρω μια σειρά από διαφορετικές δραστηριότητες.
"Με το κλικ, εγκαθίσταται κακόβουλο λογισμικό, οι κακοί ηθοποιοί μπορούν να συγκεντρώσουν στοιχεία σύνδεσης, κωδικούς πρόσβασης και άλλα στοιχεία στον τοπικό υπολογιστή και να κατεβάσουν ransomware", είπε ο Benoit-Kurtz στο Lifewire μέσω email."Πέρα από την κατάθεση εργαλείων στη συσκευή του ατόμου, αυτή η ευπάθεια επιτρέπει επίσης σε κακούς ηθοποιούς να κλέβουν χρήματα από λογαριασμούς PayPal."
Το Hong συνέκρινε τις επιθέσεις clickjacking με τη νέα σχολική προσέγγιση εκείνων που είναι αδύνατο να κλείσουν τα αναδυόμενα παράθυρα σε ιστοτόπους ροής. Αλλά αντί να κρύβουν το Χ για να κλείσουν, κρύβουν ολόκληρο το πράγμα για να μιμηθούν κανονικούς, νόμιμους ιστότοπους.
"Η επίθεση ξεγελά τον χρήστη να πιστεύει ότι κάνει κλικ σε ένα πράγμα, ενώ στην πραγματικότητα είναι κάτι εντελώς διαφορετικό", εξήγησε ο Χονγκ. "Με την τοποθέτηση ενός αδιαφανούς στρώματος πάνω από μια περιοχή κλικ σε μια ιστοσελίδα, οι χρήστες οδηγούνται σε οπουδήποτε ανήκει σε έναν εισβολέα, χωρίς να το γνωρίζουν ποτέ."
Μετά από μελέτη των τεχνικών λεπτομερειών της επίθεσης, ο Χονγκ είπε ότι λειτουργεί με κατάχρηση ενός νόμιμου διακριτικού PayPal, το οποίο είναι ένα κλειδί υπολογιστή που εξουσιοδοτεί τις αυτόματες μεθόδους πληρωμής μέσω PayPal Express Checkout.
Η επίθεση λειτουργεί τοποθετώντας έναν κρυφό σύνδεσμο μέσα σε αυτό που ονομάζεται iframe με το σύνολο αδιαφάνειας μηδέν πάνω από μια διαφήμιση για ένα νόμιμο προϊόν σε έναν νόμιμο ιστότοπο.
"Το κρυφό επίπεδο σάς κατευθύνει σε αυτό που μπορεί να φαίνεται σαν την πραγματική σελίδα προϊόντος, αλλά αντ 'αυτού, ελέγχει αν είστε ήδη συνδεδεμένοι στο PayPal και, αν ναι, μπορεί να κάνει απευθείας ανάληψη χρημάτων από [σας] λογαριασμός PayPal, " μοιράστηκε το Χονγκ.
Η επίθεση ξεγελάει τον χρήστη και νομίζει ότι κάνει κλικ σε ένα πράγμα, ενώ στην πραγματικότητα είναι κάτι εντελώς διαφορετικό.
Πρόσθεσε ότι η ανάληψη με ένα κλικ είναι μοναδική και παρόμοιες τραπεζικές απάτες κατά κλικ συνήθως περιλαμβάνουν πολλαπλά κλικ για να εξαπατήσουν τα θύματα ώστε να επιβεβαιώσουν μια άμεση μεταφορά από τον ιστότοπο της τράπεζάς τους.
Πολλή προσπάθεια;
Ο Chris Goettl, Αντιπρόεδρος Διαχείρισης Προϊόντων της Ivanti, είπε ότι η ευκολία είναι κάτι από το οποίο οι εισβολείς προσπαθούν πάντα να εκμεταλλευτούν.
"Η πληρωμή με ένα κλικ χρησιμοποιώντας μια υπηρεσία όπως το PayPal είναι μια βολική λειτουργία που οι άνθρωποι συνηθίζουν να χρησιμοποιούν και πιθανότατα δεν θα παρατηρήσουν ότι κάτι είναι λίγο κακό στην εμπειρία εάν ο εισβολέας παρουσιάσει καλά τον κακόβουλο σύνδεσμο", είπε ο Goettl στο Lifewire μέσω email.
Για να μας γλιτώσει από αυτό το τέχνασμα, ο Benoit-Kurtz πρότεινε να ακολουθούμε την κοινή λογική και να μην κάνουμε κλικ σε συνδέσμους σε οποιοδήποτε τύπο αναδυόμενων παραθύρων ή ιστότοπους στους οποίους δεν πήγαμε συγκεκριμένα, καθώς και σε μηνύματα και email, που δεν ξεκινήσαμε εμείς.
"Είναι ενδιαφέρον ότι αυτή η ευπάθεια αναφέρθηκε τον Οκτώβριο του 2021 και, από σήμερα, παραμένει γνωστή ευπάθεια", επεσήμανε ο Benoit-Kurtz.
Στείλαμε email στο PayPal για να ρωτήσουμε τις απόψεις του σχετικά με τα ευρήματα του ερευνητή, αλλά δεν έχουμε λάβει απάντηση.
Ωστόσο, ο Goettl εξήγησε ότι παρόλο που η ευπάθεια μπορεί να μην έχει επιδιορθωθεί, δεν είναι εύκολο να την εκμεταλλευτεί κανείς. Για να λειτουργήσει το κόλπο, οι εισβολείς πρέπει να εισβάλουν σε έναν νόμιμο ιστότοπο που δέχεται πληρωμές μέσω PayPal και στη συνέχεια να εισάγουν το κακόβουλο περιεχόμενο για να κάνουν κλικ οι χρήστες.
"Αυτό πιθανότατα θα βρισκόταν σε σύντομο χρονικό διάστημα, επομένως θα ήταν μεγάλη προσπάθεια για ένα χαμηλό κέρδος προτού πιθανώς ανακαλυφθεί η επίθεση", είπε ο Goettl.