Ključni podaci za van
- Istraživač sigurnosti pokazao je kako se PayPalov mehanizam plaćanja jednim klikom može zloupotrijebiti za krađu novca, jednim klikom.
- Istraživač tvrdi da je ranjivost prvi put otkrivena u listopadu 2021. i nije zakrpana do danas.
- Sigurnosni stručnjaci hvale novost napada, ali su i dalje skeptični glede njegove uporabe u stvarnom svijetu.
Preokrećući PayPal-ovu pogodnost plaćanja naglavce, jedan klik je sve što napadaču treba da isprazni vaš PayPal račun.
Istraživač sigurnosti pokazao je, kako tvrdi, još nezakrpanu ranjivost u PayPalu koja bi zapravo mogla omogućiti napadačima da isprazne žrtvin PayPal račun nakon što su ih naveli da kliknu zlonamjernu poveznicu, u onome što se tehnički naziva clickjacking napad.
"Ranjivost PayPal clickjack-a jedinstvena je po tome što je tipično otimanje klika prvi korak do načina pokretanja nekog drugog napada", rekao je Brad Hong, vCISO, Horizon3ai, za Lifewire putem e-pošte. "Ali u ovom slučaju, jednim klikom [napad pomaže] autorizira prilagođeni iznos plaćanja koji je postavio napadač."
Otmica klikova
Stephanie Benoit-Kurtz, voditeljica Fakulteta za informacijske sustave i tehnologiju na Sveučilištu u Phoenixu, dodala je da napadi clickjackinga prevare žrtve da dovrše transakciju koja dalje pokreće mnoštvo različitih aktivnosti.
"Kroz klik se instalira zlonamjerni softver, zlonamjernici mogu prikupiti podatke za prijavu, lozinke i druge stavke na lokalnom računalu i preuzeti ransomware", rekao je Benoit-Kurtz za Lifewire putem e-pošte."Osim polaganja alata na uređaju pojedinca, ova ranjivost također omogućuje lošim akterima da ukradu novac s PayPal računa."
Hong je usporedio clickjacking napade s novim školskim pristupom onih skočnih prozora koje je nemoguće zatvoriti na web stranicama za strujanje. Ali umjesto da sakriju X da bi ga zatvorili, oni skrivaju cijelu stvar kako bi oponašali normalne, legitimne web stranice.
"Napad zavarava korisnika da misli da klika jednu stvar, a zapravo je to nešto sasvim drugo", objasnio je Hong. "Postavljanjem neprozirnog sloja na vrh područja klika na web stranici, korisnici se nalaze preusmjereni na bilo koje mjesto koje je u vlasništvu napadača, a da to uopće ne znaju."
Nakon što je pregledao tehničke detalje napada, Hong je rekao da funkcionira zlouporabom legitimnog PayPal tokena, koji je računalni ključ koji autorizira automatske metode plaćanja putem PayPal Express Checkouta.
Napad funkcionira postavljanjem skrivene veze unutar onoga što se naziva iframe s neprozirnošću postavljenom na nulu na vrhu oglasa za legitiman proizvod na legitimnoj web stranici.
"Skriveni sloj vas usmjerava na nešto što se može činiti kao stvarna stranica proizvoda, ali umjesto toga provjerava jeste li već prijavljeni na PayPal, i ako jeste, može izravno povući novac s [vašeg] PayPal račun, " podijelio je Hong.
Napad zavara korisnika da pomisli da klika jednu stvar, a zapravo je to nešto sasvim drugo.
Dodao je da je podizanje jednim klikom jedinstveno, a slične bankovne prijevare koje tjeraju klikove obično uključuju više klikova kako bi se žrtve prevarile da potvrde izravan prijenos s web stranice svoje banke.
Previše truda?
Chris Goettl, potpredsjednik upravljanja proizvodima u Ivantiju, rekao je da je pogodnost nešto što napadači uvijek žele iskoristiti.
"Plaćanje jednim klikom korištenjem usluge kao što je PayPal praktična je značajka na koju se ljudi naviknu i vjerojatno neće primijetiti da je nešto loše u iskustvu ako napadač dobro predstavi zlonamjernu vezu", rekao je Goettl za Lifewire putem e-pošte.
Kako bi nas spasio od nasjedanja na ovaj trik, Benoit-Kurtz je predložio da slijedimo zdrav razum i ne klikamo veze u bilo kojoj vrsti skočnih prozora ili web stranica na koje nismo posebno otišli, kao ni u porukama i e-pošti, koje mi nismo inicirali.
“Zanimljivo je da je ova ranjivost prijavljena još u listopadu 2021. i do danas je poznata ranjivost,” istaknuo je Benoit-Kurtz.
Poslali smo e-poštu PayPalu kako bismo zatražili njihovo mišljenje o otkrićima istraživača, ali nismo dobili odgovor.
Goettl je, međutim, objasnio da iako ranjivost još uvijek nije popravljena, nije je lako iskoristiti. Da bi trik uspio, napadači moraju provaliti na legitimnu web stranicu koja prihvaća plaćanja putem PayPala i zatim umetnuti zlonamjerni sadržaj na koji ljudi mogu kliknuti.
"Ovo bi se vjerojatno otkrilo u kratkom vremenskom razdoblju, tako da bi bio veliki napor za mali dobitak prije nego što bi se napad vjerojatno otkrio," smatra Goettl.