Key Takeaways
- Istraživač sigurnosti pokazao je kako PayPal-ov mehanizam plaćanja jednim klikom može biti zloupotrebljen za krađu novca, jednim klikom.
- Istraživač tvrdi da je ranjivost prvi put otkrivena u oktobru 2021. godine i da je ostala nezakrpljena do danas.
- Stručnjaci za sigurnost hvale novost napada, ali ostaju skeptični u pogledu njegove upotrebe u stvarnom svijetu.
Okrenuvši PayPal-ovu pogodnost plaćanja na glavu, jedan klik je sve što je napadaču potrebno da isprazni vaš PayPal račun.
Sigurnosni istraživač je demonstrirao ono što on tvrdi da je još uvijek nezakrpljena ranjivost u PayPal-u koja bi u suštini mogla omogućiti napadačima da isprazne PayPal račun žrtve nakon što ih navedu da kliknu na zlonamjernu vezu, u onome što se tehnički naziva “klik-jacking” napad.
"Ranjivost PayPal clickjack-a je jedinstvena po tome što je tipično otmicanje klika prvi korak ka sredstvu pokretanja nekog drugog napada," rekao je Brad Hong, vCISO, Horizon3ai, za Lifewire putem e-pošte. "Ali u ovom slučaju, jednim klikom, [napad pomaže] autorizirati prilagođeni iznos plaćanja koji je odredio napadač."
Hicking Clicks
Stephanie Benoit-Kurtz, vodeći fakultet za Koledž za informacione sisteme i tehnologiju na Univerzitetu u Phoenixu, dodala je da klikjacking napadi prevare žrtve da završe transakciju koja dalje pokreće niz različitih aktivnosti.
"Klikom se instalira zlonamjerni softver, loši akteri mogu prikupiti prijave, lozinke i druge stavke na lokalnom računaru i preuzeti ransomware", rekao je Benoit-Kurtz za Lifewire putem e-pošte."Pored depozita alata na uređaju pojedinca, ova ranjivost također omogućava lošim akterima da ukradu novac sa PayPal računa."
Hong je uporedio clickjacking napade sa novim školskim pristupom onih koje je nemoguće zatvoriti na web stranicama za striming. Ali umjesto da sakriju X za zatvaranje, oni skrivaju cijelu stvar da bi oponašali normalne, legitimne web stranice.
"Napad zavarava korisnika da misli da klika na jednu stvar, dok je u stvarnosti to nešto sasvim drugo", objasnio je Hong. "Postavljanjem neprozirnog sloja na vrh područja klika na web stranici, korisnici će biti preusmjereni na bilo koje mjesto koje je u vlasništvu napadača, a da to nikada ne znaju."
Nakon što je proučio tehničke detalje napada, Hong je rekao da radi zloupotrebom legitimnog PayPal tokena, koji je kompjuterski ključ koji autorizira automatske metode plaćanja putem PayPal Express Checkout-a.
Napad funkcionira postavljanjem skrivene veze unutar onoga što se zove iframe sa svojim skupom neprozirnosti od nule na vrhu oglasa za legitiman proizvod na legitimnom web mjestu.
"Skriveni sloj vas usmjerava na ono što bi moglo izgledati kao prava stranica proizvoda, ali umjesto toga provjerava da li ste već prijavljeni na PayPal, i ako jeste, može direktno podići novac sa [vašeg] PayPal račun, " podijelio Hong.
Napad zavarava korisnika da misli da klika jednu stvar, a u stvarnosti je to nešto sasvim drugo.
Dodao je da je povlačenje jednim klikom jedinstveno, a slične bankovne prijevare s clickjacking-om obično uključuju više klikova kako bi se žrtve prevarile da potvrde direktan prijenos sa web stranice svoje banke.
Previše napora?
Chris Goettl, potpredsjednik upravljanja proizvodima u Ivantiju, rekao je da je pogodnost nešto što napadači uvijek žele iskoristiti.
„Plaćanje jednim klikom pomoću usluge kao što je PayPal je pogodna funkcija na koju se ljudi navikavaju i vjerovatno neće primijetiti da nešto nije u redu u iskustvu ako napadač dobro predstavi zlonamjernu vezu,” rekao je Goettl za Lifewire putem emaila.
Da nas spasi od nasjedanja na ovaj trik, Benoit-Kurtz je predložio da slijedimo zdrav razum i ne klikamo na linkove u bilo kojoj vrsti iskačućih prozora ili web stranica na koje nismo posebno išli, kao iu porukama i e-mailovima, koje mi nismo inicirali.
“Zanimljivo je da je ova ranjivost prijavljena još u oktobru 2021. godine i od danas ostaje poznata ranjivost,” istakao je Benoit-Kurtz.
Poslali smo e-poštu PayPal-u da zatražimo njihovo mišljenje o nalazima istraživača, ali nismo dobili odgovor.
Goettl je, međutim, objasnio da, iako ranjivost možda još uvijek nije ispravljena, nije je lako iskoristiti. Da bi trik uspio, napadači moraju provaliti na legitimnu web stranicu koja prihvaća plaćanja putem PayPal-a i zatim umetnuti zlonamjerni sadržaj da bi ljudi kliknuli.
“Ovo bi se vjerovatno otkrilo u kratkom vremenskom periodu, tako da bi bio veliki napor za nisku dobit prije nego što bi napad vjerovatno bio otkriven,” smatra Goettl.
