Mga Key Takeaway
- Ipinakita ng isang security researcher kung paano maaaring abusuhin ang one-click pay na mekanismo ng PayPal para magnakaw ng pera, sa isang click lang.
- Sinasabi ng mananaliksik na ang kahinaan ay unang natuklasan noong Oktubre 2021 at nananatiling hindi natatamaan hanggang ngayon.
- Purihin ng mga eksperto sa seguridad ang pagiging bago ng pag-atake ngunit nananatiling may pag-aalinlangan tungkol sa paggamit nito sa totoong mundo.
Isinasaalang-alang ang kaginhawaan ng pagbabayad ng PayPal, isang pag-click lang ang kailangan ng isang attacker para maubos ang iyong PayPal account.
Ipinakita ng isang security researcher ang sinasabi niyang isang hindi pa natatakpan na kahinaan sa PayPal na maaaring magbigay-daan sa mga umaatake na alisin ang laman ng PayPal account ng biktima pagkatapos silang linlangin sa pag-click sa isang nakakahamak na link, sa kung ano ang teknikal na tinutukoy bilang isang clickjacking atake.
"Ang kahinaan sa clickjack ng PayPal ay natatangi dahil ang karaniwang pag-hijack ng isang pag-click ay isang hakbang sa isang paraan ng paglulunsad ng iba pang pag-atake," sabi ni Brad Hong, vCISO, Horizon3ai, sa Lifewire sa pamamagitan ng email. "Ngunit sa pagkakataong ito, sa isang pag-click, [nakakatulong ang pag-atake] na pahintulutan ang custom na halaga ng pagbabayad na itinakda ng isang umaatake."
Pag-hijack ng Mga Pag-click
Stephanie Benoit-Kurtz, Lead Faculty para sa College of Information Systems and Technology sa University of Phoenix, idinagdag na ang clickjacking attacks ay nanlilinlang sa mga biktima sa pagkumpleto ng isang transaksyon na higit na nagpapasimula ng iba't ibang aktibidad.
"Sa pamamagitan ng pag-click, na-install ang malware, maaaring mangalap ng mga pag-login, password, at iba pang item sa lokal na makina ang masasamang aktor at mag-download ng ransomware," sabi ni Benoit-Kurtz sa Lifewire sa pamamagitan ng email."Higit pa sa deposito ng mga tool sa device ng indibidwal, ang kahinaang ito ay nagpapahintulot din sa mga masasamang aktor na magnakaw ng pera mula sa mga PayPal account."
Inihambing ng Hong ang mga pag-atake ng clickjacking sa bagong diskarte sa paaralan ng mga imposibleng isara ang mga popup sa mga streaming website. Ngunit sa halip na itago ang X upang isara, itinago nila ang buong bagay upang tularan ang mga normal at lehitimong website.
"Ang pag-atake ay niloloko ang gumagamit na isipin na nagki-click sila sa isang bagay ngunit sa totoo lang ay kakaiba ito," paliwanag ni Hong. "Sa pamamagitan ng paglalagay ng opaque na layer sa ibabaw ng click area sa isang webpage, nahahanap ng mga user ang kanilang sarili na iruruta sa kahit saan na pagmamay-ari ng isang attacker, nang hindi nalalaman."
Pagkatapos suriin ang mga teknikal na detalye ng pag-atake, sinabi ni Hong na gumagana ito sa pamamagitan ng maling paggamit ng isang lehitimong PayPal token, na isang computer key na nagpapahintulot sa mga awtomatikong paraan ng pagbabayad sa pamamagitan ng PayPal Express Checkout.
Gumagana ang pag-atake sa pamamagitan ng paglalagay ng nakatagong link sa loob ng tinatawag na iframe na may opacity set na zero sa ibabaw ng isang ad para sa isang lehitimong produkto sa isang lehitimong site.
"Ididirekta ka ng nakatagong layer sa kung ano ang maaaring mukhang totoong page ng produkto, ngunit sa halip, tinitingnan nito kung naka-log in ka na sa PayPal, at kung gayon, nagagawa nitong direktang mag-withdraw ng pera mula sa [iyong] PayPal account, " shared Hong.
Niloloko ng pag-atake ang user na isipin na nagki-click sila sa isang bagay ngunit sa totoo lang ay ibang-iba ito.
Idinagdag niya na ang one-click withdrawal ay natatangi, at ang mga katulad na clickjacking bank fraud ay kadalasang nagsasangkot ng maraming pag-click upang linlangin ang mga biktima sa pagkumpirma ng direktang paglipat mula sa website ng kanilang bangko.
Napakaraming Pagsisikap?
Chris Goettl, VP ng Product Management sa Ivanti, ay nagsabi na ang kaginhawahan ay isang bagay na laging tinitingnan ng mga umaatake na samantalahin.
“Ang one-click na bayad gamit ang isang serbisyo tulad ng PayPal ay isang feature na kaginhawahan na nakasanayan ng mga tao na gamitin at malamang na hindi mapansin ang isang bagay na medyo hindi maganda sa karanasan kung ipinakita ng umaatake ang nakakahamak na link nang maayos,” sinabi ni Goettl sa Lifewire sa email.
Upang iligtas kami mula sa pagkahulog sa trick na ito, iminungkahi ni Benoit-Kurtz na sundin ang sentido komun at huwag mag-click ng mga link sa anumang uri ng mga popup o website na hindi namin partikular na pinuntahan, gayundin sa mga mensahe, at email, na hindi namin sinimulan.
“Nakakatuwa, ang kahinaang ito ay naiulat noong Oktubre ng 2021 at, hanggang ngayon, ay nananatiling isang kilalang kahinaan,” itinuro ni Benoit-Kurtz.
Nag-email kami sa PayPal upang hingin ang kanilang mga pananaw sa mga natuklasan ng mananaliksik ngunit hindi nakatanggap ng tugon.
Goettl, gayunpaman, ipinaliwanag na kahit na ang kahinaan ay maaaring hindi pa rin maayos, hindi madaling pagsamantalahan. Para gumana ang trick, kailangang pumasok ang mga attacker sa isang lehitimong website na tumatanggap ng mga pagbabayad sa pamamagitan ng PayPal at pagkatapos ay ipasok ang nakakahamak na content para i-click ng mga tao.
“Malamang na ito ay matatagpuan sa maikling panahon, kaya ito ay isang mataas na pagsisikap para sa isang mababang kita bago malamang na matuklasan ang pag-atake,” ayon kay Goettl.
