Önemli Bilgiler
- Bir güvenlik araştırmacısı, PayPal'ın tek tıklamayla ödeme mekanizmasının tek bir tıklamayla para çalmak için nasıl kötüye kullanılabileceğini gösterdi.
- Araştırmacı, güvenlik açığının ilk olarak Ekim 2021'de keşfedildiğini ve bugüne kadar yama yapılmadığını iddia ediyor.
- Güvenlik uzmanları saldırının yeniliğini övüyor, ancak gerçek dünyadaki kullanımı konusunda şüpheci olmaya devam ediyor.
PayPal'ın ödeme kolaylığını alt üst eden bir saldırganın PayPal hesabınızı boş altması için tek bir tıklama yeterlidir.
Bir güvenlik araştırmacısı, PayPal'da, saldırganların kötü niyetli bir bağlantıya tıklamaları için kandırdıktan sonra, teknik olarak tıklama hırsızlığı olarak adlandırılan bir şekilde, kurbanın PayPal hesabını boş altmasına izin verebilecek, henüz yamalanmamış bir güvenlik açığı olduğunu gösterdi. saldırı.
Horizon3ai, vCISO'dan Brad Hong, Lifewire'a e-posta yoluyla verdiği demeçte, "PayPal tıklama saldırısı güvenlik açığı benzersizdir, çünkü tipik olarak bir tıklamayı ele geçirme, başka bir saldırı başlatmanın birinci adımıdır." "Ancak bu durumda, tek bir tıklamayla [saldırı yardımcı olur], bir saldırgan tarafından belirlenen özel bir ödeme tutarının yetkilendirilmesi."
Tıklamaları Ele Geçirme
Phoenix Üniversitesi Bilgi Sistemleri ve Teknoloji Koleji Baş Öğretim Üyesi Stephanie Benoit-Kurtz, tıklama saldırılarının kurbanları bir dizi farklı etkinliği daha da başlatan bir işlemi tamamlamaları için kandırdığını ekledi.
Benoit-Kurtz Lifewire'a e-posta yoluyla "Tıklama yoluyla kötü amaçlı yazılım yüklenir, kötü niyetli kişiler yerel makinede oturum açma bilgilerini, parolaları ve diğer öğeleri toplayabilir ve fidye yazılımı indirebilir" dedi."Bireyin cihazına araçların yatırılmasının ötesinde, bu güvenlik açığı kötü oyuncuların PayPal hesaplarından para çalmasına da izin veriyor."
Hong, tıklama saldırılarını akış web sitelerinde pop-up'ları kapatmanın imkansız olduğu yeni okul yaklaşımıyla karşılaştırdı. Ancak kapatmak için X'i gizlemek yerine, normal, meşru web sitelerini taklit etmek için her şeyi gizlerler.
"Saldırı, gerçekte tamamen farklı bir şey olduğu halde, kullanıcıyı bir şeyi tıkladıklarını düşünmeleri için kandırıyor" diye açıkladı Hong. "Bir web sayfasındaki tıklama alanının üstüne opak bir katman yerleştirerek, kullanıcılar kendilerini bir saldırganın sahip olduğu herhangi bir yere, hiç bilmeden yönlendirilmiş olarak bulurlar."
Saldırının teknik ayrıntılarını inceledikten sonra Hong, PayPal Express Checkout aracılığıyla otomatik ödeme yöntemlerine izin veren bir bilgisayar anahtarı olan meşru bir PayPal jetonunu kötüye kullanarak çalıştığını söyledi.
Saldırı, meşru bir sitedeki meşru bir ürün için bir reklamın üzerine opaklığı sıfır olan bir iframe denilen şeyin içine gizli bir bağlantı yerleştirerek çalışır.
"Gizli katman sizi gerçek ürün sayfası gibi görünebilecek bir şeye yönlendirir, ancak bunun yerine PayPal'da oturum açıp açmadığınızı kontrol eder ve eğer öyleyse, doğrudan [sizin hesabınızdan] para çekebilir.] PayPal hesabı, " paylaşılan Hong.
Saldırı, kullanıcının aslında tamamen farklı bir şeye tıkladığını düşünmesini sağlar.
Tek tıklamayla para çekmenin benzersiz olduğunu ve benzer tıklama hırsızlığı banka dolandırıcılıklarında genellikle kurbanları bankalarının web sitesinden doğrudan bir havaleyi onaylamaları için kandırmak için birden fazla tıklama yapıldığını ekledi.
Çok Fazla Çaba mı?
Ivanti Ürün Yönetimi Başkan Yardımcısı Chris Goettl, rahatlığın saldırganların her zaman yararlanmak istediği bir şey olduğunu söyledi.
Goettl, Lifewire'a verdiği demeçte, "PayPal gibi bir hizmeti kullanarak tek tıkla ödeme, insanların kullanmaya alıştığı ve muhtemelen deneyimde bir şeylerin ters gittiğini fark etmeyecekleri bir kolaylık özelliğidir" dedi. e-posta üzerinden.
Bizi bu numaraya düşmekten kurtarmak için, Benoit-Kurtz sağduyuyu takip etmeyi ve özellikle gitmediğimiz açılır pencere veya web sitelerinin yanı sıra mesajlar ve e-postalardaki bağlantılara tıklamamayı önerdi. biz başlatmadık.
"İlginç bir şekilde, bu güvenlik açığı Ekim 2021'de rapor edildi ve bugün itibariyle bilinen bir güvenlik açığı olmaya devam ediyor" diye belirtti Benoit-Kurtz.
Araştırmacının bulgularıyla ilgili görüşlerini almak için PayPal'a e-posta gönderdik ancak yanıt alamadık.
Ancak Goettl, güvenlik açığı hala düzeltilemese de, istismar edilmesinin kolay olmadığını açıkladı. Bu numaranın işe yaraması için, saldırganların PayPal üzerinden ödeme kabul eden meşru bir web sitesine girmesi ve ardından insanların tıklaması için kötü amaçlı içeriği eklemesi gerekiyor.
"Bu, muhtemelen kısa bir süre içinde bulunacaktır, bu nedenle saldırı muhtemelen keşfedilmeden önce düşük bir kazanç için yüksek bir çaba olacaktır," dedi Goettl.
