Key takeaways
- En säkerhetsforskare har visat hur PayPals betalningsmekanism med ett klick kan missbrukas för att stjäla pengar med ett enda klick.
- Forskaren hävdar att sårbarheten upptäcktes första gången i oktober 2021 och förblir oparpad fram till idag.
- Säkerhetsexperter lovordar det nya med attacken men är fortfarande skeptiska till dess användning i verkligheten.
För att vända på PayPals betalningsbekvämlighet är ett klick allt som en angripare behöver för att tömma ditt PayPal-konto.
En säkerhetsforskare har visat vad han hävdar är en ännu ej åtgärdad sårbarhet i PayPal som i huvudsak kan tillåta angripare att tömma ett offers PayPal-konto efter att ha lurat dem att klicka på en skadlig länk, i vad som tekniskt kallas clickjacking attack.
"Sårbarheten för PayPals clickjack är unik i det att kapning av ett klick vanligtvis är steg ett till ett sätt att starta någon annan attack", sa Brad Hong, vCISO, Horizon3ai, till Lifewire via e-post. "Men i det här fallet, med ett enda klick, [hjälper attacken] till att auktorisera ett anpassat betalningsbelopp som ställts in av en angripare."
Caping Clicks
Stephanie Benoit-Kurtz, ledande fakultet för College of Information Systems and Technology vid University of Phoenix, tillade att clickjacking-attacker lurar offren att slutföra en transaktion som ytterligare initierar en mängd olika aktiviteter.
"Genom klicket installeras skadlig programvara, de dåliga aktörerna kan samla inloggningar, lösenord och andra föremål på den lokala maskinen och ladda ner ransomware", sa Benoit-Kurtz till Lifewire via e-post."Utöver insättningen av verktyg på individens enhet tillåter denna sårbarhet även dåliga skådespelare att stjäla pengar från PayPal-konton."
Hong jämförde clickjacking-attacker med den nya skolmetoden med de omöjliga att stänga popup-fönster på strömmande webbplatser. Men istället för att dölja X:et för att stänga ute, gömmer de allt för att efterlikna normala, legitima webbplatser.
"Attacken lurar användaren att tro att de klickar på en sak när det i själva verket är något helt annat", förklarade Hong. "Genom att placera ett ogenomskinligt lager ovanpå ett klickområde på en webbsida blir användare dirigerad till var som helst som ägs av en angripare, utan att någonsin veta det."
Efter att ha läst igenom de tekniska detaljerna för attacken sa Hong att det fungerar genom att missbruka en legitim PayPal-token, som är en datornyckel som tillåter automatiska betalningsmetoder via PayPal Express Checkout.
Attacken fungerar genom att placera en dold länk inuti vad som kallas en iframe med dess opacitetsuppsättning noll ovanpå en annons för en legitim produkt på en legitim webbplats.
"Det dolda lagret leder dig till vad som kan tyckas vara den riktiga produktsidan, men istället kontrollerar det om du redan är inloggad på PayPal, och i så fall kan det ta ut pengar direkt från [din] PayPal-konto, " delade Hong.
Attacken lurar användaren att tro att de klickar på en sak när det i själva verket är något helt annat.
Han tillade att uttaget med ett klick är unikt, och liknande bankbedrägerier med clickjacking involverar vanligtvis flera klick för att lura offren att bekräfta en direkt överföring från bankens webbplats.
För mycket ansträngning?
Chris Goettl, VP of Product Management på Ivanti, sa att bekvämlighet är något angripare alltid vill dra nytta av.
"Betalning med ett klick med hjälp av en tjänst som PayPal är en bekvämlighetsfunktion som folk vänjer sig vid att använda och som sannolikt inte kommer att märka att något är lite fel i upplevelsen om angriparen presenterar den skadliga länken väl", sa Goettl till Lifewire via e-post.
För att rädda oss från att falla för det här tricket föreslog Benoit-Kurtz att följa sunt förnuft och inte klicka på länkar i någon typ av popup-fönster eller webbplatser som vi inte specifikt besökte, såväl som i meddelanden och e-postmeddelanden, som vi inte initierade.
"Intressant nog rapporterades denna sårbarhet redan i oktober 2021 och är från och med idag en känd sårbarhet", påpekade Benoit-Kurtz.
Vi mailade PayPal för att be om deras syn på forskarens resultat men har inte fått något svar.
Goettl förklarade dock att även om sårbarheten fortfarande inte är åtgärdad är den inte lätt att utnyttja. För att tricket ska fungera måste angripare ta sig in på en legitim webbplats som accepterar betalningar via PayPal och sedan infoga det skadliga innehållet så att folk kan klicka.
"Detta skulle sannolikt hittas inom en kort tidsperiod, så det skulle vara en stor ansträngning för en låg vinst innan attacken troligen skulle upptäckas", menade Goettl.