Một nhà nghiên cứu bảo mật tuyên bố đã phát hiện ra một lỗ hổng chưa được vá trong dịch vụ chuyển tiền của paypal có thể cho phép kẻ tấn công lừa nạn nhân vô tình hoàn thành các giao dịch do kẻ tấn công chỉ đạo bằng một cú nhấp chuột.
Clickjacking, còn được gọi là chỉnh sửa giao diện người dùng, đề cập đến một kỹ thuật trong đó người dùng vô tình bị lừa nhấp vào các phần tử trang web dường như vô hại như các nút với mục tiêu tải xuống phần mềm độc hại, chuyển hướng đến các trang web độc hại hoặc tiết lộ thông tin nhạy cảm.
Điều này thường đạt được bằng cách hiển thị một trang ẩn hoặc phần tử HTML trên đầu trang hiển thị, dẫn đến tình huống người dùng bị đánh lừa rằng họ đang nhấp vào trang hợp pháp trong khi thực tế họ đang nhấp vào phần tử giả mạo phủ trên đầu trang đó.
“Do đó, kẻ tấn công đang ‘chiếm đoạt' các nhấp chuột nhằm mục đích [the legitimate] và định tuyến chúng đến một trang khác, rất có thể thuộc sở hữu của một ứng dụng, miền khác hoặc cả hai “, nhà nghiên cứu bảo mật h4x0r_dz đã viết trong một bài đăng ghi lại những phát hiện.
h4x0r_dz, người đã phát hiện ra sự cố trên “www.paypal[.]điểm cuối com / thoả thuận / phê duyệt “, cho biết vấn đề đã được báo cáo cho công ty vào tháng 10 năm 2021.
Nhà nghiên cứu giải thích: “Điểm cuối này được thiết kế cho các Thỏa thuận thanh toán và nó chỉ chấp nhận billingAgosystemToken”. “Nhưng trong quá trình thử nghiệm sâu của mình, tôi nhận thấy rằng chúng tôi có thể vượt qua một loại mã thông báo khác và điều này dẫn đến việc đánh cắp tiền từ [a] tài khoản PayPal của nạn nhân. “
Điều này có nghĩa là kẻ thù có thể nhúng điểm cuối nói trên bên trong iframe, khiến nạn nhân đã đăng nhập vào trình duyệt web để chuyển tiền vào tài khoản PayPal do kẻ tấn công kiểm soát chỉ bằng một cú nhấp chuột.
Đáng quan tâm hơn, cuộc tấn công có thể gây ra hậu quả thảm khốc trong các cổng trực tuyến tích hợp với PayPal để thanh toán, cho phép kẻ độc hại khấu trừ số tiền tùy ý từ tài khoản PayPal của người dùng.
“Có những dịch vụ trực tuyến cho phép bạn thêm số dư bằng PayPal vào tài khoản của mình”, h4x0r_dz cho biết. “Tôi có thể sử dụng cùng một cách khai thác và buộc người dùng thêm tiền vào tài khoản của mình hoặc tôi có thể khai thác lỗi này và để nạn nhân tạo / thanh toán tài khoản Netflix cho tôi!”
(Cập nhật: Câu chuyện đã được sửa lại để đề cập rằng lỗi vẫn chưa được vá và nhà nghiên cứu bảo mật không được thưởng bất kỳ lỗi nào vì đã báo cáo sự cố. Lỗi này rất đáng tiếc. Chúng tôi cũng đã liên hệ với PayPal để biết thêm chi tiết.)
.
