Da asporto chiave
- Un ricercatore di sicurezza ha mostrato come si possa abusare del meccanismo di pagamento con un clic di PayPal per rubare denaro, con un solo clic.
- Il ricercatore afferma che la vulnerabilità è stata scoperta per la prima volta nell'ottobre 2021 e rimane senza patch fino ad oggi.
- Gli esperti di sicurezza lodano la novità dell'attacco ma rimangono scettici sul suo utilizzo nel mondo reale.
Rib altando la comodità di pagamento di PayPal, un clic è tutto ciò di cui un utente malintenzionato ha bisogno per svuotare il tuo conto PayPal.
Un ricercatore di sicurezza ha dimostrato quella che, secondo lui, è una vulnerabilità in PayPal senza patch che potrebbe essenzialmente consentire agli aggressori di svuotare il conto PayPal di una vittima dopo averli indotti a fare clic su un collegamento dannoso, in quello che viene tecnicamente definito clickjacking attacco.
"La vulnerabilità del clickjack di PayPal è unica in quanto in genere dirottare un clic è il primo passo per lanciare qualche altro attacco", ha detto a Lifewire Brad Hong, vCISO, Horizon3ai. "Ma in questo caso, con un solo clic, [l'attacco aiuta] autorizza un importo di pagamento personalizzato impostato da un utente malintenzionato."
Clic di dirottamento
Stephanie Benoit-Kurtz, Lead Faculty per il College of Information Systems and Technology presso l'Università di Phoenix, ha aggiunto che gli attacchi clickjacking inducono le vittime a completare una transazione che avvia ulteriormente una serie di attività diverse.
"Attraverso il clic, viene installato il malware, i malintenzionati possono raccogliere accessi, password e altri elementi sul computer locale e scaricare ransomware", ha detto Benoit-Kurtz a Lifewire via e-mail."Oltre al deposito di strumenti sul dispositivo dell'individuo, questa vulnerabilità consente anche ai malintenzionati di rubare denaro dai conti PayPal."
Hong ha paragonato gli attacchi di clickjacking al nuovo approccio scolastico di quei popup impossibili da chiudere sui siti web di streaming. Ma invece di nascondere la X per chiudere, nascondono l'intera cosa per emulare siti Web normali e legittimi.
"L'attacco inganna l'utente facendogli credere di fare clic su una cosa quando in re altà è qualcosa di completamente diverso", ha spiegato Hong. "Posizionando uno strato opaco sopra un'area di clic su una pagina web, gli utenti si trovano indirizzati verso qualsiasi luogo di proprietà di un utente malintenzionato, senza mai saperlo."
Dopo aver esaminato i dettagli tecnici dell'attacco, Hong ha affermato che funziona abusando di un token PayPal legittimo, che è una chiave del computer che autorizza i metodi di pagamento automatici tramite PayPal Express Checkout.
L'attacco funziona inserendo un collegamento nascosto all'interno di quello che viene chiamato un iframe con il suo set di opacità pari a zero sopra un annuncio per un prodotto legittimo su un sito legittimo.
"Il livello nascosto ti indirizza a quella che potrebbe sembrare la vera pagina del prodotto, ma invece controlla se hai già effettuato l'accesso a PayPal e, in tal caso, è in grado di prelevare direttamente denaro da [il tuo] Conto PayPal, " condiviso Hong.
L'attacco inganna l'utente facendogli credere di fare clic su una cosa quando in re altà è qualcosa di completamente diverso.
Ha aggiunto che il prelievo con un clic è unico e simili frodi bancarie di clickjacking di solito comportano più clic per indurre le vittime a confermare un trasferimento diretto dal sito Web della loro banca.
Troppo sforzo?
Chris Goettl, VP of Product Management di Ivanti, ha affermato che la comodità è qualcosa di cui gli aggressori cercano sempre di trarre vantaggio.
"Il pagamento con un clic utilizzando un servizio come PayPal è una comoda funzionalità a cui le persone si abituano e probabilmente non noteranno che qualcosa non va nell'esperienza se l'attaccante presenta bene il collegamento dannoso", ha detto Goettl a Lifewire via email.
Per salvarci dal cadere in questo trucco, Benoit-Kurtz ha suggerito di seguire il buon senso e di non fare clic sui collegamenti in nessun tipo di popup o sito Web a cui non siamo andati specificamente, così come nei messaggi e nelle e-mail, che non abbiamo avviato.
"È interessante notare che questa vulnerabilità è stata segnalata nell'ottobre del 2021 e, ad oggi, rimane una vulnerabilità nota", ha sottolineato Benoit-Kurtz.
Abbiamo inviato un'e-mail a PayPal per chiedere il loro punto di vista sui risultati del ricercatore, ma non abbiamo ricevuto risposta.
Goettl, tuttavia, ha spiegato che, sebbene la vulnerabilità possa ancora non essere risolta, non è facile da sfruttare. Affinché il trucco funzioni, gli aggressori devono entrare in un sito Web legittimo che accetta pagamenti tramite PayPal e quindi inserire il contenuto dannoso affinché le persone possano fare clic.
"Questo verrebbe probabilmente trovato in un breve periodo di tempo, quindi sarebbe uno sforzo elevato per un basso guadagno prima che l'attacco venga probabilmente scoperto", ha affermato Goettl.
