Негізгі ұсыныстар
- Қауіпсіздік зерттеушісі PayPal-тың бір рет басу арқылы төлеу механизмін бір рет басу арқылы ақшаны ұрлау үшін қалай теріс пайдалануға болатынын көрсетті.
- Зерттеушінің мәлімдеуінше, осалдық алғаш рет 2021 жылдың қазан айында анықталған және бүгінгі күнге дейін түзетілмеген.
- Қауіпсіздік мамандары шабуылдың жаңалығын мақтайды, бірақ оның нақты әлемде қолданылуына күмәнмен қарайды.
PayPal төлем ыңғайлылығын өзгерте отырып, шабуылдаушы PayPal есептік жазбаңызды өшіруі үшін бір рет басу қажет.
Қауіпсіздік зерттеушісі PayPal жүйесінде әлі түзетілмеген осалдық екенін көрсетті, ол зиянкестерге жәбірленушінің PayPal есептік жазбасын оларды алдап алдап, зиянды сілтемені басу арқылы босатуға мүмкіндік береді. шабуыл.
"PayPal clickjack осалдығы бірегей, өйткені әдетте шертуді ұрлау басқа шабуылды бастау құралының бірінші қадамы болып табылады ", - деді Брэд Хонг, vCISO, Horizon3ai, Lifewire-ке электрондық пошта арқылы. "Бірақ бұл жағдайда бір рет басу арқылы [шабуыл көмектеседі] шабуылдаушы орнатқан реттелетін төлем сомасын рұқсат етеді."
Басылғандарды басып алу
Стефани Бенуа-Курц, Феникс университетінің Ақпараттық жүйелер және технологиялар колледжінің жетекші оқытушысы, клик шабуылдары құрбандарды транзакцияны аяқтау үшін алдап, одан әрі әртүрлі әрекеттерді бастайтынын айтты.
"Басу арқылы зиянды бағдарлама орнатылады, зиянкестер жергілікті компьютерде логиндерді, құпия сөздерді және басқа элементтерді жинап, төлем бағдарламалық құралын жүктей алады", - деді Бенуа-Курц Lifewire-ке электрондық пошта арқылы."Жеке адамның құрылғысына құралдарды сақтаудан басқа, бұл осалдық нашар қатысушыларға PayPal шоттарынан ақша ұрлауға мүмкіндік береді."
Хонг клик шабуылдарын ағынды веб-сайттардағы қалқымалы терезелерді жабу мүмкін емес мектептегі жаңа әдіспен салыстырды. Бірақ жабу үшін X белгісін жасырудың орнына, олар қалыпты, заңды веб-сайттарға еліктеу үшін барлығын жасырады.
"Шабуыл пайдаланушыны бір нәрсені басамыз деп алдап, іс жүзінде бұл мүлдем басқа нәрсе", - деп түсіндірді Хонг. "Веб-беттегі басу аймағының үстіне мөлдір емес қабатты орналастыру арқылы пайдаланушылар өздерін ешқашан білмей, шабуылдаушы иелігіндегі кез келген жерге бағыттайды."
Шабуылдың техникалық мәліметтерімен танысқаннан кейін, Хонг оның PayPal Express Checkout арқылы автоматты төлем әдістеріне рұқсат беретін компьютер кілті болып табылатын заңды PayPal таңбалауышын теріс пайдалану арқылы жұмыс істейтінін айтты.
Шабуыл заңды сайттағы заңды өнімге арналған жарнаманың үстіне оның мөлдірлігі нөлге тең болатын iframe деп аталатын жасырын сілтемені орналастыру арқылы жұмыс істейді.
"Жасырын қабат сізді шынайы өнім бетіне бағыттайды, бірақ оның орнына ол сіздің PayPal жүйесіне әлдеқашан кіргеніңізді тексереді, ал егер солай болса, ол [сізден] ақшаны тікелей ала алады.] PayPal тіркелгісі, " Hong бөлісті.
Шабуыл пайдаланушыны бір нәрсені басады деп алдап, іс жүзінде бұл мүлдем басқа нәрсе.
Ол бір рет басу арқылы ақшаны алудың бірегей екенін және банктің осындай алаяқтық әрекеттері әдетте жәбірленушілерді банк веб-сайтынан тікелей аударымды растау үшін алдау үшін бірнеше рет басу арқылы жасалатынын айтты.
Тым көп күш жұмсадыңыз ба?
Крис Гёттл, Иванти компаниясының өнімді басқару жөніндегі вице-президенті ыңғайлылық - шабуылдаушылар әрқашан пайда көретін нәрсе екенін айтты.
«PayPal сияқты қызмет арқылы бір рет басу арқылы төлеу – адамдар үйреніп қалған ыңғайлы мүмкіндік және егер шабуылдаушы зиянды сілтемені жақсы ұсынса, тәжірибеде бірдеңені байқамайды», - деді Геттл Lifewire-ке. электрондық пошта арқылы.
Бізді бұл қулыққа түсіп қалудан құтқару үшін Бенуа-Курц ақылға қонымды және біз арнайы кірмеген қалқымалы терезелердегі немесе веб-сайттардағы, сондай-ақ хабарламалар мен электрондық хаттардағы сілтемелерді баспауды ұсынды. біз бастамадық.
«Бір қызығы, бұл осалдық туралы 2021 жылдың қазан айында хабарланған және бүгінгі күні белгілі осалдық болып қала береді», - деп атап өтті Бенуа-Курц.
Зерттеушінің қорытындылары туралы пікірлерін сұрау үшін PayPal-ға электрондық хат жібердік, бірақ жауап алған жоқпыз.
Готтл, алайда, осалдық әлі де түзетілмегенімен, оны пайдалану оңай емес екенін түсіндірді. Бұл айла жұмыс істеуі үшін шабуылдаушылар PayPal арқылы төлемдерді қабылдайтын заңды веб-сайтқа кіріп, адамдар басуы үшін зиянды мазмұнды енгізуі керек.
«Бұл аз уақыт ішінде табылуы мүмкін, сондықтан шабуылдың ашылуы мүмкін болғанға дейін аз пайда алу үшін көп күш жұмсау керек», - деп есептеді Гоеттл.