מזונות חשובים
- חוקר אבטחה הראה כיצד ניתן לנצל לרעה את מנגנון התשלום של PayPal בקליק אחד כדי לגנוב כסף, בלחיצה אחת.
- החוקר טוען שהפגיעות התגלתה לראשונה באוקטובר 2021 ונשארה ללא תיקון עד היום.
- מומחי אבטחה מהללים את החדשנות של המתקפה אך נותרים סקפטיים לגבי השימוש בה בעולם האמיתי.
להפוך את נוחות התשלום של PayPal על ראשה, קליק אחד הוא כל מה שתוקף צריך כדי לרוקן את חשבון PayPal שלך.
חוקר אבטחה הוכיח מה שלטענתו הוא פגיעות שטרם תוקנה ב-PayPal, שיכולה למעשה לאפשר לתוקפים לרוקן את חשבון ה-PayPal של הקורבן לאחר שהוליכו אותם ללחוץ על קישור זדוני, במה שמכונה טכנית כ-clickjacking התקפה.
"הפגיעות של PayPal clickjack היא ייחודית בכך שבדרך כלל חטיפת קליק היא שלב ראשון לאמצעי להפעלת מתקפה אחרת", אמר בראד הונג, vCISO, Horizon3ai, ל-Lifewire באימייל. "אבל במקרה זה, בלחיצה אחת, [ההתקפה עוזרת] לאשר סכום תשלום מותאם אישית שנקבע על ידי תוקף."
חטיפת קליקים
Stephanie Benoit-Kurtz, הפקולטה הראשית של המכללה למערכות מידע וטכנולוגיה באוניברסיטת פיניקס, הוסיפה כי התקפות חטיפת קליקים מרמות קורבנות להשלים עסקה שמביאה להמשך שלל פעילויות שונות.
"באמצעות הקליק, תוכנות זדוניות מותקנות, השחקנים הרעים יכולים לאסוף כניסות, סיסמאות ופריטים אחרים במחשב המקומי ולהוריד תוכנות כופר", אמר בנואה-קורץ ל-Lifewire באימייל."מעבר להפקדת כלים במכשיר של הפרט, פגיעות זו מאפשרת גם לשחקנים גרועים לגנוב כסף מחשבונות PayPal."
Hong השווה את התקפות חטיפת הקליקים לגישה החדשה של בית הספר של אלו שבלתי אפשרי לסגור חלונות קופצים באתרי סטרימינג. אבל במקום להסתיר את ה-X כדי לסגור, הם מסתירים את כל העניין כדי לחקות אתרים רגילים ולגיטימיים.
"ההתקפה מטעה את המשתמש לחשוב שהוא לוחץ על דבר אחד כשלמעשה זה משהו אחר לגמרי", הסביר הונג. "על ידי הצבת שכבה אטומה על גבי אזור קליקים בדף אינטרנט, משתמשים מוצאים את עצמם מנותבים לכל מקום שנמצא בבעלות תוקף, מבלי לדעת."
לאחר עיון בפרטים הטכניים של המתקפה, הונג אמר שהיא פועלת על ידי שימוש לרעה באסימון PayPal לגיטימי, שהוא מפתח מחשב שמאשר שיטות תשלום אוטומטיות באמצעות PayPal Express Checkout.
ההתקפה פועלת על ידי הצבת קישור נסתר בתוך מה שנקרא iframe עם ערכת האטימות שלו של אפס על גבי מודעה של מוצר לגיטימי באתר לגיטימי.
"השכבה הנסתרת מפנה אותך למה שעשוי להיראות כמו דף המוצר האמיתי, אבל במקום זאת, היא בודקת אם אתה כבר מחובר ל-PayPal, ואם כן, היא מסוגלת למשוך כסף ישירות מ-[שלך] חשבון PayPal, " shared Hong.
ההתקפה מטעה את המשתמש לחשוב שהוא לוחץ על דבר אחד כשלמעשה זה משהו אחר לגמרי.
הוא הוסיף שהמשיכה בלחיצה אחת היא ייחודית, והונאות דומות של בנק חטיפת קליקים כוללות בדרך כלל קליקים מרובים כדי להערים על קורבנות לאשר העברה ישירה מאתר הבנק שלהם.
מאמצים מדי?
כריס גוטל, סמנכ ל ניהול מוצר ב-Ivanti, אמר שנוחות היא משהו שתוקפים תמיד מחפשים לנצל.
"תשלום בקליק אחד באמצעות שירות כמו PayPal הוא תכונת נוחות שאנשים מתרגלים להשתמש בה וסביר להניח שלא ישימו לב שמשהו קצת לא בסדר בחוויה אם התוקף מציג את הקישור הזדוני בצורה טובה", אמר גוטל ל-Lifewire באימייל.
כדי להציל אותנו מנפילה לטריק הזה, בנואה-קורץ הציע לעקוב אחר השכל הישר ולא ללחוץ על קישורים בכל סוג של חלונות קופצים או אתרים שלא הלכנו אליהם במיוחד, כמו גם בהודעות ובמיילים, שלא יזמנו.
"מעניין, פגיעות זו דווחה עוד באוקטובר 2021, ונכון להיום היא נותרה נקודת תורפה ידועה", ציין בנואה-קורץ.
שלחנו אימייל ל-PayPal כדי לבקש את דעתם על ממצאי החוקר, אך לא קיבלנו תשובה.
עם זאת, Goettl הסביר שלמרות שהפגיעות עדיין לא תתוקן, לא קל לנצל אותה. כדי שהטריק יעבוד, תוקפים צריכים לפרוץ לאתר לגיטימי שמקבל תשלומים דרך PayPal ולאחר מכן להכניס את התוכן הזדוני כדי שאנשים יוכלו ללחוץ.
"ככל הנראה זה יימצא תוך פרק זמן קצר, אז זה יהיה מאמץ גבוה להשיג רווח נמוך לפני שהמתקפה תתגלה כנראה", אמר גוטל.