Нова невиправлена помилка може дозволити зловмисникам вкрасти гроші у користувачів PayPal
Стало відомо, що незалежний дослідник безпеки PayPal виявив невиправлену вразливість в службі грошових переказів платіжної системи, яка, в свою чергу, може дозволити зловмисникам обманним шляхом змусити жертв несвідомо здійснювати транзакції
23 травня 2022 року джерело The Hacker News розповіло про те, що незалежний дослідник безпеки виявив невиправлену вразливість у службі грошових переказів PayPal , яка може дозволити зловмисникам обманним шляхом змусити жертв несвідомо здійснювати транзакції.
Безпосередньо про проблему
Clickjacking, або простіше кажучи, метод виправлення інтерфейсу користувача, який є операцією, при якій нічого не підозрюючий користувач натискає на, здавалося б, прості кнопки. Однак вони виконують не ту команду, яку очікує людина. Насправді користувач випадково завантажує шкідливе програмне забезпечення, потрапляючи на відповідні веб-сайти, або піддає конфіденційну інформацію ризику розкриття.
Зазвичай це досягається шляхом відображення невидимої сторінки або елемента HTML поверх видимої сторінки, що призводить до ситуації, коли користувача вводять в оману. Він вважає, що переглядає законну сторінку, хоча насправді гортає шахрайський елемент, накладений поверх неї.
«таким чином, зловмисник «перехоплює» кліки, призначені для [законної] сторінки, і перенаправляє їх на іншу сторінку, швидше за все, належить іншій програмі, домену або тому й іншому», — пояснив дослідник безпеки під псевдонімом h4x0r_dz у дописі, документуючи результати.
H4x0r_dz, який виявив проблему на кінцевій точці «www.paypal[.] com/agreements / approve», сказав, що компанія повідомила про проблему в жовтні 2021 року. "Ця кінцева точка призначена для угод про виставлення рахунків і повинна приймати тільки BillingAgreementToken», — пояснив дослідник. "Але під час поглибленого тестування було виявлено, що користувачі можуть передати інший тип токена, і це призводить до крадіжки грошей з рахунку PayPal жертви».
Гроші в "нікуди", тобто в кишеню шахрая
Це означає, що зловмисник може ввести вищезгадану кінцеву точку в iframe, змусивши жертву, яка вже увійшла до веб-браузера, перерахувати кошти на контрольований зловмисником рахунок PayPal одним натисканням кнопки.
Ще більш тривожним є те, що атака могла мати катастрофічні наслідки для онлайн-порталів, які інтегруються з PayPal для оплати, дозволяючи зловмиснику віднімати довільні Суми з рахунків користувачів платіжної системи.
«існують онлайн-сервіси, які дозволяють користувачеві поповнити баланс свого облікового запису за допомогою PayPal», — сказав h4x0r_dz. "Я можу використовувати той самий подвиг і змусити користувача додати гроші на мій рахунок, або я можу скористатися цією помилкою і дозволити жертві створити / оплатити рахунок Netflix для мене!»
