Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները

Բովանդակություն:

Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները
Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները
Anonim

Հիմնական տանողներ

  • Անվտանգության հետազոտողը ցույց է տվել, թե ինչպես կարելի է չարաշահել PayPal-ի մեկ սեղմումով վճարման մեխանիզմը՝ մեկ սեղմումով գումար գողանալու համար:
  • Հետազոտողը պնդում է, որ խոցելիությունը առաջին անգամ հայտնաբերվել է 2021 թվականի հոկտեմբերին և մինչ օրս մնում է չկտրված։
  • Անվտանգության փորձագետները գովաբանում են հարձակման նորությունը, սակայն թերահավատորեն են վերաբերվում դրա իրական օգտագործմանը:
Image
Image

Վերացնելով PayPal-ի վճարման հարմարավետությունը, մեկ սեղմումով այն ամենը, ինչ անհրաժեշտ է հարձակվողին ձեր PayPal հաշիվը ջնջելու համար:

Անվտանգության հետազոտողը ցույց է տվել, թե ինչ է պնդում, որ PayPal-ում դեռևս չկարկարկված խոցելիություն է, որը կարող է, ըստ էության, թույլ տալ հարձակվողներին դատարկել զոհի PayPal հաշիվը՝ խաբելով նրանց՝ սեղմելով վնասակար հղումը, ինչը տեխնիկապես կոչվում է clickjacking: հարձակում։

«PayPal clickjack-ի խոցելիությունը եզակի է նրանով, որ, որպես կանոն, կտտոցների առևանգումը մեկ այլ հարձակման միջոց է», - ասաց Բրեդ Հոնգը, vCISO, Horizon3ai, Lifewire-ին էլ. «Սակայն այս դեպքում, մեկ սեղմումով, [հարձակումն օգնում է] թույլատրում է հարձակվողի կողմից սահմանված հատուկ վճարման գումարը»:

Առևանգման սեղմումներ

Ստեֆանի Բենուա-Կուրցը, Ֆենիքսի համալսարանի Տեղեկատվական համակարգերի և տեխնոլոգիաների քոլեջի առաջատար ֆակուլտետը, ավելացրել է, որ «clickjacking» հարձակումները խաբում են զոհերին կատարել գործարք, որը հետագայում սկսում է մի շարք տարբեր գործողություններ:

«Կտտոցի միջոցով տեղադրվում է չարամիտ ծրագիր, վատ դերակատարները կարող են հավաքել մուտքեր, գաղտնաբառեր և այլ տարրեր տեղական մեքենայի վրա և ներբեռնել փրկագին», - ասել է Բենուա-Կուրցը Lifewire-ին էլեկտրոնային փոստով:«Անհատի սարքի վրա գործիքների ներդրումից բացի, այս խոցելիությունը նաև թույլ է տալիս վատ դերասաններին գումար գողանալ PayPal-ի հաշիվներից»:

Հոնգը համեմատեց «clickjacking» հարձակումները դպրոցական նոր մոտեցման հետ, որոնք անհնար է փակել հոսքային կայքերում թռուցիկ պատուհանները: Բայց X-ը փակելու համար թաքցնելու փոխարեն, նրանք թաքցնում են ամբողջը, որպեսզի ընդօրինակեն նորմալ, օրինական կայքերը:

«Հարձակումը հիմարացնում է օգտատերին՝ մտածելով, որ նրանք սեղմում են մի բան, երբ իրականում դա բոլորովին այլ բան է», - բացատրեց Հոնգը: «Վեբէջի վրա սեղմելու տարածքի վերևում անթափանց շերտ դնելով, օգտվողները հայտնվում են ցանկացած վայրում, որը պատկանում է հարձակվողին, առանց երբևէ իմանալու»:

Հարձակման տեխնիկական մանրամասները ուսումնասիրելուց հետո Հոնգը ասաց, որ այն աշխատում է չարաշահելով PayPal-ի օրինական թոքենը, որը համակարգչային բանալի է, որը թույլատրում է վճարման ավտոմատ եղանակները PayPal Express Checkout-ի միջոցով:

Հարձակումն աշխատում է՝ տեղադրելով թաքնված հղում, որը կոչվում է iframe՝ իր անթափանցիկությամբ զրոյական հավաքածուով, օրինական կայքում օրինական արտադրանքի գովազդի վերևում:

«Թաքնված շերտը ձեզ ուղղորդում է դեպի այն, ինչ կարող է թվալ իրական արտադրանքի էջ, բայց փոխարենը այն ստուգում է, թե արդյոք դուք արդեն մուտք եք գործել PayPal, և եթե այո, այն կարող է ուղղակիորեն գումար հանել [ձեր] PayPal հաշիվ», - կիսվել է Հոնգով։

Հարձակումը հիմարացնում է օգտատերին՝ մտածելով, որ նրանք սեղմում են մի բան, երբ իրականում դա բոլորովին այլ բան է:

Նա ավելացրեց, որ մեկ սեղմումով դուրսբերումը եզակի է, և նմանատիպ բանկային խարդախությունները սովորաբար ներառում են բազմաթիվ կտտոցներ՝ խաբելու զոհերին՝ հաստատելու ուղղակի փոխանցումն իրենց բանկի կայքից:

Չափից շատ ջանք?

Քրիս Գյոթլը, Ivanti-ի արտադրանքի կառավարման VP-ն, ասաց, որ հարմարավետությունն այն բանն է, որ հարձակվողները միշտ ձգտում են օգտվել:

«Մեկ սեղմումով վճարումը՝ օգտագործելով PayPal-ի նման ծառայությունը, հարմար հատկություն է, որը մարդիկ սովոր են օգտագործել և, հավանաբար, չեն նկատի, որ ինչ-որ բան փոքր-ինչ վատ է փորձի մեջ, եթե հարձակվողը լավ ներկայացնի վնասակար հղումը», - ասել է Գյոթլը Lifewire-ին: էլփոստով։

Մեզ փրկելու այս հնարքից, Բենուա-Կուրցն առաջարկեց հետևել ողջախոհությանը և չկտտացնել հղումները ցանկացած տեսակի թռուցիկ պատուհաններում կամ կայքերում, որտեղ մենք հատուկ չենք գնացել, ինչպես նաև հաղորդագրություններում և էլ. որ մենք չենք նախաձեռնել։

«Հետաքրքիր է, որ այս խոցելիությունը հաղորդվել է դեռևս 2021 թվականի հոկտեմբերին և այսօրվա դրությամբ մնում է հայտնի խոցելիություն», - մատնանշեց Բենուա-Կուրցը:

Image
Image

Մենք էլփոստով ուղարկեցինք PayPal-ին` խնդրելու նրանց կարծիքը հետազոտողի բացահայտումների վերաբերյալ, սակայն պատասխան չենք ստացել:

Goettl-ը, այնուամենայնիվ, բացատրեց, որ թեև խոցելիությունը դեռևս կարող է չշտկվել, այն հեշտ չէ օգտագործել: Որպեսզի հնարքն աշխատի, հարձակվողները պետք է ներխուժեն օրինական կայք, որն ընդունում է վճարումներ PayPal-ի միջոցով և այնուհետև տեղադրեն վնասակար բովանդակությունը, որպեսզի մարդիկ սեղմեն:

«Սա, ամենայն հավանականությամբ, կհայտնաբերվի կարճ ժամանակահատվածում, այնպես որ դա մեծ ջանքեր կպահանջվի ցածր շահույթի համար, նախքան հարձակման հավանականությունը հայտնաբերելը», - կարծում է Գյոթլը:

Խորհուրդ ենք տալիս: