Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները

Բովանդակություն:

Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները
Paypal-ի խոցելիությունը դեռ չկտրված է, ասում են հետազոտողները
Anonim

Հիմնական տանողներ

  • Անվտանգության հետազոտողը ցույց է տվել, թե ինչպես կարելի է չարաշահել PayPal-ի մեկ սեղմումով վճարման մեխանիզմը՝ մեկ սեղմումով գումար գողանալու համար:
  • Հետազոտողը պնդում է, որ խոցելիությունը առաջին անգամ հայտնաբերվել է 2021 թվականի հոկտեմբերին և մինչ օրս մնում է չկտրված։
  • Անվտանգության փորձագետները գովաբանում են հարձակման նորությունը, սակայն թերահավատորեն են վերաբերվում դրա իրական օգտագործմանը:
Image
Image

Վերացնելով PayPal-ի վճարման հարմարավետությունը, մեկ սեղմումով այն ամենը, ինչ անհրաժեշտ է հարձակվողին ձեր PayPal հաշիվը ջնջելու համար:

Անվտանգության հետազոտողը ցույց է տվել, թե ինչ է պնդում, որ PayPal-ում դեռևս չկարկարկված խոցելիություն է, որը կարող է, ըստ էության, թույլ տալ հարձակվողներին դատարկել զոհի PayPal հաշիվը՝ խաբելով նրանց՝ սեղմելով վնասակար հղումը, ինչը տեխնիկապես կոչվում է clickjacking: հարձակում։

«PayPal clickjack-ի խոցելիությունը եզակի է նրանով, որ, որպես կանոն, կտտոցների առևանգումը մեկ այլ հարձակման միջոց է», - ասաց Բրեդ Հոնգը, vCISO, Horizon3ai, Lifewire-ին էլ. «Սակայն այս դեպքում, մեկ սեղմումով, [հարձակումն օգնում է] թույլատրում է հարձակվողի կողմից սահմանված հատուկ վճարման գումարը»:

Առևանգման սեղմումներ

Ստեֆանի Բենուա-Կուրցը, Ֆենիքսի համալսարանի Տեղեկատվական համակարգերի և տեխնոլոգիաների քոլեջի առաջատար ֆակուլտետը, ավելացրել է, որ «clickjacking» հարձակումները խաբում են զոհերին կատարել գործարք, որը հետագայում սկսում է մի շարք տարբեր գործողություններ:

«Կտտոցի միջոցով տեղադրվում է չարամիտ ծրագիր, վատ դերակատարները կարող են հավաքել մուտքեր, գաղտնաբառեր և այլ տարրեր տեղական մեքենայի վրա և ներբեռնել փրկագին», - ասել է Բենուա-Կուրցը Lifewire-ին էլեկտրոնային փոստով:«Անհատի սարքի վրա գործիքների ներդրումից բացի, այս խոցելիությունը նաև թույլ է տալիս վատ դերասաններին գումար գողանալ PayPal-ի հաշիվներից»:

Հոնգը համեմատեց «clickjacking» հարձակումները դպրոցական նոր մոտեցման հետ, որոնք անհնար է փակել հոսքային կայքերում թռուցիկ պատուհանները: Բայց X-ը փակելու համար թաքցնելու փոխարեն, նրանք թաքցնում են ամբողջը, որպեսզի ընդօրինակեն նորմալ, օրինական կայքերը:

«Հարձակումը հիմարացնում է օգտատերին՝ մտածելով, որ նրանք սեղմում են մի բան, երբ իրականում դա բոլորովին այլ բան է», - բացատրեց Հոնգը: «Վեբէջի վրա սեղմելու տարածքի վերևում անթափանց շերտ դնելով, օգտվողները հայտնվում են ցանկացած վայրում, որը պատկանում է հարձակվողին, առանց երբևէ իմանալու»:

Հարձակման տեխնիկական մանրամասները ուսումնասիրելուց հետո Հոնգը ասաց, որ այն աշխատում է չարաշահելով PayPal-ի օրինական թոքենը, որը համակարգչային բանալի է, որը թույլատրում է վճարման ավտոմատ եղանակները PayPal Express Checkout-ի միջոցով:

Հարձակումն աշխատում է՝ տեղադրելով թաքնված հղում, որը կոչվում է iframe՝ իր անթափանցիկությամբ զրոյական հավաքածուով, օրինական կայքում օրինական արտադրանքի գովազդի վերևում:

«Թաքնված շերտը ձեզ ուղղորդում է դեպի այն, ինչ կարող է թվալ իրական արտադրանքի էջ, բայց փոխարենը այն ստուգում է, թե արդյոք դուք արդեն մուտք եք գործել PayPal, և եթե այո, այն կարող է ուղղակիորեն գումար հանել [ձեր] PayPal հաշիվ», - կիսվել է Հոնգով։

Հարձակումը հիմարացնում է օգտատերին՝ մտածելով, որ նրանք սեղմում են մի բան, երբ իրականում դա բոլորովին այլ բան է:

Նա ավելացրեց, որ մեկ սեղմումով դուրսբերումը եզակի է, և նմանատիպ բանկային խարդախությունները սովորաբար ներառում են բազմաթիվ կտտոցներ՝ խաբելու զոհերին՝ հաստատելու ուղղակի փոխանցումն իրենց բանկի կայքից:

Չափից շատ ջանք?

Քրիս Գյոթլը, Ivanti-ի արտադրանքի կառավարման VP-ն, ասաց, որ հարմարավետությունն այն բանն է, որ հարձակվողները միշտ ձգտում են օգտվել:

«Մեկ սեղմումով վճարումը՝ օգտագործելով PayPal-ի նման ծառայությունը, հարմար հատկություն է, որը մարդիկ սովոր են օգտագործել և, հավանաբար, չեն նկատի, որ ինչ-որ բան փոքր-ինչ վատ է փորձի մեջ, եթե հարձակվողը լավ ներկայացնի վնասակար հղումը», - ասել է Գյոթլը Lifewire-ին: էլփոստով։

Մեզ փրկելու այս հնարքից, Բենուա-Կուրցն առաջարկեց հետևել ողջախոհությանը և չկտտացնել հղումները ցանկացած տեսակի թռուցիկ պատուհաններում կամ կայքերում, որտեղ մենք հատուկ չենք գնացել, ինչպես նաև հաղորդագրություններում և էլ. որ մենք չենք նախաձեռնել։

«Հետաքրքիր է, որ այս խոցելիությունը հաղորդվել է դեռևս 2021 թվականի հոկտեմբերին և այսօրվա դրությամբ մնում է հայտնի խոցելիություն», - մատնանշեց Բենուա-Կուրցը:

Image
Image

Մենք էլփոստով ուղարկեցինք PayPal-ին` խնդրելու նրանց կարծիքը հետազոտողի բացահայտումների վերաբերյալ, սակայն պատասխան չենք ստացել:

Goettl-ը, այնուամենայնիվ, բացատրեց, որ թեև խոցելիությունը դեռևս կարող է չշտկվել, այն հեշտ չէ օգտագործել: Որպեսզի հնարքն աշխատի, հարձակվողները պետք է ներխուժեն օրինական կայք, որն ընդունում է վճարումներ PayPal-ի միջոցով և այնուհետև տեղադրեն վնասակար բովանդակությունը, որպեսզի մարդիկ սեղմեն:

«Սա, ամենայն հավանականությամբ, կհայտնաբերվի կարճ ժամանակահատվածում, այնպես որ դա մեծ ջանքեր կպահանջվի ցածր շահույթի համար, նախքան հարձակման հավանականությունը հայտնաբերելը», - կարծում է Գյոթլը:

Խորհուրդ ենք տալիս:

Wi-Fi 7-ը գրեթե այստեղ է, բայց փորձագետներն ասում են, որ այն դեռ չի փոխարինի Ethernet-ը

Wi-Fi 7-ը գրեթե այստեղ է, բայց փորձագետներն ասում են, որ այն դեռ չի փոխարինի Ethernet-ը

Անլար ցանցի հաջորդ սերնդի ստանդարտը խոստանում է ավելի արագ արագություն, քան լարային Ethernet-ը, սակայն փորձագետները վստահ չեն, թե որքանով այն հաջող կլինի իրական աշխարհում:

Ձախլիկների համար WearOS-ի թարմացումը դեռ հնարավոր է, ասում են փորձագետները

Ձախլիկների համար WearOS-ի թարմացումը դեռ հնարավոր է, ասում են փորձագետները

Google-ը, ըստ երևույթին, պլանավորում է ապագա WearOS սարքեր, որոնք կարող են վերակողմնորոշվել ձախլիկների համար, սակայն ձախլիկների համար գոյություն ունեցող սարքերի թարմացումը կարող է ավելի դժվար լինել։

BlackBerry հեռախոսները դեռ կարող են հաջողության հասնել, ասում են փորձագետները

BlackBerry հեռախոսները դեռ կարող են հաջողության հասնել, ասում են փորձագետները

Նույնիսկ եթե BlackBerry հեռախոսները վերադառնան, փորձագետներն ասում են, որ ֆիզիկական ստեղնաշարով աշխատող սմարթֆոնը պետք է մեծ աղմուկ բարձրացնի, եթե ցանկանում է տեղ ունենալ այսօրվա շուկայում:

Խաղերի մեջ ներառականությունն ու բազմազանությունը դեռ ընթացքի մեջ են, ասում են փորձագետները

Խաղերի մեջ ներառականությունն ու բազմազանությունը դեռ ընթացքի մեջ են, ասում են փորձագետները

Ներառականությունն ու բազմազանությունը խաղերում այնքան տարածված չեն, որքան այլ վայրերում: Փորձագետներն ասում են, որ դեռ երկար ճանապարհ կա անցնելու ԼԳԲՏՔ-ի և կին խաղացողների ընդունելությունը բարելավելու համար

Տեսազանգերը կարող են անվտանգ չլինել, ասում են հետազոտողները

Տեսազանգերը կարող են անվտանգ չլինել, ասում են հետազոտողները

McAfee-ի հետազոտողները պարզել են, որ տեսազանգերի ծրագրակազմը կարող է խոցելի լինել հաքերների նկատմամբ, ինչը նշանակում է, որ ինչ-որ մեկը կարող է գաղտնալսել ձեր խոսակցությունները, կամ ավելի վատ