Asosiy takliflar
- Xavfsizlik boʻyicha tadqiqotchi PayPal’ning bir marta bosish orqali toʻlov mexanizmini bir marta bosish orqali pul oʻgʻirlash uchun qanday suiisteʼmol qilish mumkinligini koʻrsatdi.
- Tadqiqotchining ta'kidlashicha, zaiflik birinchi marta 2021-yil oktabr oyida aniqlangan va hozirgacha yangilanmagan.
- Xavfsizlik boʻyicha mutaxassislar hujumning yangiligini olqishlaydilar, lekin uning real hayotda ishlatilishiga shubha bilan qarashadi.
PayPal-ning toʻlov qulayligini oʻzgartirib, tajovuzkor PayPal hisobingizni oʻchirib tashlashi uchun bir marta bosish kifoya qiladi.
Xavfsizlik boʻyicha tadqiqotchi oʻzining fikricha, PayPal’da hali tuzatilmagan zaiflik ekanligini koʻrsatib berdi, bu tajovuzkorlarga qurbonning PayPal hisobini aldagandan soʻng ularni zararli havolani bosish uchun oʻchirishga imkon berishi mumkin. hujum.
"PayPal clickjack zaifligi noyobdir, chunki odatda bosishni o'g'irlash boshqa hujumni boshlash uchun birinchi qadamdir ", dedi Bred Xong, vCISO, Horizon3ai, Lifewire'ga elektron pochta orqali. "Ammo bu holatda, bir marta bosish bilan [hujum yordam beradi] tajovuzkor tomonidan o'rnatilgan maxsus to'lov miqdoriga ruxsat beradi."
Kliklarni oʻgʻirlash
Stefani Benoit-Kurts, Feniks universiteti Axborot tizimlari va texnologiyalari kolleji yetakchi fakultetining qoʻshimcha qilishicha, kliklik hujumlari qurbonlarni tranzaksiyani yakunlash uchun aldab, keyinchalik turli tadbirlarni boshlaydi.
"Klik orqali zararli dastur o'rnatiladi, yomon aktyorlar mahalliy kompyuterda loginlar, parollar va boshqa narsalarni to'plashi va to'lov dasturini yuklab olishi mumkin", dedi Benoit-Kurts Lifewire'ga elektron pochta orqali.“Asboblarni shaxs qurilmasiga saqlashdan tashqari, bu zaiflik yomon aktyorlarga PayPal hisoblaridan pul o‘g‘irlash imkonini ham beradi.”
Hong kliklash hujumlarini oqimli veb-saytlardagi qalqib chiquvchi oynalarni yopish imkonsiz boʻlgan yangi maktab yondashuvi bilan taqqosladi. Lekin X-ni yopish uchun yashirish oʻrniga ular oddiy, qonuniy veb-saytlarga taqlid qilish uchun hamma narsani yashirishadi.
"Hujum foydalanuvchini aldaydi, ular bir narsani bosyapti, deb o'ylaydi, aslida esa bu butunlay boshqacha", - deya tushuntirdi Xong. "Veb-sahifadagi bosish maydonining tepasiga shaffof bo'lmagan qatlamni qo'yish orqali foydalanuvchilar hech qachon bilmagan holda tajovuzkorga tegishli bo'lgan istalgan joyga yo'n altiriladilar."
Hujumning texnik tafsilotlari bilan tanishib chiqqach, Hong u qonuniy PayPal tokenidan notoʻgʻri foydalanish orqali ishlaganini aytdi, bu PayPal Express Checkout orqali avtomatik toʻlov usullariga ruxsat beruvchi kompyuter kaliti.
Hujum qonuniy saytdagi qonuniy mahsulot reklamasining tepasida shaffofligi nolga teng boʻlgan iframe deb ataladigan maxfiy havolani joylashtirish orqali ishlaydi.
"Yashirin qatlam sizni haqiqiy mahsulot sahifasi kabi koʻrinishi mumkin boʻlgan sahifaga yoʻn altiradi, lekin buning oʻrniga siz PayPal’ga kirganligingizni tekshiradi va agar shunday boʻlsa, u [sizning hisobingizdan] toʻgʻridan-toʻgʻri pul yechib olishi mumkin.] PayPal hisobi, " umumiy Hong.
Hujum foydalanuvchini aldaydi, ular bir narsani bosyapti, deb oʻylaydi, aslida esa bu butunlay boshqacha.
Uning qoʻshimcha qilishicha, bir marta bosish orqali pul yechib olish oʻziga xosdir va shunga oʻxshash kliklash bank firibgarliklari odatda qurbonlarni bank veb-saytidan toʻgʻridan-toʻgʻri pul oʻtkazmasini tasdiqlash uchun aldash uchun bir necha marta bosishni oʻz ichiga oladi.
Juda koʻp harakat qilyapsizmi?
Ivanti kompaniyasining Mahsulotlarni boshqarish boʻyicha vitse-prezidenti Kris Gyotlning taʼkidlashicha, qulaylik tajovuzkorlar doimo undan foydalanishga intiladigan narsadir.
“PayPal kabi xizmatdan foydalangan holda bir marta bosish orqali toʻlash odamlar foydalanishga oʻrganib qolgan qulay xususiyat boʻlib, agar tajovuzkor zararli havolani yaxshi taqdim etsa, tajribada biror narsani sezmaydi”, dedi Goettl Lifewire’ga. elektron pochta orqali.
Bizni bu nayrangga tushib qolishdan qutqarish uchun Benoit-Kurts sog'lom fikrga rioya qilishni va biz kirmagan qalqib chiquvchi oynalar yoki veb-saytlar, shuningdek, xabarlar va elektron xatlardagi havolalarni bosmaslikni tavsiya qildi. biz boshlamaganimiz.
“Qizigʻi shundaki, bu zaiflik 2021-yil oktabr oyida xabar qilingan va bugungi kunga qadar maʼlum zaiflik boʻlib qolmoqda”, deb taʼkidladi Benoit-Kurts.
Tadqiqotchining xulosalari boʻyicha oʻz fikrlarini soʻrash uchun PayPal’ga elektron pochta xabarini yubordik, ammo javob olmadik.
Goettl, garchi zaiflik hali ham tuzatilmagan bo'lsa-da, undan foydalanish oson emasligini tushuntirdi. Bu hiyla ishlashi uchun tajovuzkorlar PayPal orqali toʻlovlarni qabul qiladigan qonuniy veb-saytga kirib, odamlar bosishlari uchun zararli kontentni kiritishlari kerak.
“Bu, ehtimol, qisqa vaqt ichida topiladi, shuning uchun hujum aniqlanmaguncha, past daromad olish uchun katta harakat boʻlardi”, dedi Goettl.