მთავარი წაღებები
- უსაფრთხოების მკვლევარმა აჩვენა, თუ როგორ შეიძლება PayPal-ის ერთი დაწკაპუნებით გადახდის მექანიზმის ბოროტად გამოყენება ფულის მოპარვის მიზნით, ერთი დაწკაპუნებით.
- მკვლევარი ამტკიცებს, რომ დაუცველობა პირველად აღმოაჩინეს 2021 წლის ოქტომბერში და დღემდე შეუმჩნეველი რჩება.
- უსაფრთხოების ექსპერტები აფასებენ თავდასხმის სიახლეს, მაგრამ სკეპტიკურად უყურებენ მის რეალურ სამყაროში გამოყენებას.
გადააბრუნეთ PayPal-ის გადახდის მოხერხებულობა, ერთი დაწკაპუნებით არის ყველაფერი, რაც თავდამსხმელს სჭირდება თქვენი PayPal ანგარიშის გასაშრობად.
უსაფრთხოების მკვლევარმა აჩვენა, რომ მისი თქმით, არის PayPal-ის ჯერ კიდევ დაუმუშავებელი დაუცველობა, რომელიც არსებითად საშუალებას აძლევს თავდამსხმელებს დააცალათ მსხვერპლის PayPal ანგარიში მას შემდეგ, რაც მოატყუეს და დააწკაპუნონ მავნე ბმულზე, რასაც ტექნიკურად უწოდებენ clickjacking-ს. შეტევა.
"PayPal clickjack-ის დაუცველობა უნიკალურია იმით, რომ, როგორც წესი, დაწკაპუნების გატაცება არის პირველი ნაბიჯი სხვა თავდასხმის დასაწყებად", - განუცხადა ბრედ ჰონგმა, vCISO, Horizon3ai, Lifewire-ს ელექტრონული ფოსტით. "მაგრამ ამ შემთხვევაში, ერთი დაწკაპუნებით, [შეტევა ეხმარება] ავტორიზაციას უწევს თავდამსხმელის მიერ დაწესებული გადახდის მორგებული თანხა."
დაწკაპუნებების გატაცება
Stephanie Benoit-Kurtz-მა, ფენიქსის უნივერსიტეტის საინფორმაციო სისტემებისა და ტექნოლოგიების კოლეჯის წამყვანმა ფაკულტეტმა დაამატა, რომ დაწკაპუნების შეტევები ატყუებენ მსხვერპლს ტრანზაქციის დასრულებაში, რომელიც შემდგომში იწყებს სხვადასხვა აქტივობებს.
"დაწკაპუნების საშუალებით დაინსტალირებულია მავნე პროგრამა, ცუდ მსახიობებს შეუძლიათ შეაგროვონ შესვლა, პაროლები და სხვა ელემენტები ლოკალურ აპარატზე და ჩამოტვირთონ გამოსასყიდი პროგრამა", - განუცხადა ბენუა-კურცმა Lifewire-ს ელფოსტით.„ინდივიდის მოწყობილობაზე ხელსაწყოების დეპონირების გარდა, ეს დაუცველობა ასევე საშუალებას აძლევს ცუდ მსახიობებს მოიპარონ ფული PayPal-ის ანგარიშებიდან“.
ჰონგმა შეადარა clickjacking თავდასხმები სკოლის ახალ მიდგომას, რომლის დახურვა შეუძლებელია სტრიმინგ ვებსაიტებზე. მაგრამ იმის ნაცვლად, რომ X-ის დახურვისთვის დამალონ, ისინი მალავენ მთელ ნივთს ნორმალური, ლეგიტიმური ვებსაიტების მიბაძვის მიზნით.
"შეტევა ატყუებს მომხმარებელს და ფიქრობს, რომ ისინი აწკაპუნებენ ერთ რამეზე, როდესაც სინამდვილეში ეს სრულიად განსხვავებულია", - განმარტა ჰონგმა. "ვებგვერდის დაწკაპუნების არეზე გაუმჭვირვალე ფენის განთავსებით, მომხმარებლები აღმოჩნდებიან ნებისმიერ ადგილას, რომელიც ეკუთვნის თავდამსხმელს, ყოველგვარი ცოდნის გარეშე."
შეტევის ტექნიკური დეტალების შესწავლის შემდეგ, ჰონგმა თქვა, რომ ის მუშაობს ლეგიტიმური PayPal ტოკენის ბოროტად გამოყენებით, რომელიც არის კომპიუტერის გასაღები, რომელიც ავტორიზაციას აძლევს გადახდის ავტომატურ მეთოდებს PayPal Express Checkout-ის მეშვეობით.
შეტევა მუშაობს ფარული ბმულის განთავსებით, რასაც iframe-ს უწოდებენ, მისი გამჭვირვალობის ნულოვანი ნაკრებით ლეგიტიმურ საიტზე ლეგიტიმური პროდუქტის რეკლამის თავზე.
"დამალული ფენა მიგიყვანთ იმაზე, რაც შეიძლება ჩანდეს პროდუქტის რეალურ გვერდზე, მაგრამ ამის ნაცვლად, ის ამოწმებს, უკვე შესული ხართ თუ არა PayPal-ში და თუ ასეა, მას შეუძლია უშუალოდ ფულის გამოტანა [თქვენიდან.] PayPal ანგარიში, " გააზიარა ჰონგმა.
შეტევა ატყუებს მომხმარებელს და ფიქრობს, რომ ისინი აწკაპუნებენ ერთ რამეზე, როდესაც სინამდვილეში ეს არის სრულიად განსხვავებული.
მან დაამატა, რომ ერთი დაწკაპუნებით გატანა უნიკალურია და მსგავსი დაწკაპუნებით საბანკო თაღლითობები, როგორც წესი, მოიცავს მრავალ დაწკაპუნებას, რათა მოატყუონ მსხვერპლი, რათა დაადასტურონ პირდაპირი გადარიცხვა მათი ბანკის ვებსაიტიდან.
ძალიან დიდი ძალისხმევა?
კრის გოტლმა, Ivanti-ს პროდუქტების მენეჯმენტის ვიცე-პრეზიდენტმა, თქვა, რომ კომფორტი არის ის, რითაც თავდამსხმელები ყოველთვის ცდილობენ ისარგებლონ.
„ერთი დაწკაპუნებით გადახდა ისეთი სერვისის გამოყენებით, როგორიცაა PayPal, არის მოსახერხებელი ფუნქცია, რომელსაც ხალხი ეჩვევა და, სავარაუდოდ, ვერ შეამჩნევს რაღაცას, თუკი თავდამსხმელი კარგად წარმოაჩენს მავნე ბმულს“, - განუცხადა გოტლმა Lifewire-ს. ელფოსტით.
ამ ხრიკზე გადასარჩენად, ბენუა-კურცმა შემოგვთავაზა მიჰყვეთ საღი აზრი და არ დააწკაპუნოთ ბმულებზე ნებისმიერი ტიპის ამომხტარ ფანჯარაში ან ვებსაიტზე, რომლებზეც კონკრეტულად არ წავედით, ასევე შეტყობინებებსა და ელფოსტაზე, რომ ჩვენ არ წამოვიწყეთ.
"საინტერესოა, რომ ეს დაუცველობა დაფიქსირდა ჯერ კიდევ 2021 წლის ოქტომბერში და, დღეის მდგომარეობით, რჩება ცნობილ დაუცველობად", - აღნიშნა ბენუა-კურცმა.
ჩვენ მივმართეთ PayPal-ს, რათა გვეკითხა მათი შეხედულებები მკვლევარის დასკვნებზე, მაგრამ პასუხი არ მიგვიღია.
თუმცა, Goettl-მა განმარტა, რომ მიუხედავად იმისა, რომ დაუცველობა შეიძლება ჯერ კიდევ არ გამოსწორდეს, მისი გამოყენება ადვილი არ არის. იმისათვის, რომ ილეთმა იმუშაოს, თავდამსხმელებმა უნდა შეაღწიონ ლეგიტიმურ ვებსაიტს, რომელიც იღებს გადახდებს PayPal-ის მეშვეობით და შემდეგ ჩასვათ მავნე კონტენტი, რომ დააწკაპუნოთ ხალხმა.
"ეს სავარაუდოდ მოიძებნება მოკლე დროში, ამიტომ შეტევის აღმოჩენამდე დიდი ძალისხმევა იქნება დაბალი მოგებისთვის", - თქვა გოტლმა.
