Key Takeaways
- Ein Sicherheitsforscher hat gezeigt, wie der Ein-Klick-Zahlungsmechanismus von PayPal missbraucht werden kann, um mit einem einzigen Klick Geld zu stehlen.
- Der Forscher behauptet, dass die Schwachstelle erstmals im Oktober 2021 entdeckt wurde und bis heute nicht gepatcht wurde.
- Sicherheitsexperten loben die Neuartigkeit des Angriffs, bleiben aber skeptisch, was seine praktische Anwendung angeht.
Um den Zahlungskomfort von PayPal auf den Kopf zu stellen, genügt ein Klick, um Ihr PayPal-Konto zu leeren.
Ein Sicherheitsforscher hat gezeigt, dass es sich um eine seiner Meinung nach noch nicht gepatchte Schwachstelle in PayPal handelt, die es Angreifern im Wesentlichen ermöglichen könnte, das PayPal-Konto eines Opfers zu leeren, nachdem sie es dazu verleitet haben, auf einen schädlichen Link zu klicken, was technisch als Clickjacking bezeichnet wird Angriff.
"Die PayPal-Clickjack-Schwachstelle ist insofern einzigartig, als das Hijacking eines Klicks normalerweise der erste Schritt zu einem anderen Angriff ist", sagte Brad Hong, vCISO, Horizon3ai, gegenüber Lifewire per E-Mail. "Aber in diesem Fall, mit einem einzigen Klick, [der Angriff hilft], einen benutzerdefinierten Zahlungsbetrag zu autorisieren, der von einem Angreifer festgelegt wurde."
Hijacking von Klicks
Stephanie Benoit-Kurtz, Lead Faculty für das College of Information Systems and Technology an der University of Phoenix, fügte hinzu, dass Clickjacking-Angriffe die Opfer dazu verleiten, eine Transaktion abzuschließen, die eine Vielzahl verschiedener Aktivitäten auslöst.
"Durch den Klick wird Malware installiert, die Angreifer können Logins, Passwörter und andere Elemente auf dem lokalen Rechner sammeln und Ransomware herunterladen", sagte Benoit-Kurtz Lifewire per E-Mail."Neben der Hinterlegung von Tools auf dem Gerät des Einzelnen ermöglicht diese Schwachstelle auch Betrügern, Geld von PayPal-Konten zu stehlen."
Hong verglich Clickjacking-Angriffe mit dem New-School-Ansatz dieser unmöglich zu schließenden Popups auf Streaming-Websites. Aber anstatt das X zum Schließen zu verstecken, verstecken sie das Ganze, um normale, legitime Websites zu emulieren.
"Der Angriff täuscht den Benutzer vor, dass er auf etwas klickt, obwohl es in Wirklichkeit etwas ganz anderes ist", erklärte Hong. "Durch das Platzieren einer undurchsichtigen Ebene über einem Klickbereich auf einer Webseite werden Benutzer an einen beliebigen Ort weitergeleitet, der einem Angreifer gehört, ohne es jemals zu wissen."
Nach Durchsicht der technischen Details des Angriffs sagte Hong, dass es funktioniert, indem ein legitimes PayPal-Token missbraucht wird, das ein Computerschlüssel ist, der automatische Zahlungsmethoden über PayPal Express Checkout autorisiert.
Der Angriff funktioniert, indem ein versteckter Link in einem sogenannten Iframe mit einer Deckkraft von Null über einer Anzeige für ein legitimes Produkt auf einer legitimen Website platziert wird.
"Die versteckte Ebene leitet Sie zu einer scheinbar echten Produktseite, aber stattdessen überprüft sie, ob Sie bereits bei PayPal angemeldet sind, und wenn ja, kann sie direkt Geld von [Ihrem] PayPal-Konto, " Shared Hong.
Der Angriff täuscht den Benutzer vor, er klicke auf etwas, obwohl es in Wirklichkeit etwas ganz anderes ist.
Er fügte hinzu, dass die Ein-Klick-Auszahlung einzigartig ist und ähnliche Clickjacking-Bankbetrügereien normalerweise mehrere Klicks beinh alten, um die Opfer dazu zu bringen, eine direkte Überweisung von der Website ihrer Bank zu bestätigen.
Zu viel Aufwand?
Chris Goettl, VP of Product Management bei Ivanti, sagte, dass Angreifer immer darauf aus sind, Bequemlichkeit auszunutzen.
„Ein-Klick-Zahlung über einen Dienst wie PayPal ist eine praktische Funktion, an deren Verwendung sich die Leute gewöhnen und die wahrscheinlich nicht bemerken werden, dass etwas in der Erfahrung ein wenig falsch ist, wenn der Angreifer den bösartigen Link gut präsentiert“, sagte Göttl gegenüber Lifewire per E-Mail.
Um uns davor zu bewahren, auf diesen Trick hereinzufallen, schlug Benoit-Kurtz vor, dem gesunden Menschenverstand zu folgen und keine Links in irgendeiner Art von Popups oder Websites anzuklicken, die wir nicht ausdrücklich besucht haben, sowie in Nachrichten und E-Mails, die wir nicht initiiert haben.
"Interessanterweise wurde diese Schwachstelle bereits im Oktober 2021 gemeldet und ist bis heute eine bekannte Schwachstelle", betonte Benoit-Kurtz.
Wir haben PayPal per E-Mail um ihre Meinung zu den Ergebnissen des Forschers gebeten, aber keine Antwort erh alten.
Goettl erklärte jedoch, dass die Schwachstelle zwar möglicherweise immer noch nicht behoben, aber nicht einfach auszunutzen sei. Damit der Trick funktioniert, müssen Angreifer in eine legitime Website eindringen, die Zahlungen über PayPal akzeptiert, und dann den schädlichen Inh alt einfügen, damit die Leute darauf klicken können.
„Dies würde wahrscheinlich in kurzer Zeit gefunden werden, daher wäre es ein hoher Aufwand für einen geringen Gewinn, bevor der Angriff wahrscheinlich entdeckt würde“, meinte Göttl.
