Paypal Güvenlik Açığı Hala Düzeltilmedi!

Paypal Güvenlik Açığı Hala Düzeltilmedi!

Bir güvenlik araştırmacısı, PayPal'ın tek tıklamayla ödeme mekanizmasının tek bir tıklamayla para çalmak için nasıl kötüye kullanılabileceğini gösterdi.

  • Bir güvenlik araştırmacısı, PayPal'ın tek tıklamayla ödeme mekanizmasının tek bir tıklamayla para çalmak için nasıl kötüye kullanılabileceğini gösterdi.
  • Araştırmacı, güvenlik açığının ilk olarak Ekim 2021'de keşfedildiğini ve bugüne kadar yama yapılmadığını iddia ediyor.
  • Güvenlik uzmanları, saldırının yeniliğini övüyor, ancak gerçek dünyadaki kullanımı konusunda şüpheci olmaya devam ediyor.
Ekranda ikili kod görüntülenen bir dizüstü bilgisayar üzerinde kredi kartı tutan isimsiz bir bilgisayar korsanının elleri.

PayPal'ın ödeme kolaylığını alt üst eden bir saldırganın PayPal hesabınızı boşaltması için tek bir tıklama yeterlidir.

Bir güvenlik araştırmacısı, PayPal'da , saldırganların, teknik olarak bir tıklama saldırısı olarak adlandırılan, kötü niyetli bir bağlantıya tıklamaları için kandırdıktan sonra, kurbanın PayPal hesabını boşaltmasına izin verebilecek, henüz yamalanmamış bir güvenlik açığı olduğunu gösterdi.

Horizon3ai vCISO'dan Brad Hong, Lifewire'a e-posta yoluyla verdiği demeçte , "PayPal Clickjack güvenlik açığı benzersizdir, çünkü tipik olarak bir tıklamayı ele geçirmek, başka bir saldırı başlatmanın ilk adımıdır. " "Ancak bu durumda, tek bir tıklamayla [saldırı yardımcı olur], bir saldırgan tarafından belirlenen özel bir ödeme tutarına yetki verilir."

Tıklamaları Ele Geçirme

Phoenix Üniversitesi Bilgi Sistemleri ve Teknoloji Koleji Baş Öğretim Üyesi Stephanie Benoit-Kurtz , tıklama saldırılarının kurbanları bir dizi farklı etkinliği daha da başlatan bir işlemi tamamlamaları için kandırdığını da sözlerine ekledi.

Benoit-Kurtz Lifewire'a e-posta yoluyla "Tıklama yoluyla kötü amaçlı yazılım yüklenir, kötü niyetli kişiler yerel makinede oturum açma bilgilerini, parolaları ve diğer öğeleri toplayabilir ve fidye yazılımı indirebilir" dedi. "Bireyin cihazına araçların yatırılmasının ötesinde, bu güvenlik açığı kötü oyuncuların PayPal hesaplarından para çalmasına da izin veriyor."

Hong, tıklama saldırılarını akış web sitelerinde açılır pencereleri kapatmanın imkansız olduğu yeni okul yaklaşımıyla karşılaştırdı. Ancak kapatmak için X'i gizlemek yerine, normal, meşru web sitelerini taklit etmek için her şeyi gizlerler.

Hong, "Saldırı, kullanıcıyı, gerçekte tamamen farklı bir şey olduğu halde, bir şeye tıkladıklarını düşünmeleri için kandırıyor" dedi. "Bir web sayfasındaki tıklama alanının üstüne opak bir katman yerleştiren kullanıcılar, kendilerini bir saldırganın sahip olduğu herhangi bir yere, hiç bilmeden yönlendirilmiş buluyorlar."

Saldırının teknik ayrıntılarını inceledikten sonra Hong, PayPal Express Checkout aracılığıyla otomatik ödeme yöntemlerine izin veren bir bilgisayar anahtarı olan meşru bir PayPal jetonunu kötüye kullanarak çalıştığını söyledi.

Saldırı, meşru bir sitedeki meşru bir ürün için bir reklamın üzerine opaklığı sıfır olan bir iframe denilen şeyin içine gizli bir bağlantı yerleştirerek çalışır.

"Gizli katman, sizi gerçek ürün sayfası gibi görünebilecek bir şeye yönlendirir, ancak bunun yerine, daha önce PayPal'a giriş yapıp yapmadığınızı kontrol eder ve öyleyse, doğrudan [sizin] PayPal hesabınızdan para çekebilir." Hong paylaştı

"Saldırı, kullanıcıyı, gerçekte tamamen farklı bir şey olduğu halde, bir şeye tıkladıklarını düşünmeleri için kandırıyor."

Tek tıklamayla para çekmenin benzersiz olduğunu ve benzer tıklama hırsızlığı banka dolandırıcılıklarının genellikle kurbanları bankalarının web sitesinden doğrudan bir havaleyi onaylamaları için kandırmak için birden fazla tıklamayı içerdiğini ekledi.

Çok fazla çaba?

Ivanti Ürün Yönetimi Başkan Yardımcısı Chris Goettl rahatlığın saldırganların her zaman yararlanmak istediği bir şey olduğunu söyledi.

Goettl, Lifewire'a e-posta yoluyla “PayPal gibi bir hizmeti kullanarak tek tıklamayla ödeme, insanların kullanmaya alıştığı ve saldırganın kötü niyetli bağlantıyı iyi sunması durumunda deneyimde bir şeylerin biraz yanlış olduğunu fark etmeyecekleri bir kolaylık özelliğidir” dedi.

Benoit-Kurtz, bizi bu numaraya düşmekten kurtarmak için sağduyuyu takip etmeyi ve özellikle gitmediğimiz açılır pencere veya web sitelerinin yanı sıra mesajlar ve e-postalardaki bağlantılara tıklamamamızı önerdi. başlatmak.

Benoit-Kurtz, "İlginç bir şekilde, bu güvenlik açığı Ekim 2021'de rapor edildi ve bugün itibariyle bilinen bir güvenlik açığı olmaya devam ediyor" dedi.

Dizüstü bilgisayar kullanan genç kadının omzunun üzerinden dijital güvenlik cihazıyla çevrimiçi bankacılık hesabına giriş yapıyor.

PayPal'a araştırmacının bulgularıyla ilgili görüşlerini sormak için e-posta gönderdik ancak yanıt alamadık.

Ancak Goettl, güvenlik açığı hala düzeltilemese de, istismar edilmesinin kolay olmadığını açıkladı. Bu numaranın işe yaraması için, saldırganların PayPal üzerinden ödeme kabul eden meşru bir web sitesine girmeleri ve ardından insanların tıklaması için kötü niyetli içeriği eklemeleri gerekiyor.

Goettl, "Bu muhtemelen kısa bir süre içinde bulunacaktır, bu nedenle saldırı muhtemelen keşfedilmeden önce düşük bir kazanç için yüksek bir çaba olacaktır" dedi.

HABERE YORUM KAT
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
Haberler
Çin, Ay’ın uzak yüzünü görüntüledi!
Çin, Ay’ın uzak yüzünü görüntüledi!
Patiswiss Sahibi Elif Aslı Yıldız Kimdir? Elif Aslı Yıldız mesleği nedir?
Patiswiss Sahibi Elif Aslı Yıldız Kimdir? Elif Aslı Yıldız mesleği nedir?
31 Mart 2024 Seçimlerinin Bize Anımsattıkları
31 Mart 2024 Seçimlerinin Bize Anımsattıkları
Güzel oyuncu Bahar Öztan hayatını kaybetti
Güzel oyuncu Bahar Öztan hayatını kaybetti
Ünlü rapçi Lil Jon hidayete erdi
Ünlü rapçi Lil Jon hidayete erdi
Grup Laçin'in akordeoncusundan acı haber
Grup Laçin'in akordeoncusundan acı haber
Seçime hangi partiler katılıyor?
Seçime hangi partiler katılıyor?
Usta oyuncu Kayhan Yıldızoğlu'nu kaybettik
Usta oyuncu Kayhan Yıldızoğlu'nu kaybettik