Belangrijkste afhaalrestaurants
- Een beveiligingsonderzoeker heeft aangetoond hoe het betalingsmechanisme met één klik van PayPal kan worden misbruikt om met één klik geld te stelen.
- De onderzoeker beweert dat de kwetsbaarheid voor het eerst werd ontdekt in oktober 2021 en tot op de dag van vandaag niet is gepatcht.
- Beveiligingsexperts prijzen de nieuwigheid van de aanval, maar blijven sceptisch over het gebruik in de echte wereld.
Als je het betalingsgemak van PayPal op zijn kop zet, is één klik alles wat een aanvaller nodig heeft om je PayPal-rekening leeg te halen.
Een beveiligingsonderzoeker heeft aangetoond wat volgens hem een nog niet-gepatchte kwetsbaarheid in PayPal is, waardoor aanvallers in wezen de PayPal-rekening van een slachtoffer kunnen legen nadat ze hen hebben misleid om op een kwaadaardige link te klikken, in wat technisch wordt aangeduid als clickjacking aanval.
"De PayPal clickjack-kwetsbaarheid is uniek omdat het kapen van een klik doorgaans de eerste stap is om een andere aanval uit te voeren", vertelde Brad Hong, vCISO, Horizon3ai, via e-mail aan Lifewire. "Maar in dit geval autoriseert [de aanval helpt] met een enkele klik een aangepast betalingsbedrag dat door een aanvaller is ingesteld."
Klikken kapen
Stephanie Benoit-Kurtz, hoofdfaculteit van het College of Information Systems and Technology aan de Universiteit van Phoenix, voegde toe dat clickjacking-aanvallen slachtoffers ertoe verleiden een transactie te voltooien die een groot aantal verschillende activiteiten in gang zet.
"Door de klik wordt malware geïnstalleerd, de kwaadwillenden kunnen logins, wachtwoorden en andere items op de lokale computer verzamelen en ransomware downloaden", vertelde Benoit-Kurtz Lifewire via e-mail."Naast het deponeren van tools op het apparaat van het individu, stelt deze kwetsbaarheid ook kwaadwillenden in staat om geld te stelen van PayPal-rekeningen."
Hong vergeleek clickjacking-aanvallen met de nieuwe schoolbenadering van die onmogelijk te sluiten pop-ups op streamingwebsites. Maar in plaats van de X te verbergen om te sluiten, verbergen ze het hele ding om normale, legitieme websites te emuleren.
"De aanval laat de gebruiker denken dat ze op één ding klikken, terwijl het in werkelijkheid iets heel anders is", legt Hong uit. "Door een ondoorzichtige laag op een klikgebied op een webpagina te plaatsen, worden gebruikers zonder het te weten naar elke plek geleid die eigendom is van een aanvaller."
Na het doornemen van de technische details van de aanval, zei Hong dat het werkt door misbruik te maken van een legitiem PayPal-token, een computersleutel die automatische betalingsmethoden autoriseert via PayPal Express Checkout.
De aanval werkt door een verborgen link te plaatsen in een zogenaamd iframe met een dekkingsgraad van nul bovenop een advertentie voor een legitiem product op een legitieme site.
"De verborgen laag leidt u naar wat lijkt op de echte productpagina, maar in plaats daarvan controleert het of u al bent aangemeld bij PayPal, en zo ja, dan kan het direct geld opnemen van [uw] PayPal-account, " gedeeld Hong.
De aanval laat de gebruiker denken dat ze op één ding klikken, terwijl het in werkelijkheid iets heel anders is.
Hij voegde toe dat opname met één klik uniek is en dat soortgelijke bankfraude met clickjacking meestal meerdere klikken omvat om slachtoffers te misleiden om een rechtstreekse overboeking vanaf de website van hun bank te bevestigen.
Te veel moeite?
Chris Goettl, VP Product Management bij Ivanti, zei dat gemak iets is waar aanvallers altijd van willen profiteren.
“Betalen met één klik met een service zoals PayPal is een gemaksfunctie die mensen gewend zijn te gebruiken en die waarschijnlijk niet zullen merken dat er iets mis is in de ervaring als de aanvaller de kwaadaardige link goed presenteert,” vertelde Goettl aan Lifewire via e-mail.
Om ons te behoeden voor deze truc, stelde Benoit-Kurtz voor om gezond verstand te volgen en niet op links te klikken in pop-ups of websites waar we niet specifiek naartoe zijn gegaan, evenals in berichten en e-mails, dat we niet begonnen.
"Interessant is dat deze kwetsbaarheid al in oktober 2021 werd gemeld en tot op heden een bekende kwetsbaarheid is", aldus Benoit-Kurtz.
We hebben PayPal een e-mail gestuurd om hun mening over de bevindingen van de onderzoeker te vragen, maar hebben geen reactie ontvangen.
Goettl legde echter uit dat hoewel het beveiligingslek nog steeds niet is verholpen, het niet gemakkelijk te misbruiken is. Om de truc te laten werken, moeten aanvallers inbreken op een legitieme website die betalingen via PayPal accepteert en vervolgens de schadelijke inhoud invoegen zodat mensen erop kunnen klikken.
“Dit zou waarschijnlijk in een korte tijdsperiode worden gevonden, dus het zou een grote inspanning zijn voor een lage winst voordat de aanval waarschijnlijk zou worden ontdekt,” meende Goettl.