Bezpečnostný výskumník objavil vážnu chybu v jednej z najznámejších a najpoužívanejších služieb na posielanie peňazí či platení za tovar či služby. Chyba v službe PayPal útočníkom umožňuje, aby jediným kliknutím nevedomky prinútili obete dokončiť transakcie riadené útočníkom.
Ako to ale robia? Nový trik útočníkov nazývaný Clickjacking označuje techniku, pri ktorej je nepozorný používateľ nabádaný, aby klikol na zdanlivo neškodné prvky webovej stránky, akými môžu byť rôzne tlačidlá, s cieľom stiahnuť škodlivý softvér, presmerovať na škodlivé webové stránky alebo zverejniť citlivé informácie, píše The Hacker News.
Útočníci majú na dosiahnutie svojho cieľu používať neviditeľnú stránku alebo prvok, ktorý prekrýva viditeľnú stránku. To vedie k scenáru, v ktorom nič netušiaci ľudia v dobrom úmysle kliknú na ovládací prvok alebo čokoľvek iné, no namiesto toho, čo od daného prvku očakávajú, v skutočnosti klikajú na podvodný odkaz pripravený napáchať škody. Týmto konaním útočníci doslova „unášajú“ kliknutia určené pre legitímne používanie napadnutej stránky.
PayPal o tom vie, akurát nekoná
Čo je horšie, škodlivý kód objavili priamo na stránke PayPalu, a to ešte v októbri 2021. Až doteraz však nebol odstránený. Experti kód objavili na adrese paypal[.]com/agreements/approve, ktorá je určená ako koncový bod pre dohody o vyúčtovaní. Práve do nej dokázali útočníci vložiť škodlivý iframe, ktorým ľudí presmerovali na iný web.
Protivníci tak tlačidlo na podpísanie zmlúv mohli presmerovať na automatický prevod peňazí na svoj účet bez toho, aby si to ľudia rýchlo všimli. Vysoko znepokojujúco pôsobí aj fakt, že chyba ovplyvňuje aj weby, ktoré integrovali systém platieb PayPal. Čelia totiž rovnakému problému.
„Môžem použiť rovnakú zraniteľnosť a prinútiť užívateľa, aby mi pridal peniaze na účet, alebo môžem využiť túto chybu a nechať obeť vytvoriť/zaplatiť za Netflix účet namiesto mňa,“ opisuje vážnosť zraniteľnosti bezpečnostný expert prezývajúci sa H4x0r_dz.
