Bài học rút ra chính
- Một nhà nghiên cứu bảo mật đã chỉ ra cách cơ chế thanh toán một lần nhấp của PayPal có thể bị lạm dụng để ăn cắp tiền, chỉ với một cú nhấp chuột.
- Nhà nghiên cứu tuyên bố lỗ hổng bảo mật được phát hiện lần đầu tiên vào tháng 10 năm 2021 và vẫn chưa được vá cho đến ngày hôm nay.
- Các chuyên gia bảo mật ca ngợi tính mới của cuộc tấn công nhưng vẫn hoài nghi về cách sử dụng trong thế giới thực của nó.
Nâng cao sự tiện lợi trong thanh toán của PayPal, một cú nhấp chuột là tất cả những gì kẻ tấn công cần để tiêu hao tài khoản PayPal của bạn.
Một nhà nghiên cứu bảo mật đã chứng minh những gì anh ta tuyên bố là một lỗ hổng chưa được vá trong PayPal về cơ bản có thể cho phép những kẻ tấn công làm trống tài khoản PayPal của nạn nhân sau khi lừa họ nhấp vào một liên kết độc hại, về mặt kỹ thuật được gọi là clickjacking tấn công.
"Lỗ hổng clickjack của PayPal là duy nhất ở chỗ thường chiếm đoạt một nhấp chuột là bước đầu tiên để khởi động một số cuộc tấn công khác", Brad Hong, vCISO, Horizon3ai, nói với Lifewire qua email. "Nhưng trong trường hợp này, với một cú nhấp chuột, [cuộc tấn công giúp] ủy quyền số tiền thanh toán tùy chỉnh do kẻ tấn công đặt."
Chiếm quyền số lần nhấp
Stephanie Benoit-Kurtz, Trưởng khoa Hệ thống Thông tin và Công nghệ tại Đại học Phoenix, cho biết thêm rằng các cuộc tấn công bằng clickjacking lừa nạn nhân hoàn thành một giao dịch mà tiếp tục bắt đầu một loạt các hoạt động khác nhau.
"Thông qua một cú nhấp chuột, phần mềm độc hại được cài đặt, những kẻ xấu có thể thu thập thông tin đăng nhập, mật khẩu và các mục khác trên máy cục bộ và tải xuống phần mềm tống tiền", Benoit-Kurtz nói với Lifewire qua email."Ngoài việc gửi các công cụ trên thiết bị của cá nhân, lỗ hổng này còn cho phép những kẻ xấu ăn cắp tiền từ tài khoản PayPal."
Hong đã so sánh các cuộc tấn công bằng clickjacking với cách tiếp cận trường học mới về những cách không thể đóng cửa sổ bật lên trên các trang web phát trực tuyến. Nhưng thay vì ẩn dấu X để đóng lại, họ ẩn toàn bộ nội dung để mô phỏng các trang web bình thường, hợp pháp.
"Cuộc tấn công đánh lừa người dùng nghĩ rằng họ đang nhấp vào một thứ trong khi thực tế đó là một thứ hoàn toàn khác," Hong giải thích. "Bằng cách đặt một lớp mờ lên trên vùng nhấp chuột trên trang web, người dùng thấy mình được định tuyến đến bất kỳ nơi nào thuộc sở hữu của kẻ tấn công mà không bao giờ biết."
Sau khi xem xét các chi tiết kỹ thuật của cuộc tấn công, Hong cho biết nó hoạt động bằng cách sử dụng sai mã thông báo PayPal hợp pháp, là một khóa máy tính cho phép các phương thức thanh toán tự động qua PayPal Express Checkout.
Cuộc tấn công hoạt động bằng cách đặt một liên kết ẩn bên trong cái gọi là iframe với độ mờ của nó được đặt bằng 0 ở đầu quảng cáo cho một sản phẩm hợp pháp trên một trang web hợp pháp.
"Lớp ẩn hướng bạn đến những gì có vẻ giống như trang sản phẩm thực, nhưng thay vào đó, nó kiểm tra xem bạn đã đăng nhập vào PayPal chưa và nếu vậy, nó có thể trực tiếp rút tiền từ [của bạn] Tài khoản PayPal ", Hong chia sẻ.
Cuộc tấn công đánh lừa người dùng nghĩ rằng họ đang nhấp vào một thứ trong khi thực tế đó là một thứ hoàn toàn khác.
Anh ấy nói thêm rằng việc rút tiền bằng một cú nhấp chuột là duy nhất và các vụ lừa đảo ngân hàng bằng cách nhấp chuột tương tự thường liên quan đến nhiều lần nhấp để lừa nạn nhân xác nhận chuyển khoản trực tiếp từ trang web của ngân hàng của họ.
Nỗ lực quá nhiều?
Chris Goettl, Phó Giám đốc Quản lý Sản phẩm tại Ivanti, cho biết sự tiện lợi là thứ mà những kẻ tấn công luôn tìm cách tận dụng.
“Thanh toán bằng một cú nhấp chuột bằng cách sử dụng dịch vụ như PayPal là một tính năng tiện lợi mà mọi người quen sử dụng và có thể sẽ không nhận thấy điều gì đó hơi bất thường trong trải nghiệm nếu kẻ tấn công trình bày tốt liên kết độc hại,” Goettl nói với Lifewire qua email.
Để cứu chúng ta khỏi mắc phải mánh khóe này, Benoit-Kurtz đề xuất làm theo cách hiểu thông thường và không nhấp vào liên kết trong bất kỳ loại cửa sổ bật lên hoặc trang web nào mà chúng tôi không truy cập cụ thể, cũng như trong tin nhắn và email, mà chúng tôi không bắt đầu.
“Thật thú vị, lỗ hổng này đã được báo cáo trở lại vào tháng 10 năm 2021 và cho đến ngày nay, vẫn là một lỗ hổng đã biết,” Benoit-Kurtz chỉ ra.
Chúng tôi đã gửi email cho PayPal để hỏi quan điểm của họ về phát hiện của nhà nghiên cứu nhưng chưa nhận được phản hồi.
Goettl, tuy nhiên, giải thích rằng mặc dù lỗ hổng bảo mật có thể vẫn chưa được khắc phục nhưng không dễ để khai thác. Để thủ thuật hoạt động, những kẻ tấn công cần phải đột nhập vào một trang web hợp pháp chấp nhận thanh toán qua PayPal và sau đó chèn nội dung độc hại để mọi người nhấp vào.
“Điều này có thể được tìm thấy trong một khoảng thời gian ngắn, vì vậy sẽ phải nỗ lực cao để thu được lợi nhuận thấp trước khi cuộc tấn công có thể bị phát hiện,” Goettl nói.
