Үндсэн санаанууд
- Аюулгүй байдлын судлаач PayPal-ийн нэг товшилтоор төлбөрийн механизмыг ашиглан мөнгө хулгайлж, нэг товшилтоор хэрхэн ашиглаж болохыг харуулсан.
- Судлаач энэ эмзэг байдлыг 2021 оны 10-р сард анх илрүүлсэн бөгөөд өнөөдрийг хүртэл засварлаагүй гэж мэдэгдэв.
- Аюулгүй байдлын мэргэжилтнүүд халдлагын шинэлэг байдлыг сайшааж байгаа ч түүний бодит хэрэглээнд эргэлзсээр байна.
PayPal-н төлбөрийн хялбар байдлыг эргүүлж, нэг товшилтоор халдагч таны PayPal дансыг устгахад хангалттай.
Аюулгүй байдлын судлаач PayPal-д хараахан засварлагдаагүй эмзэг байдлыг харуулсан бөгөөд энэ нь халдагчид хохирогчийн PayPal дансыг мэхэлж, хортой холбоос дээр дарах боломжийг олгодог бөгөөд үүнийг техникийн хувьд clickjacking гэж нэрлэдэг. халдлага.
"PayPal-ийн clickjack-ийн эмзэг байдал нь өвөрмөц бөгөөд товшилтыг хулгайлах нь бусад халдлага эхлүүлэх нэг алхам болдог" гэж vCISO, Horizon3ai Брэд Хонг Lifewire-д цахим шуудангаар ярьжээ. "Гэхдээ энэ тохиолдолд нэг товшилтоор халдагчийн тогтоосон захиалгат төлбөрийн хэмжээг зөвшөөрөхөд [халдлага тусалдаг]."
Товшилтыг хулгайлж байна
Фениксийн Их Сургуулийн Мэдээллийн Систем, Технологийн Коллежийн ахлах багш Стефани Беноит-Куртц хэлэхдээ товшилт хийх халдлага нь хохирогчдыг хууран мэхэлж, олон төрлийн үйл ажиллагааг эхлүүлдэг гүйлгээг дуусгадаг.
"Товшсоноор хортой програм суулгаж, муу жүжигчид дотоод машин дээр нэвтрэх, нууц үг болон бусад зүйлсийг цуглуулж, ransomware татаж авах боломжтой" гэж Бенуа-Курц Lifewire-д цахим шуудангаар ярьжээ."Энэ эмзэг байдал нь тухайн хүний төхөөрөмж дээр багаж хэрэгслийг байршуулахаас гадна муу жүжигчид PayPal данснаас мөнгө хулгайлах боломжийг олгодог."
Хонг стриминг вэб сайт дээрх попап цонхыг хаах боломжгүй сургуулийн шинэ арга барилтай товшилт хийх халдлагыг харьцуулсан. Гэхдээ тэд хаахын тулд X-г нуухын оронд ердийн, хууль ёсны вэбсайтуудыг дуурайхын тулд бүгдийг нь нуудаг.
"Халдлага нь хэрэглэгчийг нэг зүйл дээр дарж байна гэж төөрөлдүүлж, бодит байдал дээр энэ нь огт өөр зүйл юм" гэж Хонг тайлбарлав. "Вэб хуудасны товшилтын хэсэг дээр тунгалаг бус давхарга байрлуулснаар хэрэглэгчид хэзээ ч мэдэлгүйгээр халдагчийн эзэмшдэг газар руу чиглүүлдэг."
Хонг халдлагын техникийн дэлгэрэнгүй мэдээллийг уншсаны дараа энэ нь PayPal Express Checkout-ээр дамжуулан автомат төлбөрийн аргыг зөвшөөрдөг компьютерийн түлхүүр болох хууль ёсны PayPal жетоныг буруугаар ашигласнаар ажилладаг гэж хэлсэн.
Энэ халдлага нь хууль ёсны сайт дээрх хууль ёсны бүтээгдэхүүний зарын дээд талд тунгалаг байдал нь 0-ээс бүрдсэн iframe гэж нэрлэгддэг далд холбоосыг байрлуулснаар ажилладаг.
"Нуугдсан давхарга нь таныг жинхэнэ бүтээгдэхүүний хуудас мэт санагдах зүйл рүү чиглүүлдэг боловч оронд нь таныг PayPal-д аль хэдийн нэвтэрсэн эсэхийг шалгах бөгөөд хэрэв нэвтэрсэн бол [таны хуудаснаас мөнгө авах боломжтой.] PayPal данс, " хуваалцсан Хонг.
Энэ халдлага нь хэрэглэгчийг нэг зүйл дээр дарж байна гэж төөрөлдүүлж, бодит байдал дээр тэс өөр зүйл болж байна.
Тэр нэмж хэлэхэд нэг товшилтоор мөнгө авах нь өвөрмөц бөгөөд үүнтэй төстэй товшилтын банкны луйвар нь ихэвчлэн хохирогчдыг банкны вэбсайтаас шууд шилжүүлэг баталгаажуулахын тулд олон товшилтоор хуурдаг.
Хэт их хичээл зүтгэл үү?
Ивантигийн Бүтээгдэхүүний удирдлагын дэд захирал Крис Гёттл хэлэхдээ тав тухтай байдал бол халдагчид үргэлж давуу талыг ашиглахыг хүсдэг зүйл юм.
“PayPal гэх мэт үйлчилгээг ашиглан нэг товшилтоор төлбөр хийх нь хүмүүсийн хэрэглэж заншсан тав тухтай функц бөгөөд халдагчид хортой холбоосыг сайн танилцуулбал туршлагаасаа ямар нэг зүйл бага зэрэг доголдохгүй байх магадлалтай” гэж Гёттл Lifewire-д ярьжээ. имэйлээр.
Биднийг энэ заль мэхэнд автахаас аврахын тулд Бенуа-Курц эрүүл ухаанаар явахыг санал болгож, бидний тусгайлан очоогүй ямар ч төрлийн попап цонх, вэб сайт, түүнчлэн мессеж, цахим шуудан дээрх холбоосыг дарахгүй байхыг зөвлөжээ. бид санаачлаагүй.
“Сонирхолтой нь, энэ эмзэг байдлын талаар 2021 оны 10-р сард мэдээлсэн бөгөөд өнөөдрийн байдлаар мэдэгдэж байгаа эмзэг байдал хэвээр байна” гэж Бенуа-Курц онцолжээ.
Бид PayPal-д и-мэйл илгээж, судлаачийн дүгнэлтийн талаар тэдний байр суурийг асуусан боловч хариу ирээгүй.
Гоеттл хэдийгээр эмзэг байдлыг засаагүй байж магадгүй ч ашиглахад амаргүй гэдгийг тайлбарлав. Энэхүү заль мэхийг ажиллуулахын тулд халдагчид PayPal-аар дамжуулан төлбөр хүлээн авдаг хууль ёсны вэб сайт руу нэвтэрч, улмаар хүмүүст товшихын тулд хортой контент оруулах шаардлагатай.
“Энэ нь богино хугацаанд олдох магадлалтай тул халдлагыг илрүүлэхээс өмнө бага ашиг олох нь маш их хүчин чармайлт байх болно” гэж Гёттл хэлэв.
