Новая неисправленная ошибка может позволить злоумышленникам украсть деньги у пользователей PayPal

23 мая 2022 года источник The Hacker News рассказал о том, что независимый исследователь безопасности обнаружил неисправленную уязвимость в службе денежных переводов PayPal, которая может позволить злоумышленникам обманным путем заставить жертв неосознанно совершать транзакции.

Непосредственно о проблеме

Clickjacking, или проще говоря, метод исправления пользовательского интерфейса, представляющий собой операцию, при которой ничего не подозревающий пользователь нажимает на, казалось бы, простые кнопки. Однако они выполняют не ту команду, которую ожидает человек. На самом деле пользователь случайно загружает вредоносное ПО, попадая на соответствующие веб-сайты, или подвергает конфиденциальную информацию риску раскрытия.

Обычно это достигается путем отображения невидимой страницы или HTML-элемента поверх видимой страницы, что приводит к ситуации, когда пользователя вводят в заблуждение. Он считает, что просматривает законную страницу, хотя на самом деле листает мошеннический элемент, наложенный поверх нее.

«Таким образом, злоумышленник «перехватывает» клики, предназначенные для [законной] страницы, и перенаправляет их на другую страницу, скорее всего, принадлежащую другому приложению, домену или тому и другому», — объяснил исследователь безопасности под ником h4x0r_dz в посте, документируя результаты.

h4x0r_dz, обнаруживший проблему на конечной точке «www.paypal[.]com/agreements/approve», сказал, что компания сообщила о проблеме в октябре 2021 года. «Эта конечная точка предназначена для соглашений о выставлении счетов и должна принимать только BillingAgreementToken», — пояснил исследователь. «Но во время углубленного тестирования было обнаружено, что пользователи могут передать другой тип токена, и это приводит к краже денег со счета PayPal жертвы».

Деньги в «никуда», т. е. в карман мошенника

Это означает, что злоумышленник может внедрить вышеупомянутую конечную точку в iframe, заставив жертву, уже вошедшую в веб-браузер, перевести средства на контролируемую злоумышленником учетную запись PayPal одним нажатием кнопки.

Еще более тревожно то, что атака могла иметь катастрофические последствия для онлайн-порталов, которые интегрируются с PayPal для оплаты, позволяя злоумышленнику вычитать произвольные суммы со счетов пользователей платежной системы.

«Существуют онлайн-сервисы, которые позволяют пользователю пополнить баланс своей учетной записи с помощью PayPal», — сказал h4x0r_dz. «Я могу использовать тот же эксплойт и заставить пользователя добавить деньги на мою учетную запись, или могу использовать эту ошибку и позволить жертве создать/оплатить учетную запись Netflix для меня!»