Новая неисправленная ошибка может позволить злоумышленникам украсть деньги у пользователей PayPal
Стало известно, что независимый исследователь безопасности PayPal обнаружил неисправленную уязвимость в службе денежных переводов платежной системы, которая, в свою очередь, может позволить злоумышленникам обманным путем заставить жертв неосознанно совершать транзакции
23 мая 2022 года источник The Hacker News рассказал о том, что независимый исследователь безопасности обнаружил неисправленную уязвимость в службе денежных переводов PayPal, которая может позволить злоумышленникам обманным путем заставить жертв неосознанно совершать транзакции.
Непосредственно о проблеме
Clickjacking, или проще говоря, метод исправления пользовательского интерфейса, представляющий собой операцию, при которой ничего не подозревающий пользователь нажимает на, казалось бы, простые кнопки. Однако они выполняют не ту команду, которую ожидает человек. На самом деле пользователь случайно загружает вредоносное ПО, попадая на соответствующие веб-сайты, или подвергает конфиденциальную информацию риску раскрытия.
Обычно это достигается путем отображения невидимой страницы или HTML-элемента поверх видимой страницы, что приводит к ситуации, когда пользователя вводят в заблуждение. Он считает, что просматривает законную страницу, хотя на самом деле листает мошеннический элемент, наложенный поверх нее.
«Таким образом, злоумышленник «перехватывает» клики, предназначенные для [законной] страницы, и перенаправляет их на другую страницу, скорее всего, принадлежащую другому приложению, домену или тому и другому», — объяснил исследователь безопасности под ником h4x0r_dz в посте, документируя результаты.
h4x0r_dz, обнаруживший проблему на конечной точке «www.paypal[.]com/agreements/approve», сказал, что компания сообщила о проблеме в октябре 2021 года. «Эта конечная точка предназначена для соглашений о выставлении счетов и должна принимать только BillingAgreementToken», — пояснил исследователь. «Но во время углубленного тестирования было обнаружено, что пользователи могут передать другой тип токена, и это приводит к краже денег со счета PayPal жертвы».
Деньги в «никуда», т. е. в карман мошенника
Это означает, что злоумышленник может внедрить вышеупомянутую конечную точку в iframe, заставив жертву, уже вошедшую в веб-браузер, перевести средства на контролируемую злоумышленником учетную запись PayPal одним нажатием кнопки.
Еще более тревожно то, что атака могла иметь катастрофические последствия для онлайн-порталов, которые интегрируются с PayPal для оплаты, позволяя злоумышленнику вычитать произвольные суммы со счетов пользователей платежной системы.
«Существуют онлайн-сервисы, которые позволяют пользователю пополнить баланс своей учетной записи с помощью PayPal», — сказал h4x0r_dz. «Я могу использовать тот же эксплойт и заставить пользователя добавить деньги на мою учетную запись, или могу использовать эту ошибку и позволить жертве создать/оплатить учетную запись Netflix для меня!»
Теги:
Комментарии (0)
Комментариев еще нет. Будьте первыми, напишите комментарий.
Написать комментарий
Поделитесь с нами своим мнением об этой статье, напишите ваш комментарий, отзыв, рекомендации или вопросы. Нам очень важно, что вы думаете касательно данного материала!
Читаете еще на linDEAL.
Десять действенных способов проверить неизвестный входящий или пропущенный вызов, не перезванивая: от перевода через Сбер до АОН-бота в Телеграме
Простые способы и пошаговые инструкции, как оставаться невидимыми в сети. Сервисы, ПО и приложения, которые помогут сохранить анонимность в интернете
В новой статье от LinDeal вы узнаете о крупнейших финансовых пирамидах в истории человечества, и какое влияние они оказали на мир
Кто такие хакеры и какими могут быть хакерские атаки? Кто самая желанная жертва крэкеров, как распознать кибератаки и как себя от них защитить?
Полная история появления и развития Спейс-Икс. Узнайте подробно в чем секрет успеха SpaceX. Интересные факты, книги и фильмы
Новости на linDEAL.
Какой сегодня праздник?
Статьи и Тренды на linDEAL.
Подборки лучших книг
Предлагаем ТОП книг об аферах и аферистах... Об изобретательных ловцах легкой наживы... Они лгут, изворачиваются, перевоплощаются… порой ошибаются и нередко воплощают в жизнь свои замыслы
Подборка книг о «черных» и «белых» хакерах расскажет о профессиональных киберпреступниках и специалистах по информационной безопасности и повысит вашу цифровую грамотность