Исследователь безопасности утверждает, что обнаружил непропатченную уязвимость в сервисе денежных переводов PayPal, которая может позволить злоумышленникам обманом заставить жертву одним щелчком мыши завершить транзакции, инициированные злоумышленниками.
Кликджекинг, также называемый изменением пользовательского интерфейса, относится к технике, при которой пользователя обманом заставляют нажать на, казалось бы, безобидные элементы веб-страницы, такие как кнопки, с целью загрузки вредоносного ПО, перенаправления на вредоносные веб-сайты или раскрытия конфиденциальной информации.
Обычно это достигается путем отображения невидимой страницы или элемента HTML поверх видимой страницы, что приводит к сценарию, когда пользователи обманываются, думая, что они нажимают на легальную ссылку, в то время как на самом деле они кликают на мошеннический элемент, наложенный поверх нее.
«Таким образом, злоумышленник «перехватывает» клики, предназначенные для легальной страницы, и направляет их на другую страницу, скорее всего, принадлежащую другому приложению или домену» - рассказал исследователь безопасности h4x0r_dz в сообщении, документирующем результаты исследования.
h4x0r_dz, обнаруживший проблему на конечной точке «www.paypal[.]com/agreements/approve», заявил, что о проблеме было сообщено компании в октябре 2021 года.
«Эта конечная точка предназначена для биллинговых соглашений, и она должна принимать только billingAgreementToken» - поясняет исследователь. «Но во время глубокого тестирования я обнаружил, что можно передать токен другого типа, и это приводит к краже денег со счета PayPal жертвы».
Это означает, что атакующий может встроить вышеупомянутую конечную точку в iframe, заставив жертву, уже вошедшую в систему, перевести средства на контролируемый злоумышленником счет PayPal простым нажатием кнопки.
Что еще более тревожно, атака могла иметь катастрофические последствия для онлайн-порталов, которые интегрированы с PayPal для оформления заказов, позволяя злоумышленнику списывать произвольные суммы со счетов PayPal пользователей.
«Существуют онлайн-сервисы, которые позволяют пополнять баланс с помощью PayPal» - сообщает h4x0r_dz. «Я могу использовать тот же эксплойт и заставить пользователя добавить деньги на мой счет, или я могу использовать эту ошибку и позволить жертве оплатить счет от Netflix за меня!».
Источник: https://thehackernews.com