Свежая уязвимость PayPal позволяет выводить средства со счета клиентов.

24 мая 2022 г. 12:38
 9360

Обнаружена непропатченная уязвимость в сервисе денежных переводов PayPal,

Исследователь безопасности утверждает, что обнаружил непропатченную уязвимость в сервисе денежных переводов PayPal, которая может позволить злоумышленникам обманом заставить жертву одним щелчком мыши завершить транзакции, инициированные злоумышленниками.

Кликджекинг, также называемый изменением пользовательского интерфейса, относится к технике, при которой пользователя обманом заставляют нажать на, казалось бы, безобидные элементы веб-страницы, такие как кнопки, с целью загрузки вредоносного ПО, перенаправления на вредоносные веб-сайты или раскрытия конфиденциальной информации.

Обычно это достигается путем отображения невидимой страницы или элемента HTML поверх видимой страницы, что приводит к сценарию, когда пользователи обманываются, думая, что они нажимают на легальную ссылку, в то время как на самом деле они кликают на мошеннический элемент, наложенный поверх нее.

«Таким образом, злоумышленник «перехватывает» клики, предназначенные для легальной страницы, и направляет их на другую страницу, скорее всего, принадлежащую другому приложению или домену» - рассказал исследователь безопасности h4x0r_dz в сообщении, документирующем результаты исследования.

 

 

h4x0r_dz, обнаруживший проблему на конечной точке «www.paypal[.]com/agreements/approve», заявил, что о проблеме было сообщено компании в октябре 2021 года.

«Эта конечная точка предназначена для биллинговых соглашений, и она должна принимать только billingAgreementToken» - поясняет исследователь. «Но во время глубокого тестирования я обнаружил, что можно передать токен другого типа, и это приводит к краже денег со счета PayPal жертвы».

Это означает, что атакующий может встроить вышеупомянутую конечную точку в iframe, заставив жертву, уже вошедшую в систему, перевести средства на контролируемый злоумышленником счет PayPal простым нажатием кнопки.

Что еще более тревожно, атака могла иметь катастрофические последствия для онлайн-порталов, которые интегрированы с PayPal для оформления заказов, позволяя злоумышленнику списывать произвольные суммы со счетов PayPal пользователей.

«Существуют онлайн-сервисы, которые позволяют пополнять баланс с помощью PayPal» - сообщает h4x0r_dz. «Я могу использовать тот же эксплойт и заставить пользователя добавить деньги на мой счет, или я могу использовать эту ошибку и позволить жертве оплатить счет от Netflix за меня!».

Источник: https://thehackernews.com

Системы Информационной Безопасности