Уязвимость обманом заставляет пользователей завершать транзакции, контролируемые злоумышленниками.
Издание TheHackerNews сообщило, что исследователь под ником h4x0r_dz обнаружил неисправленную уязвимость в PayPal, которая обманом заставляет пользователей завершать транзакции злоумышленников одним кликом. Этот вид атаки называется кликджекинг и использует невидимую оверлейную страницу или HTML-элемент, отображаемый поверх видимой страницы. Кликнув на легитимную страницу, пользователи на самом деле нажимали на контролируемый злоумышленниками невидимый элемент.
Эксперт сообщил об ошибке в рамках программы вознаграждения за обнаружение багов в PayPal семь месяцев назад, продемонстрировав как злоумышленник может использовать кликджекинг для кражи денег жертвы.
Исследователь обнаружил уязвимость в конечной точке " http://www.paypal[.]com/agreements/approve" ;, которая предназначена для соглашений о списании средств без распоряжения владельца. Конечная точка должна принимать только billingAgreementToken, но эксперт доказал обратное.
"Я обнаружил, что можно передавать токены другого типа и с помощью этого красть деньги со PayPal-счета жертвы", – говорит в своем сообщении h4x0r_dz. "Злоумышленник может загрузить чувствительную к атаке конечную точку paypal.com в Iframe, и когда жертва кликнет на любое место на странице, ее деньги будут отправлены на счет злоумышленника”.
Уязвимость также может быть использована для пополнения баланса или оплаты подписки на сервисы, принимающие платежи PayPal.
"Есть множество онлайн-сервисов, которые позволяют пополнить баланс с помощью PayPal. Steam или Netflix, например! Я могу использовать эксплоит и заставить жертву пополнить мой баланс Steam или оплатить подписку на Netflix!" – добавил в своем сообщении исследователь.
И хотя эксперт опубликовал эксплоит проверки концепции уязвимости, PayPal до сих пор ее не исправила.
Собираем и анализируем опыт профессионалов ИБ