ซื้อกลับบ้านที่สำคัญ
- นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นว่ากลไกการจ่ายเงินแบบคลิกเดียวของ PayPal สามารถใช้ในทางที่ผิดเพื่อขโมยเงินได้ในคลิกเดียว
- นักวิจัยอ้างว่าช่องโหว่นี้ถูกค้นพบครั้งแรกในเดือนตุลาคม 2021 และยังไม่ได้รับการแก้ไขจนถึงวันนี้
- ผู้เชี่ยวชาญด้านความปลอดภัยยกย่องความแปลกใหม่ของการโจมตีแต่ยังคงสงสัยเกี่ยวกับการใช้งานจริง
เปลี่ยนความสะดวกในการชำระเงินของ PayPal แค่คลิกเดียวก็เพียงพอแล้วสำหรับการโจมตีบัญชี PayPal ของคุณ
นักวิจัยด้านความปลอดภัยได้สาธิตสิ่งที่เขาอ้างว่าเป็นช่องโหว่ที่ยังไม่ได้รับการแก้ไขใน PayPal ซึ่งอาจทำให้ผู้โจมตีสามารถล้างบัญชี PayPal ของเหยื่อได้หลังจากหลอกให้พวกเขาคลิกลิงก์ที่เป็นอันตราย ซึ่งในทางเทคนิคเรียกว่าการคลิกแจ็ค โจมตี
"ช่องโหว่ Clickjack ของ PayPal นั้นมีลักษณะเฉพาะที่โดยทั่วไปแล้วการไฮแจ็กการคลิกเป็นขั้นตอนที่หนึ่งในการเริ่มการโจมตีอื่นๆ" Brad Hong, vCISO, Horizon3ai กล่าวกับ Lifewire ทางอีเมล "แต่ในกรณีนี้ เพียงคลิกเดียว [การโจมตีช่วย] อนุญาตจำนวนเงินที่ผู้โจมตีกำหนดการชำระเงินเอง"
ไฮแจ็กคลิก
Stephanie Benoit-Kurtz หัวหน้าคณะวิทยาลัยระบบสารสนเทศและเทคโนโลยีแห่งมหาวิทยาลัยฟีนิกซ์ กล่าวเสริมว่าการโจมตีแบบคลิกแจ็คจะหลอกล่อเหยื่อให้ทำธุรกรรมที่ก่อให้เกิดกิจกรรมต่างๆ มากมายต่อไป
"มัลแวร์ได้รับการติดตั้งผ่านการคลิก ผู้ไม่หวังดีสามารถรวบรวมการเข้าสู่ระบบ รหัสผ่าน และรายการอื่นๆ ในเครื่องท้องถิ่นและดาวน์โหลดแรนซัมแวร์" Benoit-Kurtz บอกกับ Lifewire ทางอีเมล"นอกเหนือจากการฝากเครื่องมือบนอุปกรณ์ของแต่ละบุคคล ช่องโหว่นี้ยังช่วยให้ผู้ไม่หวังดีสามารถขโมยเงินจากบัญชี PayPal ได้"
Hong เปรียบเทียบการโจมตีแบบคลิกแจ็คกับแนวทางใหม่ของโรงเรียนที่ไม่สามารถปิดป๊อปอัปบนเว็บไซต์สตรีมมิงได้ แต่แทนที่จะซ่อน X เพื่อปิด พวกเขาซ่อนทุกสิ่งเพื่อเลียนแบบเว็บไซต์ปกติและถูกกฎหมาย
"การโจมตีหลอกให้ผู้ใช้คิดว่าพวกเขากำลังคลิกสิ่งหนึ่ง แต่ในความเป็นจริง เป็นสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิง" Hong อธิบาย "โดยการวางเลเยอร์ทึบแสงที่ด้านบนของพื้นที่การคลิกบนหน้าเว็บ ผู้ใช้พบว่าตัวเองถูกนำไปยังทุกที่ที่ผู้โจมตีเป็นเจ้าของโดยที่ไม่รู้เลย"
หลังจากอ่านรายละเอียดทางเทคนิคของการโจมตีแล้ว Hong กล่าวว่ามันทำงานโดยใช้โทเค็น PayPal ที่ถูกต้องตามกฎหมาย ซึ่งเป็นคีย์คอมพิวเตอร์ที่อนุญาตวิธีการชำระเงินอัตโนมัติผ่านการชำระเงินด่วนของ PayPal
การโจมตีทำงานโดยวางลิงก์ที่ซ่อนอยู่ภายในสิ่งที่เรียกว่า iframe โดยมีค่าความทึบเป็นศูนย์ที่ด้านบนของโฆษณาสำหรับผลิตภัณฑ์ที่ถูกต้องตามกฎหมายในไซต์ที่ถูกต้อง
"เลเยอร์ที่ซ่อนอยู่จะนำคุณไปสู่สิ่งที่อาจดูเหมือนหน้าผลิตภัณฑ์จริง แต่เป็นการตรวจสอบว่าคุณลงชื่อเข้าใช้ PayPal แล้วหรือไม่ และหากเป็นเช่นนั้น ก็สามารถถอนเงินจาก [ของคุณ] ได้โดยตรง] บัญชี PayPal, " แชร์ Hong.
การจู่โจมหลอกให้ผู้ใช้คิดว่าพวกเขากำลังคลิกสิ่งหนึ่ง แต่ในความเป็นจริงมันเป็นบางสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
เขาเสริมว่าการถอนเงินด้วยคลิกเดียวนั้นไม่เหมือนใคร และการฉ้อโกงธนาคาร clickjacking ที่คล้ายกันมักเกี่ยวข้องกับการคลิกหลายครั้งเพื่อหลอกให้เหยื่อยืนยันการโอนเงินโดยตรงจากเว็บไซต์ของธนาคาร
พยายามมากไปหรือเปล่า
Chris Goettl รองประธานฝ่ายการจัดการผลิตภัณฑ์ของ Ivanti กล่าวว่าความสะดวกคือสิ่งที่ผู้โจมตีมักมองหาเพื่อฉวยโอกาส
“เพียงคลิกเดียวจ่ายโดยใช้บริการอย่าง PayPal เป็นคุณสมบัติอำนวยความสะดวกที่ผู้คนคุ้นเคยและมักจะไม่สังเกตเห็นบางสิ่งผิดปกติเล็กน้อยในประสบการณ์หากผู้โจมตีนำเสนอลิงก์ที่เป็นอันตรายอย่างดี” Goettl กล่าวกับ Lifewire ทางอีเมล์
เพื่อช่วยเราไม่ให้หลงกลอุบายนี้ Benoit-Kurtz แนะนำให้ทำตามสามัญสำนึกและไม่คลิกลิงก์ในป๊อปอัปหรือเว็บไซต์ประเภทใดก็ตามที่เราไม่ได้เข้าไปโดยเฉพาะ เช่นเดียวกับในข้อความและอีเมล ที่เราไม่ได้เป็นผู้ริเริ่ม
“น่าสนใจ มีรายงานช่องโหว่นี้เมื่อเดือนตุลาคม 2021 และ ณ วันนี้ ยังคงเป็นช่องโหว่ที่ทราบอยู่แล้ว” Benoit-Kurtz ชี้ให้เห็น
เราส่งอีเมลถึง PayPal เพื่อขอความคิดเห็นเกี่ยวกับการค้นพบของผู้วิจัยแต่ไม่ได้รับการตอบกลับ
Goettl อธิบายว่าแม้ว่าช่องโหว่อาจยังไม่ได้รับการแก้ไข แต่ก็ไม่ง่ายที่จะใช้ประโยชน์ เพื่อให้ได้ผล ผู้โจมตีต้องบุกเข้าไปในเว็บไซต์ที่ถูกต้องตามกฎหมายที่ยอมรับการชำระเงินผ่าน PayPal แล้วแทรกเนื้อหาที่เป็นอันตรายเพื่อให้ผู้คนคลิก
“สิ่งนี้น่าจะพบได้ในช่วงเวลาสั้น ๆ ดังนั้นจึงเป็นความพยายามอย่างมากเพื่อให้ได้กำไรต่ำก่อนที่จะค้นพบการโจมตี” Goettl ให้ความเห็น