الوجبات الجاهزة الرئيسية
- أظهر باحث أمني كيف يمكن إساءة استخدام آلية الدفع بنقرة واحدة في PayPal لسرقة الأموال بنقرة واحدة.
- يدعي الباحث أن الثغرة الأمنية تم اكتشافها لأول مرة في أكتوبر 2021 ولا تزال غير مصححة حتى اليوم.
- خبراء الأمن يشيدون بحداثة الهجوم لكنهم ما زالوا متشككين بشأن استخدامه في العالم الحقيقي.
قلب راحة الدفع في PayPal رأسًا على عقب ، نقرة واحدة هي كل ما يحتاجه المهاجم لاستنزاف حساب PayPal الخاص بك.
أظهر باحث أمني ما يدعي أنه ثغرة أمنية لم يتم إصلاحها بعد في PayPal والتي يمكن أن تسمح للمهاجمين بشكل أساسي بإفراغ حساب PayPal للضحية بعد خداعهم للنقر فوق ارتباط ضار ، في ما يشار إليه تقنيًا باسم clickjacking هجوم
"إن ثغرة PayPal clickjack فريدة من نوعها من حيث أن اختطاف النقرة عادةً هو الخطوة الأولى إلى وسيلة لشن هجوم آخر ،" صرح براد هونغ ، vCISO ، Horizon3ai ، لـ Lifewire عبر البريد الإلكتروني. "ولكن في هذه الحالة ، وبنقرة واحدة ، [يساعد الهجوم] على السماح بمبلغ مخصص للدفع يحدده المهاجم."
نقرات الاختراق
أضافت ستيفاني بينوا كورتز ، الكلية الرائدة في كلية نظم المعلومات والتكنولوجيا في جامعة فينيكس ، أن هجمات الاختراق تخدع الضحايا لإكمال معاملة تؤدي إلى بدء مجموعة من الأنشطة المختلفة.
"من خلال النقر ، يتم تثبيت البرامج الضارة ، ويمكن للممثلين السيئين جمع معلومات تسجيل الدخول وكلمات المرور وعناصر أخرى على الجهاز المحلي وتنزيل برامج الفدية" ، كما قال بينوا كورتز لـ Lifewire عبر البريد الإلكتروني."بالإضافة إلى إيداع الأدوات على جهاز الفرد ، تسمح هذه الثغرة الأمنية أيضًا للممثلين السيئين بسرقة الأموال من حسابات PayPal."
قارن هونغ هجمات الاختراق بنهج المدرسة الجديد الذي يستحيل إغلاق النوافذ المنبثقة على مواقع البث المباشر. لكن بدلاً من إخفاء X لإغلاقه ، فإنهم يخفون كل شيء لمحاكاة مواقع الويب العادية والشرعية.
"يخدع الهجوم المستخدم ليعتقد أنه ينقر على شيء واحد بينما في الواقع يكون شيئًا مختلفًا تمامًا" ، أوضح هونغ. "من خلال وضع طبقة معتمة أعلى منطقة النقر على صفحة ويب ، يجد المستخدمون أنفسهم متوجهين إلى أي مكان يملكه مهاجم ، دون أن يعرفوا أبدًا."
بعد الاطلاع على التفاصيل الفنية للهجوم ، قال Hong إنه يعمل عن طريق إساءة استخدام رمز PayPal المميز ، وهو مفتاح كمبيوتر يخول طرق الدفع التلقائية عبر PayPal Express Checkout.
يعمل الهجوم عن طريق وضع رابط مخفي داخل ما يسمى iframe مع تعيين شفافية صفرية أعلى إعلان لمنتج شرعي على موقع شرعي.
"توجهك الطبقة المخفية إلى ما قد يبدو وكأنه صفحة المنتج الحقيقية ، ولكن بدلاً من ذلك ، يتم التحقق لمعرفة ما إذا كنت قد قمت بالفعل بتسجيل الدخول إلى PayPal ، وإذا كان الأمر كذلك ، فيمكنها سحب الأموال مباشرة من [your] حساب PayPal ، "شارك هونغ.
يخدع الهجوم المستخدم ليعتقد أنه ينقر على شيء واحد في حين أنه في الواقع شيء مختلف تمامًا.
أضاف أن السحب بنقرة واحدة فريد من نوعه ، وعادةً ما تتضمن عمليات الاحتيال البنكية المماثلة لاختراق النقر نقرات متعددة لخداع الضحايا لتأكيد التحويل المباشر من موقع البنك الخاص بهم.
الكثير من الجهد؟
قال كريس جويتل ، نائب رئيس إدارة المنتجات في Ivanti ، إن الراحة شيء يتطلع المهاجمون دائمًا إلى الاستفادة منه.
"الدفع بنقرة واحدة باستخدام خدمة مثل PayPal هي ميزة مريحة اعتاد الناس على استخدامها ومن المحتمل ألا يلاحظوا أن هناك شيئًا ما بعيدًا في التجربة إذا قدم المهاجم الرابط الضار بشكل جيد ،" قال جويتل لـ Lifewire عبر البريد الإلكتروني.
لإنقاذنا من الوقوع في هذه الخدعة ، اقترح بينوا كيرتس اتباع الفطرة السليمة وعدم النقر فوق الروابط في أي نوع من النوافذ المنبثقة أو مواقع الويب التي لم نذهب إليها على وجه التحديد ، وكذلك في الرسائل ورسائل البريد الإلكتروني ، أننا لم نبدأ.
أشار بينوا كورتز إلى أنه "من المثير للاهتمام ، أنه تم الإبلاغ عن هذه الثغرة الأمنية في أكتوبر من عام 2021 ، وحتى اليوم ، لا تزال تمثل ثغرة أمنية معروفة".
أرسلنا بريدًا إلكترونيًا إلى PayPal للاستفسار عن آرائهم حول نتائج الباحث ولكن لم نتلق ردًا.
ومع ذلك ، أوضح جويتل أنه على الرغم من عدم إصلاح الثغرة الأمنية ، إلا أنه ليس من السهل استغلالها. لكي تنجح الحيلة ، يحتاج المهاجمون إلى اقتحام موقع ويب شرعي يقبل المدفوعات من خلال PayPal ثم إدخال المحتوى الضار حتى ينقر عليه الأشخاص.
"من المحتمل أن يتم العثور على هذا في فترة زمنية قصيرة ، لذلك سيكون جهدًا كبيرًا لتحقيق مكاسب منخفضة قبل أن يتم اكتشاف الهجوم على الأرجح" ، كما قال جويتل.