Princípios importantes
- Um pesquisador de segurança mostrou como o mecanismo de pagamento com um clique do PayPal pode ser usado para roubar dinheiro com um único clique.
- O pesquisador afirma que a vulnerabilidade foi descoberta pela primeira vez em outubro de 2021 e permanece sem correção até hoje.
- Especialistas em segurança elogiam a novidade do ataque, mas permanecem céticos quanto ao seu uso no mundo real.
Virando a conveniência de pagamento do PayPal de cabeça para baixo, um clique é tudo o que um invasor precisa para drenar sua conta do PayPal.
Um pesquisador de segurança demonstrou o que ele afirma ser uma vulnerabilidade ainda não corrigida no PayPal que pode essencialmente permitir que invasores esvaziem a conta do PayPal de uma vítima depois de induzi-la a clicar em um link malicioso, no que é tecnicamente chamado de clickjacking ataque.
"A vulnerabilidade de clickjack do PayPal é única, pois normalmente o sequestro de um clique é o primeiro passo para lançar algum outro ataque", disse Brad Hong, vCISO, Horizon3ai, à Lifewire por e-mail. "Mas, neste caso, com um único clique, [o ataque ajuda] a autorizar um valor de pagamento personalizado definido por um invasor."
Cliques de sequestro
Stephanie Benoit-Kurtz, Professora Líder da Faculdade de Sistemas de Informação e Tecnologia da Universidade de Phoenix, acrescentou que os ataques de clickjacking induzem as vítimas a concluir uma transação que inicia uma série de atividades diferentes.
"Através do clique, o malware é instalado, os maus atores podem reunir logins, senhas e outros itens na máquina local e baixar ransomware", disse Benoit-Kurtz à Lifewire por e-mail."Além do depósito de ferramentas no dispositivo do indivíduo, essa vulnerabilidade também permite que maus atores roubem dinheiro de contas do PayPal."
Hong comparou os ataques de clickjacking à nova abordagem escolar daqueles impossíveis de fechar pop-ups em sites de streaming. Mas em vez de esconder o X para fechar, eles escondem tudo para emular sites normais e legítimos.
"O ataque engana o usuário ao pensar que está clicando em uma coisa quando na verdade é algo totalmente diferente", explicou Hong. "Ao colocar uma camada opaca no topo de uma área de clique em uma página da Web, os usuários são roteados para qualquer lugar que pertença a um invasor, sem nunca saber."
Depois de examinar os detalhes técnicos do ataque, Hong disse que funciona usando indevidamente um token legítimo do PayPal, que é uma chave de computador que autoriza métodos de pagamento automáticos via PayPal Express Checkout.
O ataque funciona colocando um link oculto dentro do que é chamado de iframe com sua opacidade definida como zero em cima de um anúncio de um produto legítimo em um site legítimo.
"A camada oculta direciona você para o que pode parecer a página do produto real, mas, em vez disso, verifica se você já está logado no PayPal e, em caso afirmativo, é capaz de sacar dinheiro diretamente de [seu] conta do PayPal, " compartilhou Hong.
O ataque engana o usuário fazendo-o pensar que está clicando em uma coisa quando na verdade é algo totalmente diferente.
Ele acrescentou que a retirada com um clique é única, e fraudes bancárias de clickjacking semelhantes geralmente envolvem vários cliques para induzir as vítimas a confirmar uma transferência direta do site do banco.
Muito esforço?
Chris Goettl, vice-presidente de gerenciamento de produtos da Ivanti, disse que a conveniência é algo que os invasores sempre procuram aproveitar.
“O pagamento com um clique usando um serviço como o PayPal é um recurso de conveniência que as pessoas se acostumam a usar e provavelmente não perceberão que algo está um pouco errado na experiência se o invasor apresentar bem o link malicioso”, disse Goettl à Lifewire por e-mail.
Para não cairmos nesse truque, Benoit-Kurtz sugeriu seguir o bom senso e não clicar em nenhum tipo de pop-up ou site que não acessamos especificamente, bem como em mensagens e e-mails, que não iniciamos.
“Curiosamente, essa vulnerabilidade foi relatada em outubro de 2021 e, até hoje, continua sendo uma vulnerabilidade conhecida”, apontou Benoit-Kurtz.
Enviamos um e-mail ao PayPal para pedir sua opinião sobre as descobertas do pesquisador, mas não recebemos uma resposta.
Goettl, no entanto, explicou que, embora a vulnerabilidade ainda não tenha sido corrigida, não é fácil de explorar. Para que o truque funcione, os invasores precisam invadir um site legítimo que aceite pagamentos por meio do PayPal e inserir o conteúdo malicioso para as pessoas clicarem.
“Isso provavelmente seria encontrado em um curto período de tempo, então seria um grande esforço para um baixo ganho antes que o ataque fosse descoberto”, opinou Goettl.