Conclusiones clave
- Un investigador de seguridad ha demostrado cómo se puede abusar del mecanismo de pago con un solo clic de PayPal para robar dinero con un solo clic.
- El investigador afirma que la vulnerabilidad se descubrió por primera vez en octubre de 2021 y permanece sin parches hasta hoy.
- Los expertos en seguridad elogian la novedad del ataque, pero se muestran escépticos sobre su uso en el mundo real.
Dando la vuelta a la conveniencia de pago de PayPal, un clic es todo lo que un atacante necesita para vaciar su cuenta de PayPal.
Un investigador de seguridad ha demostrado lo que, según él, es una vulnerabilidad aún sin parchear en PayPal que esencialmente podría permitir a los atacantes vaciar la cuenta de PayPal de una víctima después de engañarla para que haga clic en un enlace malicioso, en lo que técnicamente se conoce como clickjacking ataque.
"La vulnerabilidad de secuestro de clics de PayPal es única en el sentido de que, por lo general, secuestrar un clic es el primer paso para lanzar algún otro ataque", dijo Brad Hong, vCISO, Horizon3ai, a Lifewire por correo electrónico. "Pero en este caso, con un solo clic, [el ataque ayuda] a autorizar un monto de pago personalizado establecido por un atacante".
Clics de secuestro
Stephanie Benoit-Kurtz, profesora principal de la Facultad de Sistemas y Tecnología de la Información de la Universidad de Phoenix, agregó que los ataques de clickjacking engañan a las víctimas para que completen una transacción que inicia una gran cantidad de actividades diferentes.
"A través del clic, se instala malware, los malhechores pueden recopilar nombres de usuario, contraseñas y otros elementos en la máquina local y descargar ransomware", dijo Benoit-Kurtz a Lifewire por correo electrónico."Más allá del depósito de herramientas en el dispositivo del individuo, esta vulnerabilidad también permite a los malhechores robar dinero de las cuentas de PayPal".
Hong comparó los ataques de secuestro de clics con el enfoque de la nueva escuela de esas ventanas emergentes imposibles de cerrar en los sitios web de transmisión. Pero en lugar de ocultar la X para cerrar, ocultan todo para emular sitios web normales y legítimos.
"El ataque engaña al usuario haciéndole creer que está haciendo clic en una cosa cuando en realidad es algo completamente diferente", explicó Hong. "Al colocar una capa opaca encima de un área de clic en una página web, los usuarios se encuentran enrutados a cualquier lugar que sea propiedad de un atacante, sin siquiera saberlo".
Después de leer detenidamente los detalles técnicos del ataque, Hong dijo que funciona mediante el uso indebido de un token legítimo de PayPal, que es una clave de computadora que autoriza los métodos de pago automático a través de PayPal Express Checkout.
El ataque funciona colocando un enlace oculto dentro de lo que se llama un iframe con su opacidad establecida en cero encima de un anuncio de un producto legítimo en un sitio legítimo.
"La capa oculta lo dirige a lo que podría parecer la página del producto real, pero en su lugar, verifica si ya inició sesión en PayPal y, de ser así, puede retirar dinero directamente de [su] cuenta de PayPal, " compartió Hong.
El ataque engaña al usuario haciéndole creer que está haciendo clic en una cosa cuando en realidad es algo completamente diferente.
Agregó que el retiro con un solo clic es único, y los fraudes bancarios de secuestro de clics similares generalmente involucran múltiples clics para engañar a las víctimas para que confirmen una transferencia directa desde el sitio web de su banco.
¿Demasiado esfuerzo?
Chris Goettl, vicepresidente de gestión de productos de Ivanti, dijo que la conveniencia es algo que los atacantes siempre buscan aprovechar.
“El pago con un clic usando un servicio como PayPal es una característica conveniente a la que las personas se acostumbran y es probable que no noten algo extraño en la experiencia si el atacante presenta bien el enlace malicioso”, dijo Goettl a Lifewire. por correo electrónico.
Para evitar que caigamos en este truco, Benoit-Kurtz sugirió seguir el sentido común y no hacer clic en enlaces en ningún tipo de ventanas emergentes o sitios web a los que no fuimos específicamente, así como en mensajes y correos electrónicos. que no iniciamos.
“Curiosamente, esta vulnerabilidad se informó en octubre de 2021 y, a día de hoy, sigue siendo una vulnerabilidad conocida”, señaló Benoit-Kurtz.
Enviamos un correo electrónico a PayPal para pedir su opinión sobre los hallazgos del investigador, pero no recibimos una respuesta.
Goettl, sin embargo, explicó que aunque es posible que la vulnerabilidad aún no se haya solucionado, no es fácil de explotar. Para que el truco funcione, los atacantes deben ingresar a un sitio web legítimo que acepte pagos a través de PayPal y luego insertar el contenido malicioso para que las personas puedan hacer clic.
“Es probable que esto se detecte en un corto período de tiempo, por lo que sería un gran esfuerzo para una pequeña ganancia antes de que se descubra el ataque”, opinó Goettl.