Njia Muhimu za Kuchukua
- Mtafiti wa usalama ameonyesha jinsi njia ya kulipa ya PayPal kwa kubofya mara moja inaweza kutumiwa vibaya kuiba pesa kwa mbofyo mmoja.
- Mtafiti anadai athari hiyo iligunduliwa kwa mara ya kwanza mnamo Oktoba 2021 na bado haijarekebishwa hadi leo.
- Wataalamu wa usalama wanasifu uvamizi wa shambulio hilo lakini bado wana shaka kuhusu matumizi yake katika ulimwengu halisi.
Ukiwasha urahisishaji wa malipo wa PayPal kichwani, mbofyo mmoja tu ndio mshambulizi anahitaji ili kumaliza akaunti yako ya PayPal.
Mtafiti wa masuala ya usalama amethibitisha kile anachodai kuwa ni hatari ambayo bado haijarekebishwa katika PayPal ambayo inaweza kuruhusu wavamizi kufuta akaunti ya PayPal ya mwathiriwa baada ya kuwalaghai kubofya kiungo hasidi, katika kile kinachojulikana kitaalamu kama wizi. shambulio.
"Athari ya PayPal clickjack ni ya kipekee kwa kuwa kwa kawaida utekaji nyara wa mbofyo ni hatua ya kwanza ya kuzindua shambulio lingine," Brad Hong, vCISO, Horizon3ai, aliiambia Lifewire kupitia barua pepe. "Lakini katika tukio hili, kwa mbofyo mmoja, [shambulio husaidia] kuidhinisha kiasi maalum cha malipo kilichowekwa na mvamizi."
Mibofyo ya Kuteka nyara
Stephanie Benoit-Kurtz, Kitivo Kiongozi cha Chuo cha Mifumo ya Habari na Teknolojia katika Chuo Kikuu cha Phoenix, aliongeza kuwa mashambulizi ya kubofya huwahadaa waathiriwa kukamilisha shughuli ambayo huanzisha zaidi shughuli nyingi tofauti.
"Kupitia kubofya, programu hasidi inasakinishwa, watendaji wabaya wanaweza kukusanya kumbukumbu, nenosiri na vipengee vingine kwenye mashine ya ndani na kupakua programu ya kukomboa," Benoit-Kurtz aliiambia Lifewire kupitia barua pepe."Zaidi ya kuweka zana kwenye kifaa cha mtu binafsi, athari hii pia inaruhusu watendaji wabaya kuiba pesa kutoka kwa akaunti ya PayPal."
Hong alilinganisha mashambulizi ya kubofya na mbinu mpya ya shule ya yale yasiyowezekana kufunga madirisha ibukizi kwenye tovuti za kutiririsha. Lakini badala ya kuficha X ili kufunga, wanaficha jambo zima ili kuiga tovuti za kawaida, halali.
"Shambulio humpumbaza mtumiaji kufikiria kuwa anabofya kitu kimoja wakati ukweli ni kitu tofauti kabisa," alifafanua Hong. "Kwa kuweka safu isiyo wazi juu ya eneo la kubofya kwenye ukurasa wa wavuti, watumiaji hujikuta wakielekezwa mahali popote panapomilikiwa na mshambuliaji, bila kujua."
Baada ya kuchungulia maelezo ya kiufundi ya shambulio hilo, Hong alisema inafanya kazi kwa kutumia vibaya tokeni halali ya PayPal, ambayo ni ufunguo wa kompyuta unaoidhinisha njia za malipo za kiotomatiki kupitia PayPal Express Checkout.
Shambulio hufanya kazi kwa kuweka kiungo kilichofichwa ndani ya kile kinachoitwa iframe na seti yake ya kutoweka ya sifuri juu ya tangazo la bidhaa halali kwenye tovuti halali.
"Safu iliyofichwa hukuelekeza kwenye kile kinachoweza kuonekana kama ukurasa halisi wa bidhaa, lakini badala yake, inakagua ili kuona ikiwa tayari umeingia kwenye PayPal, na ikiwa ni hivyo, inaweza kutoa pesa moja kwa moja kutoka kwa [yako.] Akaunti ya PayPal, " ilishirikiwa Hong.
Shambulio humpumbaza mtumiaji kufikiria kuwa anabofya kitu kimoja wakati kwa hakika ni kitu tofauti kabisa.
Ameongeza kuwa uondoaji kwa kubofya mara moja ni wa kipekee, na ulaghai sawa na huo wa benki wa wizi kwa kawaida huhusisha mibofyo mingi ili kuwahadaa waathiriwa kuthibitisha uhamishaji wa moja kwa moja kutoka kwa tovuti ya benki zao.
Juhudi Nyingi Sana?
Chris Goettl, Makamu wa Rais wa Usimamizi wa Bidhaa huko Ivanti, alisema urahisishaji ni jambo ambalo washambuliaji hutafuta kunufaika nalo.
“Lipa kwa kubofya mara moja kwa kutumia huduma kama vile PayPal ni kipengele cha urahisi ambacho watu huzoea kutumia na kuna uwezekano hawatambui kuwa kuna kitu kibaya katika utumiaji ikiwa mshambuliaji atawasilisha kiungo hicho hasidi vizuri,” Goettl aliambia Lifewire. kwa barua pepe.
Ili kutuepusha na hila hii, Benoit-Kurtz alipendekeza kufuata akili ya kawaida na kutobofya viungo katika aina yoyote ya madirisha ibukizi au tovuti ambazo hatukutembelea, pamoja na ujumbe na barua pepe, ambayo hatukuianzisha.
“Cha kufurahisha, athari hii iliripotiwa mnamo Oktoba 2021 na, kufikia leo, bado ni hatari inayojulikana,” akadokeza Benoit-Kurtz.
Tulituma barua pepe kwa PayPal ili kuomba maoni yao kuhusu matokeo ya mtafiti lakini hatujapokea jibu.
Goetl, hata hivyo, alieleza kuwa ingawa udhaifu bado unaweza kutatuliwa, si rahisi kutumia. Ili hila ifanye kazi, wavamizi wanahitaji kuingia katika tovuti halali inayokubali malipo kupitia PayPal kisha waweke maudhui hasidi ili watu wabofye.
“Hii inaweza kupatikana katika muda mfupi, kwa hivyo itakuwa juhudi kubwa kwa ajili ya kupata faida ndogo kabla ya mashambulizi kugunduliwa,” alibainisha Goettl.
