Key Takeaways
- Seorang peneliti keamanan telah menunjukkan bagaimana mekanisme pembayaran satu klik PayPal dapat disalahgunakan untuk mencuri uang, dengan satu klik.
- Peneliti mengklaim kerentanan pertama kali ditemukan pada Oktober 2021 dan tetap belum ditambal hingga hari ini.
- Pakar keamanan memuji kebaruan serangan itu tetapi tetap skeptis tentang penggunaannya di dunia nyata.
Mengubah kenyamanan pembayaran PayPal, hanya satu klik yang dibutuhkan penyerang untuk menguras akun PayPal Anda.
Seorang peneliti keamanan telah menunjukkan apa yang dia klaim sebagai kerentanan yang belum ditambal di PayPal yang pada dasarnya dapat memungkinkan penyerang mengosongkan akun PayPal korban setelah menipu mereka agar mengklik tautan berbahaya, yang secara teknis disebut sebagai clickjacking serang.
"Kerentanan clickjack PayPal unik karena biasanya pembajakan klik adalah langkah pertama untuk meluncurkan beberapa serangan lain, " Brad Hong, vCISO, Horizon3ai, mengatakan kepada Lifewire melalui email. "Tetapi dalam kasus ini, dengan satu klik, [serangan membantu] mengotorisasi jumlah pembayaran khusus yang ditetapkan oleh penyerang."
Klik Pembajakan
Stephanie Benoit-Kurtz, Fakultas Utama untuk Sekolah Tinggi Sistem dan Teknologi Informasi di Universitas Phoenix, menambahkan bahwa serangan clickjacking menipu korban untuk menyelesaikan transaksi yang selanjutnya memulai sejumlah aktivitas yang berbeda.
"Melalui klik, malware diinstal, pelaku kejahatan dapat mengumpulkan login, kata sandi, dan item lainnya di mesin lokal dan mengunduh ransomware," kata Benoit-Kurtz kepada Lifewire melalui email."Di luar penyimpanan alat di perangkat individu, kerentanan ini juga memungkinkan pelaku jahat mencuri uang dari akun PayPal."
Hong membandingkan serangan clickjacking dengan pendekatan sekolah baru yang mustahil untuk menutup popup di situs web streaming. Tapi alih-alih menyembunyikan X untuk menutup, mereka menyembunyikan semuanya untuk meniru situs web yang normal dan sah.
"Serangan itu membodohi pengguna dengan berpikir bahwa mereka mengklik satu hal padahal sebenarnya itu adalah sesuatu yang sama sekali berbeda," jelas Hong. "Dengan menempatkan lapisan buram di atas area klik pada halaman web, pengguna menemukan diri mereka diarahkan ke mana saja yang dimiliki oleh penyerang, tanpa pernah mengetahuinya."
Setelah meneliti detail teknis serangan itu, Hong mengatakan bahwa serangan itu berhasil dengan menyalahgunakan token PayPal yang sah, yang merupakan kunci komputer yang mengizinkan metode pembayaran otomatis melalui PayPal Express Checkout.
Serangan ini bekerja dengan menempatkan tautan tersembunyi di dalam apa yang disebut iframe dengan set opasitas nol di atas iklan untuk produk yang sah di situs yang sah.
"Lapisan tersembunyi mengarahkan Anda ke apa yang mungkin tampak seperti halaman produk sebenarnya, tetapi sebaliknya, ia memeriksa untuk melihat apakah Anda sudah masuk ke PayPal, dan jika demikian, ia dapat langsung menarik uang dari [Anda] akun PayPal, " berbagi Hong.
Serangan itu membodohi pengguna dengan berpikir bahwa mereka mengklik satu hal padahal sebenarnya itu adalah sesuatu yang sama sekali berbeda.
Dia menambahkan penarikan satu klik itu unik, dan penipuan bank clickjacking serupa biasanya melibatkan beberapa klik untuk mengelabui korban agar mengonfirmasi transfer langsung dari situs web bank mereka.
Terlalu Banyak Usaha?
Chris Goettl, VP Product Management di Ivanti, mengatakan kenyamanan adalah sesuatu yang selalu dimanfaatkan oleh penyerang.
“Pembayaran sekali klik menggunakan layanan seperti PayPal adalah fitur kenyamanan yang biasa digunakan orang dan kemungkinan besar tidak akan melihat ada yang kurang dalam pengalaman jika penyerang menyajikan tautan jahat dengan baik,” kata Goettl kepada Lifewire melalui email.
Agar kami tidak tertipu trik ini, Benoit-Kurtz menyarankan untuk mengikuti akal sehat dan tidak mengklik tautan di semua jenis sembulan atau situs web yang tidak kami kunjungi secara khusus, serta dalam pesan, dan email, yang tidak kita mulai.
“Menariknya, kerentanan ini dilaporkan kembali pada Oktober 2021 dan, hingga hari ini, tetap menjadi kerentanan yang diketahui,” kata Benoit-Kurtz.
Kami mengirim email ke PayPal untuk meminta pandangan mereka tentang temuan peneliti tetapi belum menerima tanggapan.
Goettl, bagaimanapun, menjelaskan bahwa meskipun kerentanan mungkin masih belum diperbaiki, tidak mudah untuk dieksploitasi. Agar trik ini berhasil, penyerang harus membobol situs web resmi yang menerima pembayaran melalui PayPal dan kemudian memasukkan konten berbahaya untuk diklik orang.
“Ini kemungkinan akan ditemukan dalam waktu singkat, jadi itu akan menjadi upaya yang tinggi untuk keuntungan yang rendah sebelum serangan itu kemungkinan akan ditemukan,” berpendapat Goettl.
