قد تسمح ثغرة أمنية جديدة غير مصححة للمهاجمين بسرقة الأموال من مستخدمي PayPal. وفقًا لباحث أمني ، قد يسمح وجود ضعف غير مسبوق في خدمة تحويل الأموال في PayPal للمهاجمين بخداع الضحايا في تنفيذ معاملات يوجهها المهاجمون عن غير قصد بنقرة واحدة.
Clickjacking ، المعروف أيضًا باسم UI redressing ، هو طريقة يتم فيها خداع المستخدم المطمئن للنقر فوق مكونات صفحة ويب تبدو غير ضارة مثل الأزرار لتنزيل برامج ضارة أو إعادة التوجيه إلى مواقع ويب خطيرة أو إفشاء معلومات حساسة.
كما. يتم تحقيق ذلك غالبًا عن طريق تراكب صفحة غير مرئية أو عنصر HTML أعلى الصفحة المرئية ، مما يجعل الزائرين يعتقدون أنهم ينقرون على الصفحة الأصلية بينما ، في الواقع ، ينقرون فوق العنصر المحتال المتراكب في الأعلى.
قال الباحث الأمني h4x0r dz في منشور مدونة يصف النتائج.
تم إبلاغ الشركة بالمشكلة في أكتوبر 2021 بواسطة h4x0r dz. الذي رصدها على نقطة النهاية “www.paypal [.] com / Agreement / approve”.
صرح الباحث بأن “نقطة النهاية هذه مخصصة لاتفاقيات الفوترة ويجب ألا تستخدم سوى billingAgreementToken”. “ومع ذلك. من خلال الاختبارات المكثفة التي أجريتها. كما اكتشفت أننا قد نجتاز نوعًا رمزيًا آخر ، مما يؤدي إلى سرقة الأموال من حساب PayPal للضحية.”
يشير هذا إلى أنه يجوز للمهاجم تضمين عنوان URL المذكور أعلاه في إطار iframe ، مما يسمح للضحية التي سجلت الدخول بالفعل إلى متصفح الويب بتحويل الأموال إلى حساب PayPal يتحكم فيه المهاجم بنقرة زر واحدة.
في النهاية ما يثير القلق. ربما كان للاعتداء آثار مدمرة على بوابات الويب التي تستخدم PayPal للخروج. مما يسمح للممثل السيئ باستنزاف مبالغ عشوائية من حسابات PayPal الخاصة بالضحايا.
أوضح h4x0r dz:
“هناك أنشطة تجارية عبر الإنترنت تتيح لك إضافة رصيد إلى حسابك باستخدام PayPal”. “يمكنني استخدام نفس الهجوم لإجبار المستخدم على إضافة أموال إلى حسابي. أو يمكنني استغلال هذه المشكلة والسماح للضحية بإنشاء / الدفع لحساب Netflix الخاص بي!”
(تحديث: تم تحديث القصة لتعكس أن الخلل لم يتم تصحيحه وأن الباحث الأمني لم يتلق مكافأة خطأ للإبلاغ عن المشكلة). تم الإقرار بعدم الدقة. لقد اتصلنا أيضًا بـ PayPal للحصول على مزيد من المعلومات.)
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. قد تسمح ثغرة أمنية جديدة غير مصححة للمهاجمين بسرقة الأموال من مستخدمي PayPal.