كشف باحث أمني عن تفاصيل هجوم اختراق النقر الذي تم إثباته ضد PayPal والذي يمكن استغلاله لسرقة أرصدة حسابات الضحايا بنقرة واحدة.
Clickjacking، المعروف أيضًا باسم UI redressing، يشير إلى تقنية يتم فيها خداع المستخدم غير المتعمد للنقر على عناصر صفحة ويب تبدو غير ضارة، بهدف تنزيل برامج ضارة أو إعادة التوجيه إلى مواقع ويب ضارة أو الكشف عن معلومات حساسة.
يتم تحقيق ذلك عادةً عن طريق عرض صفحة غير مرئية أو عنصر HTML أعلى الصفحة المرئية، مما يؤدي إلى سيناريو يتم فيه خداع المستخدمين للاعتقاد بأنهم ينقرون على الصفحة الشرعية عندما ينقرون في الواقع على العنصر المارق المغطى فوقها.
كتب الباحث الأمني h4x0r_dz في منشور يوثق النتائج: "وبالتالي ، فإن المهاجم يقوم" بتحويل hijacking"النقرات المخصصة للصفحة [الشرعية] وتوجيهها إلى صفحة أخرى، على الأرجح مملوكة لتطبيق أو مجال آخر أو كليهما".
تم منح h4x0r_dz، الذي اكتشف المشكلة على نقطة النهاية "www.paypal [.] com / plans / approve"، مكافأة قدرها 200000 دولار لاكتشاف المشكلة والإبلاغ عنها في أكتوبر 2021.
أوضح الباحث: "تم تصميم نقطة النهاية لاتفاقيات الفوترة ويجب أن تقبل فقط billingAgreementToken". "ولكن أثناء الاختبار العميق الذي أجريته، وجدت أنه يمكننا تمرير نوع رمز آخر، وهذا يؤدي إلى سرقة الأموال من حساب PayPal للضحية."
هذا يعني أنه يمكن للخصم تضمين نقطة النهاية المذكورة أعلاه داخل إطار iframe، مما يتسبب في قيام الضحية بتسجيل الدخول بالفعل إلى متصفح الويب لتحويل الأموال إلى حساب PayPal يتحكم فيه المهاجم بمجرد نقرة على زر.
والأكثر إثارة للقلق ، كان من الممكن أن يكون للهجوم عواقب وخيمة على بوابات الإنترنت التي تتكامل مع PayPal لإجراء عمليات السحب، مما يمكّن الفاعل الضار من خصم مبالغ عشوائية من حسابات PayPal للمستخدمين.
قال h4x0r_dz: "هناك خدمات عبر الإنترنت تتيح لك إضافة رصيد باستخدام PayPal إلى حسابك". "يمكنني استخدام نفس الاستغلال وإجبار المستخدم على إضافة أموال إلى حسابي ، أو يمكنني استغلال هذا الخطأ والسماح للضحية بإنشاء / دفع حساب Netflix نيابة عني!".