मुख्य तथ्य
- एक सुरक्षा शोधकर्ता ने दिखाया है कि कैसे पेपाल के एक-क्लिक भुगतान तंत्र का एक क्लिक से पैसे चुराने के लिए दुरुपयोग किया जा सकता है।
- शोधकर्ता का दावा है कि भेद्यता पहली बार अक्टूबर 2021 में खोजी गई थी और आज तक बनी हुई है।
- सुरक्षा विशेषज्ञ हमले की नवीनता की सराहना करते हैं लेकिन इसके वास्तविक उपयोग को लेकर संशय में रहते हैं।
पेपैल की भुगतान सुविधा को अपने सिर पर रखते हुए, एक क्लिक के लिए एक हमलावर को आपके पेपाल खाते को खत्म करने की आवश्यकता होती है।
एक सुरक्षा शोधकर्ता ने प्रदर्शित किया है कि वह जो दावा करता है वह पेपाल में एक अभी तक अप्रकाशित भेद्यता है जो अनिवार्य रूप से हमलावरों को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के बाद पीड़ित के पेपाल खाते को खाली करने की अनुमति दे सकता है, जिसे तकनीकी रूप से क्लिकजैकिंग कहा जाता है। हमला।
"पेपैल क्लिकजैक भेद्यता अद्वितीय है क्योंकि आम तौर पर एक क्लिक को हाईजैक करना किसी अन्य हमले को शुरू करने के लिए एक कदम है," ब्रैड होंग, vCISO, Horizon3ai, ने ईमेल पर लाइफवायर को बताया। "लेकिन इस उदाहरण में, एक क्लिक के साथ, [हमला मदद करता है] एक हमलावर द्वारा निर्धारित कस्टम भुगतान राशि को अधिकृत करता है।"
अपहरण क्लिक
फ़ीनिक्स विश्वविद्यालय में सूचना प्रणाली और प्रौद्योगिकी कॉलेज के लिए लीड फैकल्टी स्टेफ़नी बेनोइट-कर्ट्ज़ ने कहा कि क्लिकजैकिंग हमले पीड़ितों को एक लेनदेन पूरा करने के लिए प्रेरित करते हैं जो आगे विभिन्न गतिविधियों की मेजबानी शुरू करता है।
"क्लिक के माध्यम से, मैलवेयर इंस्टॉल हो जाता है, खराब अभिनेता स्थानीय मशीन पर लॉगिन, पासवर्ड और अन्य वस्तुओं को इकट्ठा कर सकते हैं और रैंसमवेयर डाउनलोड कर सकते हैं," बेनोइट-कर्ट्ज़ ने ईमेल पर लाइफवायर को बताया।"व्यक्ति के उपकरण पर उपकरण जमा करने के अलावा, यह भेद्यता बुरे अभिनेताओं को भी PayPal खातों से पैसे चुराने की अनुमति देती है।"
हांग ने क्लिकजैकिंग हमलों की तुलना स्ट्रीमिंग वेबसाइटों पर पॉपअप को बंद करने के असंभव लोगों के नए स्कूल दृष्टिकोण से की। लेकिन बंद करने के लिए X को छिपाने के बजाय, वे सामान्य, वैध वेबसाइटों का अनुकरण करने के लिए पूरी बात छिपाते हैं।
"हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जबकि वास्तव में यह पूरी तरह से कुछ अलग है," हांग ने समझाया। "एक वेबपेज पर एक क्लिक क्षेत्र के शीर्ष पर एक अपारदर्शी परत रखकर, उपयोगकर्ता खुद को कहीं भी ले जाते हैं, जो एक हमलावर के स्वामित्व में है, बिना कभी जाने।"
हमले के तकनीकी विवरण के माध्यम से पढ़ने के बाद, हांग ने कहा कि यह एक वैध पेपैल टोकन का दुरुपयोग करके काम करता है, जो एक कंप्यूटर कुंजी है जो पेपैल एक्सप्रेस चेकआउट के माध्यम से स्वचालित भुगतान विधियों को अधिकृत करता है।
हमला एक वैध साइट पर एक वैध उत्पाद के लिए एक विज्ञापन के शीर्ष पर शून्य के अपारदर्शिता सेट के साथ एक आईफ्रेम कहलाने वाले एक छिपे हुए लिंक को रखकर काम करता है।
"छिपी हुई परत आपको वास्तविक उत्पाद पृष्ठ की तरह दिखने के लिए निर्देशित करती है, लेकिन इसके बजाय, यह यह देखने के लिए जांच कर रही है कि क्या आप पहले से ही पेपैल में लॉग इन हैं, और यदि ऐसा है, तो यह सीधे [आपके] से पैसे निकालने में सक्षम है।] पेपैल खाता, "हांग साझा किया।
हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जबकि वास्तव में यह कुछ अलग है।
उन्होंने कहा कि एक-क्लिक निकासी अद्वितीय है, और इसी तरह की क्लिकजैकिंग बैंक धोखाधड़ी में आमतौर पर पीड़ितों को उनके बैंक की वेबसाइट से सीधे हस्तांतरण की पुष्टि करने के लिए कई क्लिक शामिल होते हैं।
बहुत अधिक प्रयास?
इवांती में उत्पाद प्रबंधन के उपाध्यक्ष क्रिस गोएटल ने कहा कि सुविधा एक ऐसी चीज है जिसका हमलावर हमेशा फायदा उठाना चाहते हैं।
“पेपाल जैसी सेवा का उपयोग करके एक-क्लिक भुगतान एक सुविधा सुविधा है जिसका उपयोग करने के लिए लोग अभ्यस्त हो जाते हैं और यदि हमलावर दुर्भावनापूर्ण लिंक को अच्छी तरह से प्रस्तुत करता है, तो संभवत: अनुभव में कुछ कम नहीं होगा,” गोएटल ने लाइफवायर को बताया ईमेल पर।
हमें इस तरकीब में पड़ने से बचाने के लिए, बेनोइट-कर्ट्ज़ ने सामान्य ज्ञान का पालन करने और किसी भी प्रकार के पॉपअप या वेबसाइटों के लिंक पर क्लिक न करने का सुझाव दिया, जिन पर हम विशेष रूप से नहीं गए थे, साथ ही संदेशों और ईमेल में भी, कि हमने पहल नहीं की।
“दिलचस्प बात यह है कि इस भेद्यता को अक्टूबर 2021 में वापस रिपोर्ट किया गया था और आज भी, एक ज्ञात भेद्यता बनी हुई है,” बेनोइट-कर्ट्ज़ ने बताया।
हमने पेपाल को शोधकर्ता के निष्कर्षों पर उनके विचार पूछने के लिए ईमेल किया, लेकिन कोई प्रतिक्रिया नहीं मिली।
गोएटल ने हालांकि समझाया कि हालांकि भेद्यता को अभी भी ठीक नहीं किया जा सकता है, लेकिन इसका फायदा उठाना आसान नहीं है। काम करने की चाल के लिए, हमलावरों को एक वैध वेबसाइट में सेंध लगाने की आवश्यकता होती है जो पेपाल के माध्यम से भुगतान स्वीकार करती है और फिर लोगों को क्लिक करने के लिए दुर्भावनापूर्ण सामग्री सम्मिलित करती है।
“यह संभवत: कम समय में मिल जाएगा, इसलिए हमले का पता चलने से पहले कम लाभ के लिए यह एक उच्च प्रयास होगा,” गोएटल ने कहा।