पेपैल भेद्यता अभी भी अप्रकाशित है, शोधकर्ताओं का कहना है

विषयसूची:

पेपैल भेद्यता अभी भी अप्रकाशित है, शोधकर्ताओं का कहना है
पेपैल भेद्यता अभी भी अप्रकाशित है, शोधकर्ताओं का कहना है
Anonim

मुख्य तथ्य

  • एक सुरक्षा शोधकर्ता ने दिखाया है कि कैसे पेपाल के एक-क्लिक भुगतान तंत्र का एक क्लिक से पैसे चुराने के लिए दुरुपयोग किया जा सकता है।
  • शोधकर्ता का दावा है कि भेद्यता पहली बार अक्टूबर 2021 में खोजी गई थी और आज तक बनी हुई है।
  • सुरक्षा विशेषज्ञ हमले की नवीनता की सराहना करते हैं लेकिन इसके वास्तविक उपयोग को लेकर संशय में रहते हैं।
Image
Image

पेपैल की भुगतान सुविधा को अपने सिर पर रखते हुए, एक क्लिक के लिए एक हमलावर को आपके पेपाल खाते को खत्म करने की आवश्यकता होती है।

एक सुरक्षा शोधकर्ता ने प्रदर्शित किया है कि वह जो दावा करता है वह पेपाल में एक अभी तक अप्रकाशित भेद्यता है जो अनिवार्य रूप से हमलावरों को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के बाद पीड़ित के पेपाल खाते को खाली करने की अनुमति दे सकता है, जिसे तकनीकी रूप से क्लिकजैकिंग कहा जाता है। हमला।

"पेपैल क्लिकजैक भेद्यता अद्वितीय है क्योंकि आम तौर पर एक क्लिक को हाईजैक करना किसी अन्य हमले को शुरू करने के लिए एक कदम है," ब्रैड होंग, vCISO, Horizon3ai, ने ईमेल पर लाइफवायर को बताया। "लेकिन इस उदाहरण में, एक क्लिक के साथ, [हमला मदद करता है] एक हमलावर द्वारा निर्धारित कस्टम भुगतान राशि को अधिकृत करता है।"

अपहरण क्लिक

फ़ीनिक्स विश्वविद्यालय में सूचना प्रणाली और प्रौद्योगिकी कॉलेज के लिए लीड फैकल्टी स्टेफ़नी बेनोइट-कर्ट्ज़ ने कहा कि क्लिकजैकिंग हमले पीड़ितों को एक लेनदेन पूरा करने के लिए प्रेरित करते हैं जो आगे विभिन्न गतिविधियों की मेजबानी शुरू करता है।

"क्लिक के माध्यम से, मैलवेयर इंस्टॉल हो जाता है, खराब अभिनेता स्थानीय मशीन पर लॉगिन, पासवर्ड और अन्य वस्तुओं को इकट्ठा कर सकते हैं और रैंसमवेयर डाउनलोड कर सकते हैं," बेनोइट-कर्ट्ज़ ने ईमेल पर लाइफवायर को बताया।"व्यक्ति के उपकरण पर उपकरण जमा करने के अलावा, यह भेद्यता बुरे अभिनेताओं को भी PayPal खातों से पैसे चुराने की अनुमति देती है।"

हांग ने क्लिकजैकिंग हमलों की तुलना स्ट्रीमिंग वेबसाइटों पर पॉपअप को बंद करने के असंभव लोगों के नए स्कूल दृष्टिकोण से की। लेकिन बंद करने के लिए X को छिपाने के बजाय, वे सामान्य, वैध वेबसाइटों का अनुकरण करने के लिए पूरी बात छिपाते हैं।

"हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जबकि वास्तव में यह पूरी तरह से कुछ अलग है," हांग ने समझाया। "एक वेबपेज पर एक क्लिक क्षेत्र के शीर्ष पर एक अपारदर्शी परत रखकर, उपयोगकर्ता खुद को कहीं भी ले जाते हैं, जो एक हमलावर के स्वामित्व में है, बिना कभी जाने।"

हमले के तकनीकी विवरण के माध्यम से पढ़ने के बाद, हांग ने कहा कि यह एक वैध पेपैल टोकन का दुरुपयोग करके काम करता है, जो एक कंप्यूटर कुंजी है जो पेपैल एक्सप्रेस चेकआउट के माध्यम से स्वचालित भुगतान विधियों को अधिकृत करता है।

हमला एक वैध साइट पर एक वैध उत्पाद के लिए एक विज्ञापन के शीर्ष पर शून्य के अपारदर्शिता सेट के साथ एक आईफ्रेम कहलाने वाले एक छिपे हुए लिंक को रखकर काम करता है।

"छिपी हुई परत आपको वास्तविक उत्पाद पृष्ठ की तरह दिखने के लिए निर्देशित करती है, लेकिन इसके बजाय, यह यह देखने के लिए जांच कर रही है कि क्या आप पहले से ही पेपैल में लॉग इन हैं, और यदि ऐसा है, तो यह सीधे [आपके] से पैसे निकालने में सक्षम है।] पेपैल खाता, "हांग साझा किया।

हमला उपयोगकर्ता को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर क्लिक कर रहे हैं जबकि वास्तव में यह कुछ अलग है।

उन्होंने कहा कि एक-क्लिक निकासी अद्वितीय है, और इसी तरह की क्लिकजैकिंग बैंक धोखाधड़ी में आमतौर पर पीड़ितों को उनके बैंक की वेबसाइट से सीधे हस्तांतरण की पुष्टि करने के लिए कई क्लिक शामिल होते हैं।

बहुत अधिक प्रयास?

इवांती में उत्पाद प्रबंधन के उपाध्यक्ष क्रिस गोएटल ने कहा कि सुविधा एक ऐसी चीज है जिसका हमलावर हमेशा फायदा उठाना चाहते हैं।

“पेपाल जैसी सेवा का उपयोग करके एक-क्लिक भुगतान एक सुविधा सुविधा है जिसका उपयोग करने के लिए लोग अभ्यस्त हो जाते हैं और यदि हमलावर दुर्भावनापूर्ण लिंक को अच्छी तरह से प्रस्तुत करता है, तो संभवत: अनुभव में कुछ कम नहीं होगा,” गोएटल ने लाइफवायर को बताया ईमेल पर।

हमें इस तरकीब में पड़ने से बचाने के लिए, बेनोइट-कर्ट्ज़ ने सामान्य ज्ञान का पालन करने और किसी भी प्रकार के पॉपअप या वेबसाइटों के लिंक पर क्लिक न करने का सुझाव दिया, जिन पर हम विशेष रूप से नहीं गए थे, साथ ही संदेशों और ईमेल में भी, कि हमने पहल नहीं की।

“दिलचस्प बात यह है कि इस भेद्यता को अक्टूबर 2021 में वापस रिपोर्ट किया गया था और आज भी, एक ज्ञात भेद्यता बनी हुई है,” बेनोइट-कर्ट्ज़ ने बताया।

Image
Image

हमने पेपाल को शोधकर्ता के निष्कर्षों पर उनके विचार पूछने के लिए ईमेल किया, लेकिन कोई प्रतिक्रिया नहीं मिली।

गोएटल ने हालांकि समझाया कि हालांकि भेद्यता को अभी भी ठीक नहीं किया जा सकता है, लेकिन इसका फायदा उठाना आसान नहीं है। काम करने की चाल के लिए, हमलावरों को एक वैध वेबसाइट में सेंध लगाने की आवश्यकता होती है जो पेपाल के माध्यम से भुगतान स्वीकार करती है और फिर लोगों को क्लिक करने के लिए दुर्भावनापूर्ण सामग्री सम्मिलित करती है।

“यह संभवत: कम समय में मिल जाएगा, इसलिए हमले का पता चलने से पहले कम लाभ के लिए यह एक उच्च प्रयास होगा,” गोएटल ने कहा।

सिफारिश की:

लंबी दूरी की ईवीएस अभी भी सड़क के नीचे के रास्ते हैं, विशेषज्ञों का कहना है

लंबी दूरी की ईवीएस अभी भी सड़क के नीचे के रास्ते हैं, विशेषज्ञों का कहना है

मर्सिडीज बेंज ने एक इलेक्ट्रिक वाहन का प्रदर्शन किया जिसने 747 मील की यात्रा की, लेकिन विशेषज्ञों का कहना है कि इसे कुछ समय के लिए उपलब्ध रेंज के रूप में देखने की उम्मीद नहीं है। आगे कई चुनौतियां हैं

शोधकर्ताओं ने ब्लूटूथ में भेद्यता प्रदर्शित की

शोधकर्ताओं ने ब्लूटूथ में भेद्यता प्रदर्शित की

एक मास्टर कुंजी जो किसी भी ब्लूटूथ स्मार्ट लॉक को अनलॉक कर सकती है, डरावना लगता है। तो अच्छी बात यह है कि ऐसा कुछ करने की संभावना नहीं है

आप अभी भी Log4J भेद्यता से जोखिम में हो सकते हैं

आप अभी भी Log4J भेद्यता से जोखिम में हो सकते हैं

सुरक्षा शोधकर्ताओं के अनुसार, log4j भेद्यता अभी भी कुछ सर्वरों पर व्याप्त है, जो संभावित रूप से उन सर्वरों तक पहुंचने वाले लोगों को जोखिम में डाल सकती है

ब्लैकबेरी फ़ोन अभी भी सफल हो सकते हैं, विशेषज्ञों का कहना है

ब्लैकबेरी फ़ोन अभी भी सफल हो सकते हैं, विशेषज्ञों का कहना है

भले ही ब्लैकबेरी फोन वापस आ जाए, विशेषज्ञों का कहना है कि भौतिक कीबोर्ड चलाने वाले स्मार्टफोन को आज के बाजार में जगह बनाने के लिए धूम मचाने की जरूरत है

वीडियो कॉल सुरक्षित नहीं हो सकते, शोधकर्ताओं का कहना है

वीडियो कॉल सुरक्षित नहीं हो सकते, शोधकर्ताओं का कहना है

McAfee के शोधकर्ताओं ने पाया है कि वीडियो कॉलिंग सॉफ़्टवेयर हैकिंग की चपेट में आ सकता है, जिसका अर्थ है कि कोई आपकी बातचीत पर ध्यान दे सकता है, या इससे भी बदतर