Clé à emporter
- Un chercheur en sécurité a montré comment le mécanisme de paiement en un clic de PayPal peut être utilisé pour voler de l'argent, en un seul clic.
- Le chercheur affirme que la vulnérabilité a été découverte pour la première fois en octobre 2021 et reste non corrigée jusqu'à aujourd'hui.
- Les experts en sécurité louent la nouveauté de l'attaque mais restent sceptiques quant à son utilisation dans le monde réel.
Changer la commodité de paiement de PayPal, un clic est tout ce dont un attaquant a besoin pour vider votre compte PayPal.
Un chercheur en sécurité a démontré ce qu'il prétend être une vulnérabilité encore non corrigée dans PayPal qui pourrait essentiellement permettre aux attaquants de vider le compte PayPal d'une victime après l'avoir amenée à cliquer sur un lien malveillant, dans ce que l'on appelle techniquement un détournement de clic attaque.
"La vulnérabilité du détournement de clic PayPal est unique en ce sens que le détournement d'un clic est généralement la première étape d'un moyen de lancer une autre attaque", a déclaré Brad Hong, vCISO, Horizon3ai, à Lifewire par e-mail. "Mais dans ce cas, d'un simple clic, [l'attaque aide] à autoriser un montant de paiement personnalisé défini par un attaquant."
Détournement de clics
Stephanie Benoit-Kurtz, Faculté principale du Collège des systèmes et technologies de l'information de l'Université de Phoenix, a ajouté que les attaques de détournement de clic incitent les victimes à effectuer une transaction qui déclenche une foule d'activités différentes.
"Grâce au clic, des logiciels malveillants sont installés, les mauvais acteurs peuvent collecter des identifiants, des mots de passe et d'autres éléments sur la machine locale et télécharger des ransomwares", a déclaré Benoit-Kurtz à Lifewire par e-mail."Au-delà du dépôt d'outils sur l'appareil de l'individu, cette vulnérabilité permet également à de mauvais acteurs de voler de l'argent sur des comptes PayPal."
Hong a comparé les attaques de détournement de clics à la nouvelle approche scolaire de ces popups impossibles à fermer sur les sites de streaming. Mais au lieu de cacher le X pour fermer, ils cachent le tout pour émuler des sites Web normaux et légitimes.
"L'attaque trompe l'utilisateur en lui faisant croire qu'il clique sur une chose alors qu'en réalité c'est quelque chose de complètement différent", a expliqué Hong. "En plaçant une couche opaque au-dessus d'une zone de clic sur une page Web, les utilisateurs se retrouvent redirigés vers n'importe quel endroit appartenant à un attaquant, sans jamais le savoir."
Après avoir parcouru les détails techniques de l'attaque, Hong a déclaré que cela fonctionnait en utilisant à mauvais escient un jeton PayPal légitime, qui est une clé informatique qui autorise les méthodes de paiement automatiques via PayPal Express Checkout.
L'attaque fonctionne en plaçant un lien caché à l'intérieur de ce qu'on appelle une iframe avec son opacité définie sur zéro au-dessus d'une publicité pour un produit légitime sur un site légitime.
"La couche cachée vous dirige vers ce qui peut sembler être la vraie page du produit, mais à la place, elle vérifie si vous êtes déjà connecté à PayPal, et si c'est le cas, elle est capable de retirer directement de l'argent de [votre] Compte PayPal, " partagé Hong.
L'attaque trompe l'utilisateur en lui faisant croire qu'il clique sur une chose alors qu'en réalité c'est quelque chose de complètement différent.
Il a ajouté que le retrait en un clic est unique, et que les fraudes bancaires par détournement de clic similaires impliquent généralement plusieurs clics pour inciter les victimes à confirmer un transfert direct depuis le site Web de leur banque.
Trop d'effort ?
Chris Goettl, vice-président de la gestion des produits chez Ivanti, a déclaré que la commodité est quelque chose dont les attaquants cherchent toujours à tirer parti.
"Le paiement en un clic à l'aide d'un service comme PayPal est une fonctionnalité pratique à laquelle les gens s'habituent et ne remarqueront probablement pas que quelque chose ne va pas dans l'expérience si l'attaquant présente bien le lien malveillant", a déclaré Goettl à Lifewire. par e-mail.
Pour nous éviter de tomber dans le piège, Benoit-Kurtz a suggéré de faire preuve de bon sens et de ne pas cliquer sur des liens dans tout type de popups ou de sites Web que nous n'avons pas spécifiquement consultés, ainsi que dans les messages et les e-mails, que nous n'avons pas initié.
"Il est intéressant de noter que cette vulnérabilité a été signalée en octobre 2021 et, à ce jour, reste une vulnérabilité connue", a souligné Benoit-Kurtz.
Nous avons envoyé un e-mail à PayPal pour lui demander son avis sur les conclusions du chercheur, mais nous n'avons pas reçu de réponse.
Goettl, cependant, a expliqué que bien que la vulnérabilité ne soit toujours pas corrigée, elle n'est pas facile à exploiter. Pour que l'astuce fonctionne, les attaquants doivent s'introduire dans un site Web légitime qui accepte les paiements via PayPal, puis insérer le contenu malveillant pour que les internautes puissent cliquer dessus.
"Cela serait probablement trouvé dans un court laps de temps, donc ce serait un gros effort pour un faible gain avant que l'attaque ne soit probablement découverte", a déclaré Goettl.
