-
06/04/2022
-
23
-
41 bài viết
Lỗ hổng mới cho phép hacker đánh cắp tiền từ người dùng PayPal
Nhà nghiên cứu với nickname “h4x0r_dz” đã phát hiện ra một lỗ hổng chưa được vá trong dịch vụ chuyển tiền của PayPal, cho phép những kẻ tấn công có thể đánh lừa nạn nhân hoàn thành các giao dịch chuyển tiền bất hợp pháp chỉ bằng một cú nhấp chuột.
Lỗ hổng này dựa trên một kỹ thuật có tên là Clickjacking, trong đó các phần tử của trang web sẽ được kẻ tấn công thiết kế một cách vô cùng tinh vi để đánh lừa người dùng nhấp vào. Các phần tử đó sẽ có các chức năng độc hại như tải xuống mã độc, chuyển hướng đến các trang web độc hại hoặc tiết lộ các thông tin nhạy cảm.
Điều này thường đạt được bằng cách hiển thị một trang ẩn hoặc một phần tử HTML phủ lên toàn bộ trang hiển thị, dẫn đến tình huống người dùng bị đánh lừa rằng họ đang nhấp vào các phần tử của trang web hợp pháp, trong khi thực tế là họ đang nhấp vào các phần tử giả mạo do kẻ tấn công thiết kế.
"Do đó, kẻ tấn công đang đánh lừa người dùng dựa trên những cú nhấp chuột và định tuyến họ đến một trang khác, rất có thể là thuộc sở hữu của một ứng dụng, một tên miền khác hoặc cả hai", nhà nghiên cứu h4x0r_dz viết trong một bài đăng ghi lại kết quả.
h4x0r_dz, người đã phát hiện ra vấn đề trên trang web "www.paypal.com/agreements/approve", cho biết đã được báo cáo cho công ty vào tháng 10 năm 2021.
Anh giải thích: “Trang web này được thiết kế cho thỏa thuận thanh toán và nó chỉ chấp nhận mã thông báo có tên là billingAgosystemToken. Nhưng trong quá trình thử nghiệm, tôi nhận thấy rằng chúng tôi có thể làm cho trang web chấp nhận bằng một loại mã thông báo khác và điều này dẫn đến việc đánh cắp tiền từ tài khoản PayPal của nạn nhân".
Điều này có nghĩa là kẻ tấn công có thể nhúng đường dẫn nói trên vào một thẻ <iframe>, khiến nạn nhân đã đăng nhập vào trình duyệt web có thể thực hiện các giao dịch bất hợp pháp cho kẻ tấn công chỉ bằng một cú nhấp chuột.
Đáng quan tâm hơn, cuộc tấn công có thể gây ra những hậu quả nghiêm trọng trong các cổng thanh toán trực tuyến có tích hợp PayPal, cho phép kẻ xấu có thể đánh cắp số tiền tùy ý từ tài khoản PayPal của người dùng.
"Có những dịch vụ trực tuyến cho phép bạn rút tiền từ PayPal vào tài khoản của mình", h4x0r_dz cho biết. "Tôi có thể sử dụng cách khai thác trên để buộc người dùng chuyển tiền vào tài khoản của mình hoặc tôi có thể khai thác lỗi này để nạn nhân thanh toán tài khoản Netflix cho tôi".
Lỗ hổng này dựa trên một kỹ thuật có tên là Clickjacking, trong đó các phần tử của trang web sẽ được kẻ tấn công thiết kế một cách vô cùng tinh vi để đánh lừa người dùng nhấp vào. Các phần tử đó sẽ có các chức năng độc hại như tải xuống mã độc, chuyển hướng đến các trang web độc hại hoặc tiết lộ các thông tin nhạy cảm.
Điều này thường đạt được bằng cách hiển thị một trang ẩn hoặc một phần tử HTML phủ lên toàn bộ trang hiển thị, dẫn đến tình huống người dùng bị đánh lừa rằng họ đang nhấp vào các phần tử của trang web hợp pháp, trong khi thực tế là họ đang nhấp vào các phần tử giả mạo do kẻ tấn công thiết kế.
"Do đó, kẻ tấn công đang đánh lừa người dùng dựa trên những cú nhấp chuột và định tuyến họ đến một trang khác, rất có thể là thuộc sở hữu của một ứng dụng, một tên miền khác hoặc cả hai", nhà nghiên cứu h4x0r_dz viết trong một bài đăng ghi lại kết quả.
h4x0r_dz, người đã phát hiện ra vấn đề trên trang web "www.paypal.com/agreements/approve", cho biết đã được báo cáo cho công ty vào tháng 10 năm 2021.
Anh giải thích: “Trang web này được thiết kế cho thỏa thuận thanh toán và nó chỉ chấp nhận mã thông báo có tên là billingAgosystemToken. Nhưng trong quá trình thử nghiệm, tôi nhận thấy rằng chúng tôi có thể làm cho trang web chấp nhận bằng một loại mã thông báo khác và điều này dẫn đến việc đánh cắp tiền từ tài khoản PayPal của nạn nhân".
Điều này có nghĩa là kẻ tấn công có thể nhúng đường dẫn nói trên vào một thẻ <iframe>, khiến nạn nhân đã đăng nhập vào trình duyệt web có thể thực hiện các giao dịch bất hợp pháp cho kẻ tấn công chỉ bằng một cú nhấp chuột.
Đáng quan tâm hơn, cuộc tấn công có thể gây ra những hậu quả nghiêm trọng trong các cổng thanh toán trực tuyến có tích hợp PayPal, cho phép kẻ xấu có thể đánh cắp số tiền tùy ý từ tài khoản PayPal của người dùng.
"Có những dịch vụ trực tuyến cho phép bạn rút tiền từ PayPal vào tài khoản của mình", h4x0r_dz cho biết. "Tôi có thể sử dụng cách khai thác trên để buộc người dùng chuyển tiền vào tài khoản của mình hoặc tôi có thể khai thác lỗi này để nạn nhân thanh toán tài khoản Netflix cho tôi".
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: