Clickjacking, còn được gọi là sửa chữa giao diện người dùng, đề cập đến một kỹ thuật trong đó người dùng vô tình bị lừa nhấp vào các yếu tố trang web dường như vô hại như các nút với mục tiêu tải xuống phần mềm độc hại, chuyển hướng đến các trang web độc hại hoặc tiết lộ thông tin nhạy cảm.
Điều này thường đạt được bằng cách hiển thị một trang vô hình hoặc yếu tố HTML trên đầu trang có thể nhìn thấy, dẫn đến một kịch bản mà người dùng bị lừa khi nghĩ rằng họ đang nhấp vào trang hợp pháp trong khi họ thực sự nhấp vào phần tử lừa đảo phủ lên trên nó.
“Do đó, kẻ tấn công đang ‘chiếm quyền điều khiển’ các nhấp chuột dành cho trang [hợp pháp] và định tuyến chúng đến một trang khác, rất có thể thuộc sở hữu của một ứng dụng, tên miền hoặc cả hai khác”, nhà nghiên cứu bảo mật h4x0r_dz viết trong một bài đăng ghi lại những phát hiện này.
h4x0r_dz, người đã phát hiện ra vấn đề này trên “www.PayPal[.] com/agreements/approv” endpoint, cho biết vấn đề đã được báo cáo cho công ty vào tháng 10 năm 2021.
“Điểm cuối này được thiết kế cho các Thỏa thuận thanh toán và nó chỉ nên chấp nhận thanh toánAgreementToken”, nhà nghiên cứu giải thích. “Nhưng trong quá trình thử nghiệm sâu, tôi thấy rằng chúng tôi có thể vượt qua một loại mã thông báo khác, và điều này dẫn đến việc ăn cắp tiền từ tài khoản PayPal của nạn nhân.”
Điều này có nghĩa là kẻ thù có thể nhúng điểm cuối nói trên vào iframe, khiến nạn nhân đã đăng nhập vào trình duyệt web để chuyển tiền vào tài khoản PayPal do kẻ tấn công kiểm soát chỉ bằng một nút bấm.
Thậm chí đáng lo ngại hơn, cuộc tấn công có thể đã gây ra hậu quả thảm khốc trong các cổng thông tin trực tuyến tích hợp với PayPal để thanh toán, cho phép tác nhân độc hại khấu trừ số tiền tùy ý từ tài khoản PayPal của người dùng.
“Có những dịch vụ trực tuyến cho phép bạn thêm số dư bằng cách sử dụng PayPal vào tài khoản của mình”, h4x0r_dz nói. “Tôi có thể sử dụng cùng một khai thác và buộc người dùng thêm tiền vào tài khoản của tôi, hoặc tôi có thể khai thác lỗi này và để nạn nhân tạo / trả tiền tài khoản Netflix cho tôi!”
Đăng nhận xét
Đăng nhận xét