Un investigador de seguridad afirmó haber descubierto una vulnerabilidad sin parches en el servicio de transferencia de dinero de PayPal que podía permitir a los atacantes engañar a las víctimas para que, sin saberlo, completaran transacciones dirigidas por el atacante con un solo clic.
El secuestro de clics, también llamado reparación de la interfaz de usuario, se refiere a una técnica en la que se engaña a un usuario involuntario para que haga clic en elementos aparentemente inofensivos de una página web, como botones, con el objetivo de descargar malware, redirigir a sitios web maliciosos o divulgar información confidencial.
Esto generalmente se logra al mostrar una página invisible o un elemento HTML en la parte superior de la página visible, lo que da como resultado un escenario en el que se engaña a los usuarios haciéndoles creer que están haciendo clic en la página legítima cuando en realidad están haciendo clic en el elemento no autorizado superpuesto.
"Por lo tanto, el atacante está 'secuestrando' los clics destinados a la página [legítima] y los enruta a otra página, probablemente propiedad de otra aplicación, dominio o ambos", escribió el investigador de seguridad h4x0r_dz en una publicación que documenta los hallazgos.
h4x0r_dz, quien descubrió el problema en el punto final "www.paypal[.]com/agreements/approve", dijo que el problema se informó a la empresa en octubre de 2021.
"Este punto final está diseñado para acuerdos de facturación y solo debe aceptar billingAgreementToken", explicó el investigador. "Pero durante mis pruebas profundas, descubrí que podemos pasar otro tipo de token, y esto conduce al robo de dinero de la cuenta de PayPal de una víctima".
Esto significa que un adversario podría incrustar el punto final antes mencionado dentro de un iframe (elemento HTML que permite insertar o incrustar un documento HTML dentro de un documento HTML principal), lo que provocaría que una víctima que ya inició sesión en un navegador web transfiera fondos a una cuenta de PayPal controlada por el atacante con solo hacer clic en un botón.
Lo que es aún más preocupante, el ataque podría haber tenido consecuencias desastrosas en los portales en línea que se integran con PayPal para pagar, permitiendo al actor malicioso deducir montos arbitrarios de las cuentas de PayPal de los usuarios.
"Hay servicios en línea que le permiten agregar saldo a su cuenta mediante PayPal", dijo h4x0r_dz. "¡Puedo usar el mismo exploit y obligar al usuario a agregar dinero a mi cuenta, o puedo explotar este error y dejar que la víctima cree/pague una cuenta de Netflix por mí!"
(Actualización: la historia se ha corregido para mencionar que el error aún no está corregido y que el investigador de seguridad no recibió ninguna recompensa por informar el problema).
Referencias y Créditos:
Ravie Lakshmanan (2022, mayo 23). New Unpatched Bug Could Let Attackers Steal Money from PayPal Users https://thehackernews.com/2022/05/paypal-pays-hacker-200000-for.html
Comentarios