หน้าแรก Security Bug พบบั๊กใหม่ที่ทำให้ขโมยเงินบน PayPal ได้ แถมยังไม่มีแพ็ตช์ป้องกันด้วย!

พบบั๊กใหม่ที่ทำให้ขโมยเงินบน PayPal ได้ แถมยังไม่มีแพ็ตช์ป้องกันด้วย!

แบ่งปัน

มีนักวิจัยด้านความปลอดภัยอ้างว่า พบช่องโหว่บนระบบโอนเงินชื่อดังอย่าง PayPal ที่เปิดช่องให้ผู้โจมตีสามารถล่อหลอกเหยื่อให้โอนเงินมาที่ตัวเองแทนเพียงแค่คลิกเดียว เป็นการโจมตีในรูปของ Clickjacking หรือที่เรียกอีกชื่อว่า UI redressing

เทคนิคดังกล่าวเป็นการหลอกผู้ใช้ให้คลิกองค์ประกอบบนเว็บเช่น ปุ่มต่างๆ หน้าเว็บที่ลอยซ้อนอยู่แบบล่องหน หรือองค์ประกอบ HTML ที่แอบอยู่บนเว็บที่ถูกต้อง ซึ่งจะเป็นการดาวน์โหลดมัลแวร์, รีไดเร็กต์ไปยังเว็บอันตราย, หรือเปิดเผยข้อมูลความลับได้

ผู้ที่ค้นพบช่องโหว่นี้ใช้ชื่อว่า h4x0r_dz พบบนหน้าเว็บ www.paypal[.]com/agreements/approve และมีการรายงานให้ PayPal ทราบตั้งแต่ตุลาคม 2021 หน้าเว็บนี้จริงๆ เป็นหน้าข้อตกลงในการเรียกเก็บเงิน และควรรับค่าเฉพาะโทเค่น billingAgreementToken

แต่หลังตรวจสอบก็พบว่าสามารถส่งต่อโทเค่นแบบอื่นได้ด้วย ที่นำไปสู่การจารกรรมเงินจากบัญชี PayPal ของเหยื่อได้ โดยฝัง iframe ซ้อนเข้าไปบนหน้าที่ผู้ใช้ล็อกอินค้างไว้อยู่แล้ว ทำให้เป็นการโอนเงินไปที่บัญชี PayPal ของผู้โจมตีได้เพียงแค่คลิกเดียวนั่นเอง

อ่านเพิ่มเติมที่นี่ : THN

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที