Un investigador de seguridad afirma haber descubierto una vulnerabilidad sin parches en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para que, sin saberlo, completen transacciones dirigidas por el atacante con un solo clic.
El secuestro de clics, también llamado reparación de la interfaz de usuario, se refiere a una técnica en la que se engaña a un usuario involuntario para que haga clic en elementos aparentemente inofensivos de una página web, como botones, con el objetivo de descargar malware, redirigir a sitios web maliciosos o divulgar información confidencial.
Esto generalmente se logra al mostrar una página invisible o un elemento HTML en la parte superior de la página visible, lo que da como resultado un escenario en el que se engaña a los usuarios haciéndoles creer que están haciendo clic en la página legítima cuando en realidad están haciendo clic en el elemento falso superpuesto.
«Por lo tanto, el atacante está ‘secuestrando’ clics destinados a [the legitimate] página y enrutarlos a otra página, probablemente propiedad de otra aplicación, dominio o ambos», escribió el investigador de seguridad h4x0r_dz en una publicación que documenta los hallazgos.
https://www.youtube.com/watch?v=0h85N5Ne_ac
h4x0r_dz, quien descubrió el problema en «www.paypal[.]com/agreements/approve», dijo que el problema se informó a la empresa en octubre de 2021.
«Este punto final está diseñado para acuerdos de facturación y solo debe aceptar billingAgreementToken», explicó el investigador. «Pero durante mis pruebas profundas, descubrí que podemos pasar otro tipo de token, y esto lleva a robar dinero de [a] cuenta de PayPal de la víctima».
Esto significa que un adversario podría incrustar el punto final antes mencionado dentro de un iframe, lo que provocaría que una víctima que ya inició sesión en un navegador web transfiera fondos a una cuenta de PayPal controlada por el atacante con solo hacer clic en un botón.
Lo que es aún más preocupante, el ataque podría haber tenido consecuencias desastrosas en los portales en línea que se integran con PayPal para pagar, permitiendo al actor malicioso deducir montos arbitrarios de las cuentas de PayPal de los usuarios.
«Hay servicios en línea que le permiten agregar saldo a su cuenta mediante PayPal», dijo h4x0r_dz. «¡Puedo usar el mismo exploit y obligar al usuario a agregar dinero a mi cuenta, o puedo explotar este error y dejar que la víctima cree/pague una cuenta de Netflix por mí!»
(Actualización: la historia se ha corregido para mencionar que el error aún no está corregido y que el investigador de seguridad no recibió ninguna recompensa por informar el problema. Se lamenta el error. También nos comunicamos con PayPal para obtener más detalles).