Un chercheur en s\u00e9curit\u00e9 a r\u00e9v\u00e9l\u00e9 les d\u00e9tails d’une attaque de d\u00e9tournement de clic d\u00e9montr\u00e9e contre PayPal qui pourrait \u00eatre exploit\u00e9e pour voler les soldes des comptes des victimes en un seul clic.<\/p>\n
Le d\u00e9tournement de clic, \u00e9galement appel\u00e9 Correction de l’interface utilisateur<\/a>fait r\u00e9f\u00e9rence \u00e0 une technique dans laquelle un utilisateur involontaire est amen\u00e9 \u00e0 cliquer sur des \u00e9l\u00e9ments de page Web apparemment inoffensifs, tels que des boutons, dans le but de t\u00e9l\u00e9charger des logiciels malveillants, de rediriger vers des sites Web malveillants ou de divulguer des informations sensibles.<\/p>\n Ceci est g\u00e9n\u00e9ralement r\u00e9alis\u00e9 en affichant une page invisible ou un \u00e9l\u00e9ment HTML au-dessus de la page visible, ce qui donne lieu \u00e0 un sc\u00e9nario dans lequel les utilisateurs sont tromp\u00e9s en pensant qu’ils cliquent sur la page l\u00e9gitime alors qu’ils cliquent en fait sur l’\u00e9l\u00e9ment malveillant superpos\u00e9.<\/p>\n “Ainsi, l’attaquant ‘d\u00e9tourne’ les clics destin\u00e9s \u00e0 [the legitimate] page et en les acheminant vers une autre page, tr\u00e8s probablement d\u00e9tenue par une autre application, un autre domaine ou les deux \u00bb, chercheur en s\u00e9curit\u00e9 h4x0r_dz a \u00e9crit<\/a> dans un article documentant les r\u00e9sultats.<\/p>\n https:\/\/www.youtube.com\/watch?v=OPAJ049YZIs<\/a><\/p>\n h4x0r_dz, qui a d\u00e9couvert le probl\u00e8me sur le “www.paypal[.]com\/agreements\/approve”, a re\u00e7u une prime de 200\u00a0000 $ pour avoir d\u00e9couvert et signal\u00e9 le probl\u00e8me en octobre 2021.<\/p>\n “Ce point de terminaison est con\u00e7u pour les accords de facturation et il ne devrait accepter que billingAgreementToken”, a expliqu\u00e9 le chercheur. “Mais lors de mes tests approfondis, j’ai d\u00e9couvert que nous pouvions transmettre un autre type de jeton, ce qui conduit \u00e0 voler de l’argent \u00e0 [a] compte PayPal de la victime.”<\/p>\n Cela signifie qu’un adversaire pourrait int\u00e9grer le point final susmentionn\u00e9 \u00e0 l’int\u00e9rieur d’un iframe<\/a>obligeant une victime d\u00e9j\u00e0 connect\u00e9e \u00e0 un navigateur Web \u00e0 transf\u00e9rer des fonds vers un compte PayPal contr\u00f4l\u00e9 par un attaquant simplement en cliquant sur un bouton.<\/p>\n Plus inqui\u00e9tant encore, l’attaque aurait pu avoir des cons\u00e9quences d\u00e9sastreuses sur les portails en ligne qui s’int\u00e8grent \u00e0 PayPal pour les paiements, permettant \u00e0 l’acteur malveillant de d\u00e9duire des montants arbitraires des comptes PayPal des utilisateurs.<\/p>\n “Il existe des services en ligne qui vous permettent d’ajouter un solde en utilisant PayPal \u00e0 votre compte”, a d\u00e9clar\u00e9 h4x0r_dz. “Je peux utiliser le m\u00eame exploit et forcer l’utilisateur \u00e0 ajouter de l’argent sur mon compte, ou je peux exploiter ce bug et laisser la victime cr\u00e9er\/payer un compte Netflix pour moi !”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n