支付巨头PayPal暴露了一个很大的漏洞,允许黑客直接窃取用户资金从用户账户中窃取资金。攻击原理是利用点击劫持技术,诱导用户点击,在不知情的情况下完成交易,最终达到盗取资金的目的。所谓的点击劫持是一种技术,在这种技术中,毫无戒心的用户被诱骗点击看似无害的网络元素(例如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。在PayPal漏洞中,这种技术被用来完成交易。黑客利用不可见的覆盖页面或显示在可见页面顶部的HTML元素。当点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。2021年10月,h4x0r_dz向PayPal报告了该漏洞,证明攻击者可以利用Clickjacking窃取用户资金。h4x0r_dz在为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了漏洞。“从逻辑上讲,这个端点应该只接受billingAgreementToken,但经过深入测试后发现情况并非如此,我们可以使用另一种令牌类型来做到这一点,这让攻击者有机会从受害者的PayPal账户中窃取资金。”这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,已经登录网页浏览器的受害者点击页面任意位置,攻击者控制的PayPal账户将自动支付.更令人担忧的是,这种攻击可能会对与PayPal集成以进行结账的在线门户网站造成灾难性后果,从而使攻击者可以从用户的PayPal帐户中任意扣款。h4x0r_dz在社交平台上发帖称,“有在线服务可以让你使用PayPal为你的账户充值,我可以利用同样的漏洞强制用户向我的账户充值,或者我可以利用这个漏洞让受害者为我创建/支付Netflix帐户。”目前,有安全专家表示该漏洞尚未修复,用户仍需保持足够的警惕。
