PayPal

Un investigador de seguridad afirma haber descubierto una vulnerabilidad sin parches en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para que, sin saberlo, completen transacciones dirigidas por el atacante con un solo clic.

El secuestro de clics, también llamado reparación de la interfaz de usuario, se refiere a una técnica en la que se engaña a un usuario involuntario para que haga clic en elementos aparentemente inofensivos de una página web, como botones, con el objetivo de descargar malware, redirigir a sitios web maliciosos o divulgar información confidencial.

Esto generalmente se logra al mostrar una página invisible o un elemento HTML en la parte superior de la página visible, lo que da como resultado un escenario en el que se engaña a los usuarios haciéndoles creer que están haciendo clic en la página legítima cuando en realidad están haciendo clic en el elemento falso superpuesto.

«Por lo tanto, el atacante está ‘secuestrando’ los clics destinados a la página [legítima] y los enruta a otra página, probablemente propiedad de otra aplicación, dominio o ambos», escribió el investigador de seguridad h4x0r_dz en una publicación que documenta los hallazgos.

h4x0r_dz, quien descubrió el problema en el punto final «www.paypal[.]com/agreements/approve», dijo que el problema se informó a la empresa en octubre de 2021.

«Este punto final está diseñado para acuerdos de facturación y solo debe aceptar billingAgreementToken», explicó el investigador. «Pero durante mis pruebas profundas, descubrí que podemos pasar otro tipo de token, y esto conduce al robo de dinero de la cuenta de PayPal de [una] víctima».

Esto significa que un adversario podría incrustar el punto final antes mencionado dentro de un iframe, lo que haría que una víctima que ya inició sesión en un navegador web transfiera fondos a una cuenta de PayPal controlada por el atacante simplemente con hacer clic en un botón.

Lo que es aún más preocupante, el ataque podría haber tenido consecuencias desastrosas en los portales en línea que se integran con PayPal para pagar, permitiendo al actor malicioso deducir montos arbitrarios de las cuentas de PayPal de los usuarios.

«Hay servicios en línea que le permiten agregar saldo a su cuenta mediante PayPal», dijo h4x0r_dz. «¡Puedo usar el mismo exploit y obligar al usuario a agregar dinero a mi cuenta, o puedo explotar este error y dejar que la víctima cree/pague una cuenta de Netflix por mí!»

(Actualización: la historia se ha corregido para mencionar que el error aún no está corregido y que el investigador de seguridad no recibió ninguna recompensa por informar el problema. Se lamenta el error. También nos comunicamos con PayPal para obtener más detalles).

Fuente y redacción: thehackernews.com

Compartir