-
Thông báo thời gian nghỉ lễ Tết Nguyên đán Quý Mão...
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Hướng dẫn cách xoá lịch sử tìm kiếm trên Facebook
-
Kaspersky công bố người chiến thắng cuộc thi dành ...
-
Cập nhật ngay bản vá trên chip Qualcomm và Lenovo ...
-
Mẹo lưu hình ảnh trên trang web cấm nhấp chuột phả...
Hacker có thể cuỗm tiền từ Paypal người dùng qua lỗ hổng mới chưa vá này
Một chuyên gia bảo mật tuyên bố đã phát hiện ra một lỗ hổng chưa được vá trong dịch vụ chuyển tiền của PayPal, có thể cho phép tin tặc lừa nạn nhân vô tình hoàn thành các giao dịch do chúng chỉ đạo bằng một cú nhấp chuột.
Clickjacking, hay còn được gọi là chỉnh sửa giao diện người dùng đề cập đến một kỹ thuật trong đó người dùng vô tình bị lừa nhấp vào các phần tử trang web dường như vô hại như các nút với mục tiêu tải xuống các mã độc, chuyển hướng đến các trang web độc hại hoặc tiết lộ thông tin nhạy cảm.
Điều này thường đạt được bằng cách hiển thị một trang ẩn hoặc một phần tử HTML trên đầu trang hiển thị, dẫn đến tình huống người dùng bị đánh lừa rằng họ đang nhấp vào trang hợp pháp trong khi thực tế họ đang nhấp vào phần giả mạo được phủ đè lên đầu trang đó.
Chuyên gia bảo mật h4x0r_dz viết trong một bài báo cáo ghi lại kết quả rằng: “Qua đó, tin tặc đang ‘chiếm quyền điều khiển’ các nhấp chuột dành cho trang web [hợp pháp] và chuyển hướng chúng đến một trang khác rất có thể thuộc sở hữu của một ứng dụng, một tên miền khác hoặc cả hai.”
h4x0r_dz, người đã phát hiện ra vấn đề trên điểm cuối “www.paypal[.]com/agreements/approve” cho biết vấn đề này đã được báo cáo cho công ty vào tháng 10/2021.
Chuyên gia giải thích thêm rằng: “Điểm cuối này được thiết kế cho các Thỏa thuận thanh toán và nó chỉ chấp nhận Token thỏa thuận thanh toán. Nhưng trong quá trình thử nghiệm sâu hơn của mình, tôi nhận thấy rằng chúng tôi có thể vượt qua một loại token thông báo khác và điều này dẫn đến việc đánh cắp tiền từ tài khoản PayPal của [một] nạn nhân”.
Điều này có nghĩa là tin tặc có thể nhúng điểm cuối nói trên bên trong một iframe, khiến cho nạn nhân nếu đã đăng nhập vào trình duyệt web sẽ chuyển tiền vào tài khoản PayPal do kẻ tấn công kiểm soát chỉ bằng một cú nhấp chuột.
Đáng quan tâm hơn, cuộc tấn công có thể gây ra hậu quả thảm khốc trong các cổng trực tuyến tích hợp với PayPal để thanh toán, cho phép kẻ xấu có thể đánh cắp số tiền tùy ý từ tài khoản PayPal của người dùng.
h4x0r_dz cho biết: “Có những dịch vụ trực tuyến cho phép bạn thêm số dư bằng PayPal vào tài khoản của mình. Tôi có thể sử dụng cùng một cách khai thác và buộc người dùng thêm tiền vào tài khoản của tôi hoặc tôi có thể khai thác lỗi này và để nạn nhân tạo / thanh toán tài khoản Netflix cho tôi!”.
(Cập nhật: Câu chuyện này đã được đính chính lại để nhắc lại rằng lỗ hổng này vẫn chưa được vá và chuyên gia bảo mật không được thưởng bất kỳ khoản tiền thưởng nào khi báo cáo sự cố. Lỗi này rất đáng tiếc. Chúng tôi cũng đã liên hệ với PayPal để tìm hiểu thêm chi tiết.)
Theo Thehackernews
TIN CÙNG CHUYÊN MỤC
Microsoft phát hành bản vá lỗi tháng 1-2...
Hướng dẫn cách xoá lịch sử tìm kiếm trên...
Kaspersky công bố người chiến thắng cuộc...
Cập nhật ngay bản vá trên chip Qualcomm ...
Editor’s Choice 2022: Kaspersky đoạt giả...
Robot nên được sử dụng nhiều hơn trong s...
-
Kaspersky công bố người chiến thắng cuộc thi dành ...
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Mẹo lưu hình ảnh trên trang web cấm nhấp chuột phả...
-
Hướng dẫn cách xoá lịch sử tìm kiếm trên Facebook
-
Thông báo thời gian nghỉ lễ Tết Nguyên đán Quý Mão...
-
Trình duyệt nào tốn ít RAM và CPU nhất trên Window...
-
Thông báo thời gian nghỉ lễ Tết Nguyên đán Quý Mão...
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Hướng dẫn cách xoá lịch sử tìm kiếm trên Facebook
-
Kaspersky công bố người chiến thắng cuộc thi dành ...
-
Cập nhật ngay bản vá trên chip Qualcomm và Lenovo ...
-
Mẹo lưu hình ảnh trên trang web cấm nhấp chuột phả...
TAGS
LIÊN HỆ
