Paypal

Un chercheur en sécurité a révélé les détails d’une attaque de détournement de clic démontrée contre PayPal qui pourrait être exploitée pour voler les soldes des comptes des victimes en un seul clic.

Le détournement de clic, également appelé Correction de l’interface utilisateurfait référence à une technique dans laquelle un utilisateur involontaire est amené à cliquer sur des éléments de page Web apparemment inoffensifs, tels que des boutons, dans le but de télécharger des logiciels malveillants, de rediriger vers des sites Web malveillants ou de divulguer des informations sensibles.

Ceci est généralement réalisé en affichant une page invisible ou un élément HTML au-dessus de la page visible, ce qui donne lieu à un scénario dans lequel les utilisateurs sont trompés en pensant qu’ils cliquent sur la page légitime alors qu’ils cliquent en fait sur l’élément malveillant superposé.

« Ainsi, l’attaquant ‘détourne’ les clics destinés à [the legitimate] page et en les acheminant vers une autre page, très probablement détenue par une autre application, un autre domaine ou les deux », chercheur en sécurité h4x0r_dz a écrit dans un article documentant les résultats.

https://www.youtube.com/watch?v=OPAJ049YZIs

Publicité

h4x0r_dz, qui a découvert le problème sur le « www.paypal[.]com/agreements/approve », a reçu une prime de 200 000 $ pour avoir découvert et signalé le problème en octobre 2021.

« Ce point de terminaison est conçu pour les accords de facturation et il ne devrait accepter que billingAgreementToken », a expliqué le chercheur. « Mais lors de mes tests approfondis, j’ai découvert que nous pouvions transmettre un autre type de jeton, ce qui conduit à voler de l’argent à [a] compte PayPal de la victime. »

La Cyber-Sécurité

Cela signifie qu’un adversaire pourrait intégrer le point final susmentionné à l’intérieur d’un iframeobligeant une victime déjà connectée à un navigateur Web à transférer des fonds vers un compte PayPal contrôlé par un attaquant simplement en cliquant sur un bouton.

Plus inquiétant encore, l’attaque aurait pu avoir des conséquences désastreuses sur les portails en ligne qui s’intègrent à PayPal pour les paiements, permettant à l’acteur malveillant de déduire des montants arbitraires des comptes PayPal des utilisateurs.

« Il existe des services en ligne qui vous permettent d’ajouter un solde en utilisant PayPal à votre compte », a déclaré h4x0r_dz. « Je peux utiliser le même exploit et forcer l’utilisateur à ajouter de l’argent sur mon compte, ou je peux exploiter ce bug et laisser la victime créer/payer un compte Netflix pour moi ! »


Rate this post
Publicité
Article précédentLes banques se tournent vers la blockchain à la recherche d’actifs commerciaux de haute qualité
Article suivantLe président de la FIA et le président du RACC rencontrent le ministre catalan Roger Torrent
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici