Un chercheur en sécurité a révélé les détails d’une attaque de détournement de clic démontrée contre PayPal qui pourrait être exploitée pour voler les soldes des comptes des victimes en un seul clic. Le détournement de clic, également appelé redressement de l’interface utilisateur, fait référence à une technique dans laquelle un utilisateur involontaire est amené à cliquer sur des éléments de page Web apparemment anodins, tels que des boutons, dans le but de télécharger des logiciels malveillants, de rediriger vers des sites Web malveillants ou de divulguer des informations sensibles. Ceci est généralement réalisé en affichant une page invisible ou un élément HTML au-dessus de la page visible, ce qui entraîne un scénario où les utilisateurs sont trompés en pensant qu’ils cliquent sur la page légitime alors qu’ils cliquent en fait sur l’élément escroc superposé dessus. « Ainsi, l’attaquant » détourne « les clics destinés à la page [légitime] et les achemine vers une autre page, très probablement détenue par une autre application, un autre domaine ou les deux », a écrit le chercheur en sécurité h4x0r_dz dans un article documentant les résultats.

h4x0r_dz, qui a découvert le problème sur le point de terminaison « www.paypal[.]com/agreements/approve », a reçu une prime de 200 000 $ pour avoir découvert et signalé le problème en octobre 2021. « Ce point de terminaison est conçu pour les accords de facturation et il ne devrait accepter que billingAgreementToken », a expliqué le chercheur. « Mais lors de mes tests approfondis, j’ai découvert que nous pouvions transmettre un autre type de jeton, ce qui conduit à voler de l’argent sur le compte PayPal de [une] victime. » Cela signifie qu’un adversaire pourrait intégrer le point de terminaison susmentionné dans une iframe, obligeant une victime déjà connectée à un navigateur Web à transférer des fonds vers un compte PayPal contrôlé par un attaquant simplement en cliquant sur un bouton. Plus inquiétant encore, l’attaque aurait pu avoir des conséquences désastreuses sur les portails en ligne qui s’intègrent à PayPal pour les paiements, permettant à l’acteur malveillant de déduire des montants arbitraires des comptes PayPal des utilisateurs. « Il existe des services en ligne qui vous permettent d’ajouter un solde en utilisant PayPal à votre compte », a déclaré h4x0r_dz. « Je peux utiliser le même exploit et forcer l’utilisateur à ajouter de l’argent sur mon compte, ou je peux exploiter ce bug et laisser la victime créer/payer un compte Netflix pour moi ! »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *