Lỗ hổng này dựa trên một kỹ thuật có tên là Clickjacking, trong đó các phần tử của trang web sẽ được kẻ tấn công thiết kế một cách vô cùng tinh vi để đánh lừa người dùng click vào. Các phần tử đó sẽ có các chức năng như tải xuống mã độc, chuyển hướng đến các trang web độc hại hoặc tiết lộ các thông tin nhạy cảm.
Hacker sẽ hiển thị một trang ẩn hoặc một thành phần của HTML lân bên trên trang hiển thị khiến người dùng bị đánh lừa rằng họ đang truy cập trang web hợp pháp trong khi họ đang click trang web do hacker thiết kế.
“Do đó, kẻ tấn công đang đánh lừa người dùng dựa trên những cú click và định tuyến họ đến một trang khác, rất có thể là thuộc sở hữu của một ứng dụng, một tên miền khác hoặc cả hai”, h4x0r_dz viết trong một bài đăng ghi lại kết quả.
h4x0r_dz, người đã phát hiện ra vấn đề trên trang web “www.paypal.com/agreements/approve”, cho biết lỗ hổng đã được báo cáo cho công ty vào tháng 10 năm 2021.
Anh giải thích: “Trang web này được thiết kế cho thỏa thuận thanh toán và nó chỉ chấp nhận mã thông báo có tên là billingAgosystemToken. Nhưng trong quá trình thử nghiệm, tôi nhận thấy rằng ta có thể làm cho trang web chấp nhận bằng một loại mã thông báo khác và điều này dẫn đến việc đánh cắp tiền từ tài khoản PayPal của nạn nhân”.
Điều này có nghĩa là kẻ tấn công có thể nhúng đường dẫn nói trên vào một thẻ <iframe>, khiến nạn nhân đã đăng nhập vào trình duyệt web có thể thực hiện các giao dịch bất hợp pháp cho kẻ tấn công chỉ bằng một cú nhấp chuột.
Đáng quan tâm hơn, cuộc tấn công này có thể gây ra những hậu quả nghiêm trọng đến các cổng thanh toán trực tuyến có tích hợp PayPal, cho phép kẻ xấu có thể đánh cắp số tiền tùy ý từ tài khoản PayPal của người dùng.
“Có những dịch vụ trực tuyến cho phép bạn rút tiền từ PayPal vào tài khoản của mình”, h4x0r_dz cho biết. “Tôi có thể sử dụng cách khai thác trên để buộc người dùng chuyển tiền vào tài khoản của mình hoặc tôi có thể khai thác lỗi này để nạn nhân thanh toán tài khoản Netflix cho tôi”.
Nguồn thehackernews