Hoy TheHackerNews ha informado por primera vez que un investigador de seguridad (apodado de h4x0r_dz) ha descubierto una vulnerabilidad sin parchear en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para que completen, sin saberlo, transacciones dirigidas por el atacante con un solo clic.
El clickjacking, también llamado redireccionamiento de la interfaz de usuario, se refiere a una técnica en la que se engaña a un usuario involuntario para que haga clic en elementos aparentemente inocuos de la página web, como botones, con el objetivo de descargar malware, redirigir a sitios web con malware o para que comparta información sensible.
Esto se consigue normalmente mostrando una página invisible o un elemento HTML encima de la página visible, lo que da lugar a un escenario en el que se engaña a los usuarios haciéndoles creer que están haciendo clic en la página legítima cuando, en realidad, están haciendo clic en el elemento fraudulento superpuesto a ella.
“Encontré que podemos pasar otro tipo de tokens, y esto lleva a robar dinero de la cuenta de PayPal de la víctima”, reconoce en su post h4x0r_dz. “como se puede ver en la imagen, el atacante es capaz de cargar un punto final paypal.com sensible en un Iframe, y cuando el atacante hace clic en “cerca de hacer clic aquí” Va a comprar algo”.
h4x0r_dz, descubrió el problema en el punto “www.paypal[.]com/agreements/approve”, y reconoce haber comunicado la vulnerabilidad a la empresa en octubre de 2021, pero por lo que hemos podido indagar, de momento la empresa no ha parcheado el problema.
“Este endpoint está diseñado para Acuerdos de Facturación y debería aceptar sólo billingAgreementToken”, explica el investigador. “Pero durante mis pruebas profundas, encontré que podemos pasar otro tipo de token, y esto lleva a robar dinero de la cuenta de PayPal de [una] víctima”.
Esto significa que un adversario podría incrustar el mencionado endpoint dentro de un iframe, haciendo que una víctima que ya haya iniciado sesión en un navegador web transfiera fondos a una cuenta de PayPal controlada por el atacante simplemente con el clic de un botón.
Por tanto, si usáis PayPal de forma habitual extremar las precauciones para no caer víctima de algún amigo de lo ajeno que le de por explotar esta vulnerabilidad.
Fuente | THN | SecurityAffairs
