Ormai parlare di sicurezza informatica è all’ordine del giorno e purtroppo ancora un’altra vulnerabilità a danno degli utenti è stata scoperta da un ricercatore. La notizia è stata pubblicata per la prima volta su The Hacker News e ha come protagonista PayPal.
Infatti, secondo quanto rilevato, un pericoloso bug senza patch potrebbe permettere a cybercriminali esperti di violare un conto PayPal di qualsiasi utente e appropriarsi del suo denaro. La procedura, alquanto insidiosa, è stata spiegata nei dettagli.
Il ricercatore di sicurezza informatica h4x0r_dz ha pubblicato un post e un video con tutti i dettagli di questa falla e il procedimento attraverso il quale un criminale potrebbe garantirsi l’accesso al conto e all’account PayPal della potenziale vittima.
Scopriamo insieme tutti i dettagli e, se possibile, come difendersi da questo e da qualsiasi altro attacco simile, visto che in pericolo ci sono i nostri risparmi oltre che le nostre informazioni personali e sensibili.
PayPal e la falla senza patch
Secondo quanto pubblicato da The Hacker News, la falla scoperta nel sistema PayPal attualmente non ha ancora una patch, seppur comunicata per la prima volta all’azienda nell’ottobre 2021. Il sistema di violazione, definito anche UI Redressing, consentirebbe agli aggressori di indurre le vittime a completare transazioni dirette all’attaccante con un semplice click.
In altre parole, l’utente viene ingannato da elementi che appaiono su pagine Web all’apparenza innocue, ma che nascondono pulsanti che a volte compaiono all’istante proprio sotto il cursore, mentre altre volte sono invisibili.
L’obiettivo è quello di far scaricare alla vittima malware, trojan bancari, reindirizzare a pagine internet dannose o carpire e poi divulgare informazioni e dati sensibili. Ecco come ha spiegato questo attacco il ricercatore:
Quindi, l’attaccante sta “dirottando” i clic destinati alla pagina legittima e li instrada a un’altra pagina, molto probabilmente di proprietà di un’altra applicazione, dominio o entrambi.
Questo endpoint è progettato per gli accordi di fatturazione e dovrebbe accettare solo billingAgreementToken. Ma durante i miei test approfonditi, ho scoperto che possiamo passare a un altro tipo di token e questo porta a rubare denaro dal conto PayPal di una vittima.
Questo bug è ancora più preoccupante nel caso in cui un sito integri perfettamente il sistema di pagamento PayPal al check out. Così il cybercriminale può appropriarsi con estrema facilità del denaro della vittima che, invece, crede di essere su un sito sano, come affermato dal ricercatore h4x0r_dz:
Ci sono servizi online che ti consentono di aggiungere saldo utilizzando PayPal al tuo account. Posso usare lo stesso exploit e costringere l’utente ad aggiungere denaro al mio account, oppure posso sfruttare questo bug e lasciare che la vittima crei/paghi un account Netflix per me!
https://youtu.be/0h85N5Ne_ac
Come proteggersi da questi bug
È difficile trovare un modo per proteggersi da questi pericolosi bug se, come ad esempio nel caso PayPal, gli sviluppatori non provvedono a una patch correttiva. Comunque, esiste una soluzione per navigare in sicurezza e avere anche un sistema che riconosca i siti web sicuri da quelli, invece, pericolosi e falsi. Si chiama AVG Ultimate che oggi ottieni risparmiando il 33% dal prezzo di listino.
Uno degli aspetti più singolari di questa notizia è un aggiornamento che The Hacker News ha pubblicato a completamento delle informazioni, proprio in merito alla patch di sicurezza che PayPal non ha ancora realizzato e pubblicato:
La storia è stata rettificata per menzionare che il bug è ancora privo di patch e che il ricercatore di sicurezza non ha ricevuto alcun premio per il bug e per aver segnalato il problema. L’errore è deplorevole. Abbiamo anche contattato PayPal per maggiori dettagli.