ቁልፍ መውሰጃዎች
- የደህንነት ተመራማሪ በአንድ ጠቅታ የፔይፓል ክፍያ ዘዴ እንዴት ገንዘብን ለመስረቅ አላግባብ መጠቀም እንደሚቻል በአንድ ጠቅታ አሳይተዋል።
- ተመራማሪው ተጋላጭነቱ ለመጀመሪያ ጊዜ የተገኘው በጥቅምት 2021 እንደሆነ እና እስከ ዛሬ ድረስ እንዳልተሸፈነ ተናግሯል።
- የደህንነት ባለሙያዎች የጥቃቱን አዲስነት ያደንቃሉ፣ነገር ግን በገሃዱ አለም አጠቃቀሙ ላይ ጥርጣሬ አላቸው።
የፔይፓል ክፍያ ምቾትን በራሱ ላይ በማዞር አጥቂ የፔይፓል መለያዎን ለማፍሰስ አንድ ጊዜ ጠቅ ማድረግ ብቻ ነው።
የደህንነት ተመራማሪ በፔይፓል ውስጥ ገና ያልተለቀቀ ተጋላጭነት ነው ያለውን አሳይቷል ይህም አጥቂዎች የተጎጂውን የፔይፓል መለያ ባዶ ለማድረግ በማታለል ተንኮል-አዘል ሊንክ ጠቅ ካደረጉ በኋላ በቴክኒካል ጠቅ ማድረጊያ ተብሎ በሚጠራው ማጥቃት።
"የፔይፓል ክሊክጃክ ተጋላጭነት ልዩ ነው ምክንያቱም በተለምዶ ጠቅታ ጠልፎ ሌላ ጥቃት ለመሰንዘር ደረጃ አንድ ደረጃ ነው ሲል ብራድ ሆንግ፣ vCISO፣ Horizon3ai ለላይፍዋይር በኢሜል ተናግሯል። "ነገር ግን በዚህ አጋጣሚ፣ በአንዲት ጠቅታ [ጥቃቱ ይረዳል] በአጥቂ የተቀመጠው ብጁ የክፍያ መጠን ፍቃድ ይሰጣል።"
የጠለፋ ጠቅታዎች
ስቴፋኒ ቤኖይት-ኩርትዝ በፎኒክስ ዩኒቨርሲቲ የኢንፎርሜሽን ሲስተምስ እና ቴክኖሎጂ ኮሌጅ መሪ ፋኩልቲ አክለው እንደተናገሩት የጠቅታ ጥቃት ተጎጂዎችን ብዙ የተለያዩ እንቅስቃሴዎችን የሚያስጀምር ግብይት እንዲጨርሱ ያደርጋቸዋል።
"በጠቅታው ማልዌር ተጭኗል፣መጥፎ ተዋናዮቹ መግቢያዎች፣የይለፍ ቃል እና ሌሎች ነገሮችን በአካባቢያዊው ማሽን ላይ ሰብስበው ራንሰምዌር ማውረድ ይችላሉ" ሲል ቤኖይት-ኩርትዝ ለላይፍዋይር በኢሜል ተናግሯል።"መሳሪያዎችን በግለሰብ መሳሪያ ላይ ከማስቀመጥ ባለፈ ይህ ተጋላጭነት መጥፎ ተዋናዮች ከPayPal መለያዎች ገንዘብ እንዲሰርቁ ያስችላቸዋል።"
ሆንግ የጠቅ ጠለፋ ጥቃቶችን ከአዲሱ የትምህርት ቤት አካሄድ ጋር በማነፃፀር ብቅ-ባዮችን በዥረት መልቀቅያ ድረ-ገጾች ላይ መዝጋት አይቻልም። ነገር ግን Xን ለመዝጋት ከመደበቅ ይልቅ መደበኛ እና ህጋዊ ድረ-ገጾችን ለመምሰል ሁሉንም ነገር ይደብቃሉ።
"ጥቃቱ ተጠቃሚው አንድ ነገር ጠቅ እንዳደረገ እንዲያስብ ያሞኛታል ፣ በእውነቱ ይህ ሙሉ በሙሉ የተለየ ነው ፣ " ስትል ሆንግ ገልጻለች። "በድረ-ገጹ ላይ በጠቅታ ቦታ ላይ ግልጽ ያልሆነ ንብርብር በማስቀመጥ ተጠቃሚዎች መቼም ሳያውቁ በአጥቂ ባለቤትነት ወደተያዘው ማንኛውም ቦታ ይወሰዳሉ።"
የጥቃቱን ቴክኒካል ዝርዝሮች ከመረመርኩ በኋላ ሆንግ ህጋዊ የPayPal ቶከንን አላግባብ በመጠቀም እንደሚሰራ ተናግራለች፣ይህም በPayPal Express Checkout በኩል አውቶማቲክ የመክፈያ ዘዴዎችን የሚፈቅድ የኮምፒውተር ቁልፍ ነው።
ጥቃቱ የሚሠራው ኢፍራም በሚባለው ውስጥ የተደበቀ ማገናኛን በማስቀመጥ ግልጽነት የጎደለው የዜሮ ስብስብ በህጋዊ ጣቢያ ላይ ህጋዊ ምርት ለማግኘት በማስታወቂያ ላይ ነው።
"የተደበቀው ንብርብር እውነተኛው የምርት ገጽ ወደሚመስለው ይመራዎታል፣ነገር ግን ይልቁንስ አስቀድሞ ወደ PayPal ገብተሽ መሆን አለመሆኑን በማጣራት ላይ ነው፣ እና ከሆነ፣ከእርስዎ ገንዘብ በቀጥታ ማውጣት ይችላል።] PayPal መለያ፣ " የተጋራ ሆንግ.
ጥቃቱ ተጠቃሚው አንድ ነገር ጠቅ እንዳደረገ እንዲያስብ ያሞኛታል በእውነቱ ይህ ሙሉ በሙሉ የተለየ ነገር ነው።
አክሏል በአንድ ጠቅታ መውጣት ልዩ ነው፣ እና ተመሳሳይ ጠቅ ማድረግ የባንክ ማጭበርበር ተጎጂዎችን ከባንካቸው ድረ-ገጽ በቀጥታ ማስተላለፍን ለማረጋገጥ ብዙ ጠቅታዎችን ማድረግን ያካትታል።
በጣም ብዙ ጥረት?
ክሪስ ጎትል፣ የኢቫንቲ የምርት ማኔጅመንት VP ምቾቱ አጥቂዎች ሁል ጊዜ ለመጠቀም የሚመለከቱት ነገር ነው ብለዋል።
“እንደ ፔይፓል ያለ አገልግሎትን አንድ ጊዜ ጠቅ ማድረግ ሰዎች የሚጠቀሙበት ምቹ ባህሪ ነው እና አጥቂው ተንኮል-አዘል ማያያዣውን በጥሩ ሁኔታ ካቀረበ ከተሞክሮው ውስጥ ትንሽ ነገር እንዳለ አያስተውሉም” ሲል ጎትል ለላይፍዋይር ተናግሯል። በኢሜል።
በዚህ ብልሃት እንዳንወድቅ ለማዳን ቤኖይት-ኩርትዝ የጋራ አስተሳሰብን መከተል እና እኛ ያልሄድንባቸውን ብቅ-ባዮች ወይም ድረ-ገጾች እንዲሁም በመልእክቶች እና ኢሜይሎች ላይ ያሉ ሊንኮችን እንዳንጠቅስ ሀሳብ አቅርቧል። ያልጀመርነው።
“የሚገርመው ነገር ይህ ተጋላጭነት በጥቅምት 2021 ተመልሷል እና ከዛሬ ጀምሮ አሁንም የሚታወቅ ተጋላጭነት ነው” ሲል ቤኖይት-ኩርትዝ አመልክቷል።
በተመራማሪው ግኝቶች ላይ አመለካከታቸውን ለመጠየቅ ወደ PayPal ኢሜይል ልከናል ነገርግን ምላሽ አላገኘንም።
Goettl፣ነገር ግን ተጋላጭነቱ አሁንም ላይስተካከል ቢችልም ለመጠቀም ቀላል እንዳልሆነ አብራርቷል። ማጭበርበሪያው እንዲሰራ አጥቂዎች በPayPal በኩል ክፍያዎችን የሚቀበል ህጋዊ ድር ጣቢያ ሰብረው መግባት አለባቸው እና ሰዎች ጠቅ እንዲያደርጉ ተንኮል አዘል ይዘቱን ያስገቡ።
“ይህ በአጭር ጊዜ ውስጥ ሊገኝ ይችላል፣ስለዚህ ጥቃቱ ከመታወቁ በፊት ለጥቃቅን ጥቅም ከፍተኛ ጥረት ነው” ሲል Goettl አስተያየቱን ሰጥቷል።
