Un attaquant n’a qu’à cliquer pour vider votre compte PayPal, ce qui rend les paiements PayPal très pratiques.

Un chercheur en sécurité a mis en évidence une vulnérabilité de PayPal qui, selon lui, n’est pas encore corrigée et qui pourrait permettre à des pirates de vider le compte PayPal d’une victime après l’avoir incitée à cliquer sur un lien malveillant, dans le cadre de ce que l’on appelle techniquement une attaque de type clickjacking.

« La vulnérabilité PayPal clickjacking est unique dans la mesure où, en général, le détournement d’un clic est la première étape d’un moyen de lancer une autre attaque », a déclaré Brad Hong, vCISO, Horizon3ai, par courriel. « Mais dans ce cas, avec un seul clic, [l’attaque permet] d’autoriser un montant de paiement personnalisé défini par un attaquant. »

Les escroqueries sur les factures PayPal ne disparaissent pas : Voici comment les éviter

Détournement de clics

Stephanie Benoit-Kurtz, professeure principale du College of Information Systems and Technology de l’Université de Phoenix, a ajouté que les attaques par détournement de clics incitent les victimes à effectuer une transaction qui déclenche ensuite une foule d’activités différentes.

« Grâce au clic, un logiciel malveillant est installé, les mauvais acteurs peuvent recueillir les logins, les mots de passe et d’autres éléments sur la machine locale et télécharger un ransomware », a déclaré Benoit-Kurtz par courriel. « Au-delà du dépôt d’outils sur l’appareil de l’individu, cette vulnérabilité permet également aux mauvais acteurs de voler de l’argent sur les comptes PayPal. »

Hong a comparé les attaques de clickjacking à l’approche new school de ces popups impossibles à fermer sur les sites de streaming. Mais au lieu de cacher le X à fermer, ils cachent l’ensemble pour émuler des sites Web normaux et légitimes.

« L’attaque fait croire à l’utilisateur qu’il clique sur une chose alors qu’en réalité il s’agit de quelque chose de totalement différent », explique Hong. « En plaçant une couche opaque sur la zone de clic d’une page Web, les utilisateurs sont dirigés vers un site appartenant à un attaquant, sans le savoir. »

Après avoir parcouru les détails techniques de l’attaque, Hong a déclaré qu’elle fonctionne en détournant un jeton PayPal légitime, qui est une clé informatique qui autorise les méthodes de paiement automatique via PayPal Express Checkout.

L’attaque consiste à placer un lien caché dans ce que l’on appelle un iframe, dont l’opacité est fixée à zéro, au-dessus d’une publicité pour un produit légitime sur un site légitime.

« La couche cachée vous dirige vers ce qui peut sembler être la véritable page du produit, mais en fait, elle vérifie si vous êtes déjà connecté à PayPal et, si c’est le cas, elle est capable de retirer directement de l’argent de [votre] compte PayPal », a partagé Hong.

L’attaque fait croire à l’utilisateur qu’il clique sur une chose alors qu’en réalité, il s’agit de quelque chose de totalement différent.

Il ajoute que le retrait en un seul clic est unique et que les fraudes bancaires de type clickjacking impliquent généralement plusieurs clics pour inciter les victimes à confirmer un transfert direct depuis le site Web de leur banque.

Trop d’efforts ?

Chris Goettl, vice-président de la gestion des produits chez Ivanti, a déclaré que les attaquants cherchent toujours à tirer parti de la commodité.

« Le paiement en un clic à l’aide d’un service comme PayPal est une fonction pratique que les gens s’habituent à utiliser et ils ne remarqueront probablement pas qu’il y a quelque chose qui cloche dans l’expérience si l’attaquant présente bien le lien malveillant », a déclaré M. Goettl par courriel.

Pour nous éviter de tomber dans ce piège, Benoit-Kurtz a suggéré de faire preuve de bon sens et de ne pas cliquer sur des liens dans des fenêtres pop-up ou des sites Web que nous n’avons pas spécifiquement visités, ainsi que dans des messages et des e-mails que nous n’avons pas initiés.

« Il est intéressant de noter que cette vulnérabilité a été signalée en octobre 2021 et qu’à ce jour, elle est toujours connue », a souligné M. Benoit-Kurtz.

Nous avons envoyé un courriel à PayPal pour lui demander son avis sur les conclusions du chercheur, mais nous n’avons pas reçu de réponse.

M. Goettl a toutefois expliqué que, même si la vulnérabilité n’est peut-être pas encore corrigée, elle n’est pas facile à exploiter. Pour que l’astuce fonctionne, les attaquants doivent s’introduire sur un site Web légitime qui accepte les paiements par PayPal, puis insérer le contenu malveillant sur lequel les internautes peuvent cliquer.

« Il s’agit donc d’un effort important pour un gain faible avant que l’attaque ne soit découverte », a déclaré M. Goettl.