首页 > 原创 > 正文

使用Paypal注意了,小心被黑客劫持攻击

最后更新 :2022.06.08

PayPal是一个总部在美国加利福尼亚州的全球在线支付服务商。主要可以用于国际用户之间的转账、付款或收款。它是倍受全球亿万用户追捧的国际贸易支付工具,可以即时支付,即时到账。很多电子商务网站把它作为货款支付方式之一,PayPal会从中收取一定数额的手续费。我们常用的海淘APP例如AC派、55海淘就可以用PayPal支付。

不过,有一名研究人员发现Paypal网站端点含有安全漏洞,让攻击者能将Paypal用户导向恶意网站以窃取帐密并盗转帐户资产,目前该漏洞已经修补,研究人员也获得漏洞奖励奖金。

Paypal网站被发现,有个端点paypal.com/agreements/approve,可被用来进行点击劫持。攻击者可将有问题的端点包在iFrame中,使受害者以浏览器登入,就能获取用户Paypal帐密,然后就能够将用户Paypal财产转到攻击者持有的Paypal帐号,或是利用受害者的帐号支付任何服务费用。

点击劫持是一种攻击手法,攻击者在网页中将恶意代码等隐藏在看似无害的网页内容中,例如加一层或好几层透明层,再诱使用户点击他们以为的合法功能如按键或连接,旨在将用户导向恶意网站以泄露帐密敏感信息或下载恶意程序。这种手法又被称为使用者界面伪装(UI redressing)。

点击劫持是视觉欺骗,用户只看到了底层页面,与页面进行交互时却是与上层页面在交互。这是由于透明的iframe造成的,通过控制iframe的位置,导致上层页面的按钮等覆盖到下层上。

点击劫持作为其中作案成本最低、效率最高的流量劫持手段,已经发展出了多个技术分支。主要有以下几种:

广告堆叠Ad Stacking:广告堆叠指的是不法分子将多个广告在单个广告位中彼此叠加,一旦用户点击了表层广告,就会为所有叠加的广告创造点击数据。

Android 内容提供商劫持Content Provider Exploit: 这种劫持一般发生在Google Play Store的用户点击流程中。当用户点击安装一个新应用时,Google Play Store 会将用户安装数据储存到 Content Provider 中,而这些信息一旦被不法分子抓取,他们会利用 Content Provider 的特定URL来伪造一直在后台运行的通知信息notifications,并借此劫持用户后续点击行为。

广播劫持 Referrer Broadcast: 广播劫持与Content Provider Exploit方式相似,不过广播劫持的是应用安装完成后的广播信息,以次注入点击。

如果你想要学习更多专业的攻防知识,可以联系我们网盾网络安全培训中心。

网盾科技深耕网络安全教育,创新步履不止,十六年来厚积行业背景,从未停止对行业需求的洞察。

网盾网络安全培训中心不断挖掘企业人才需求,不断分析和解决技术网络安全人才培养难点,深获行业认同。

讲师均拥有8-15年以上网络安全领域的项目实战经验和教学经验,大都是资深安服工程师,多次担任政府、大型企业、公办高校网络安全培训的专家讲师,熟知最新业内系统安全隐患、软件安全产业技术的发展趋势。了解人才需求特点,能准确把握并弥补企业用人需求和学员能力之间的差距,并提供针对性的教育及培育方案。

授课采用攻防并举、以攻促防的思路,着力加强网络安全人才培养,形成为战育人的常态化攻防培训体系。为了针对性提升网络安全人员实操能力,聚焦建设网络靶场,模拟复杂多样的网络环境,开展网络攻防演练,对抗动态推演,验证攻防工具及系统安全性。

每个学员学习期间赠送一台专用高性能服务器使用权,独立公网IP,高速网络接入互联网,高性能配置,自由搭建各类环境测试使用;

网盾还独家自主研发了专门针对网络安全培训在线互动教学平台和攻城狮竞赛CTF靶场;学员可以直接得到公司客户授权渗透测试有活靶实战机会。

学习考试合格,可有机会参与网盾科技工作以及深厚的合作伙伴资源推荐就业机会。

- END -

看更多