據(jù)The Hacker News消息，昵稱為h4x0r_dz的安全研究人員在支付巨頭PayPal的匯款服務中發(fā)現(xiàn)了一個未修補的大漏洞，可允許攻擊者竊取用戶賬戶中的資金。其攻擊原理是利用點擊劫持技術誘導用戶進行點擊，在不知不覺中完成交易，最終達到竊取資金的目的。

所謂點擊劫持技術，指的是不知情的用戶被誘騙點擊看似無害的網(wǎng)頁元素(如按鈕)，目的是下載惡意軟件、重定向到惡意網(wǎng)站或泄露敏感信息。

而在PayPal的漏洞中，這個技術被用來完成交易。黑客利用了不可見的覆蓋頁面或顯示在可見頁面頂部的HTML元素。在點擊合法頁面時，用戶實際上是在點擊由攻擊者控制的覆蓋合法內(nèi)容的惡意元素。

2021年10月，h4x0r_dz向PayPal報告了這一漏洞，證明攻擊者可以通過利用 Clickjacking 竊取用戶的資金。

h4x0r_dz是在專為計費協(xié)議設計的“www.paypal[.]com/agreements/approve”端點上發(fā)現(xiàn)了該漏洞。他表示，“按照邏輯，這個端點應只接受 billingAgreementToken，但在深入測試后發(fā)現(xiàn)并非如此，我們可以通過另一種令牌類型完成，這讓攻擊者有機會從受害者的 PayPal 賬戶中竊取資金?！?/p>

這意味著攻擊者可以將上述端點嵌入到iframe中，如下圖所示，此時已經(jīng)登錄Web瀏覽器的受害者點擊頁面的任何地方，就會自動向攻擊者所控制的PayPal 帳戶付款。

更令人擔憂的是，這次攻擊可能會對和PayPal集成進行結(jié)賬的在線門戶網(wǎng)站造成災難性后果，從而使攻擊者能夠從用戶的PayPal賬戶中扣除任意金額。

h4x0r_dz在社交平臺上發(fā)布的帖子寫到，“有一些在線服務可以讓你使用 PayPal 將余額添加到你的帳戶中，我可以使用相同的漏洞并強迫用戶向我的帳戶充值，或者我可以利用此漏洞讓受害者為我創(chuàng)建/支付 Netflix帳戶?！?/p>

目前，有安全專家表示，該漏洞尚未完成修復工作，用戶應保持足夠的警惕。