প্রধান টেকওয়ে
- একজন নিরাপত্তা গবেষক দেখিয়েছেন কিভাবে PayPal-এর ওয়ান-ক্লিক পে মেকানিজমের অপব্যবহার করে টাকা চুরি করা যায়, এক ক্লিকেই।
- গবেষক দাবি করেছেন যে দুর্বলতা প্রথম 2021 সালের অক্টোবরে আবিষ্কৃত হয়েছিল এবং আজ অবধি অপরিবর্তিত রয়েছে।
- নিরাপত্তা বিশেষজ্ঞরা আক্রমণের অভিনবত্বের প্রশংসা করলেও এর বাস্তব-বিশ্ব ব্যবহার নিয়ে সন্দিহান থাকেন৷
পেপ্যালের অর্থপ্রদানের সুবিধার মাথায় ঘুরপাক খাচ্ছে, একজন আক্রমণকারীকে আপনার পেপ্যাল অ্যাকাউন্ট নিষ্কাশন করার জন্য একটি ক্লিকেই প্রয়োজন।
একজন নিরাপত্তা গবেষক দেখিয়েছেন যে তিনি পেপ্যালের একটি এখনও-অপ্যাচড দুর্বলতার দাবি করেছেন যা মূলত আক্রমণকারীদের একটি ক্ষতিকারক লিঙ্কে ক্লিক করার জন্য প্রতারণার পরে তাদের পেপ্যাল অ্যাকাউন্ট খালি করার অনুমতি দিতে পারে, যা প্রযুক্তিগতভাবে একটি ক্লিকজ্যাকিং হিসাবে উল্লেখ করা হয় আক্রমণ।
"পেপ্যালের ক্লিকজ্যাকের দুর্বলতা অনন্য যে সাধারণত একটি ক্লিক হাইজ্যাক করা অন্য কোনও আক্রমণ শুরু করার উপায়ের এক ধাপ," ব্র্যাড হং, vCISO, Horizon3ai, লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন৷ "কিন্তু এই উদাহরণে, একটি একক ক্লিকের মাধ্যমে, আক্রমণকারীর দ্বারা সেট করা একটি কাস্টম অর্থপ্রদানের পরিমাণ অনুমোদন করতে [আক্রমণ সাহায্য করে]।"
হাইজ্যাকিং ক্লিক
স্টেফানি বেনোইট-কার্টজ, ফিনিক্স বিশ্ববিদ্যালয়ের কলেজ অফ ইনফরমেশন সিস্টেমস অ্যান্ড টেকনোলজির প্রধান অনুষদ, যোগ করেছেন যে ক্লিকজ্যাকিং আক্রমণ শিকারদেরকে একটি লেনদেন সম্পূর্ণ করতে প্ররোচিত করে যা আরও বিভিন্ন কার্যক্রম শুরু করে৷
"ক্লিকের মাধ্যমে, ম্যালওয়্যার ইনস্টল করা হয়েছে, খারাপ অভিনেতারা স্থানীয় মেশিনে লগইন, পাসওয়ার্ড এবং অন্যান্য আইটেম সংগ্রহ করতে পারে এবং র্যানসমওয়্যার ডাউনলোড করতে পারে," বেনোইট-কার্টজ লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন।"ব্যক্তির ডিভাইসে সরঞ্জাম জমা করার বাইরে, এই দুর্বলতা খারাপ অভিনেতাদের পেপ্যাল অ্যাকাউন্ট থেকে অর্থ চুরি করার অনুমতি দেয়।"
হং স্ট্রিমিং ওয়েবসাইটগুলিতে পপআপ বন্ধ করা অসম্ভব সেই নতুন স্কুল পদ্ধতির সাথে ক্লিকজ্যাকিং আক্রমণের তুলনা করেছেন। কিন্তু বন্ধ করার জন্য X লুকানোর পরিবর্তে, তারা স্বাভাবিক, বৈধ ওয়েবসাইটগুলিকে অনুকরণ করতে পুরো জিনিসটি লুকিয়ে রাখে৷
"আক্রমণ ব্যবহারকারীকে বোকা বানিয়ে ভাবতে পারে যে তারা একটি জিনিসে ক্লিক করছে যখন বাস্তবে এটি সম্পূর্ণ ভিন্ন কিছু," হং ব্যাখ্যা করেছেন। "একটি ওয়েবপেজে একটি ক্লিক এলাকার উপরে একটি অস্বচ্ছ স্তর স্থাপন করার মাধ্যমে, ব্যবহারকারীরা নিজেদেরকে আক্রমণকারীর মালিকানাধীন যেকোন স্থানে যেতে খুঁজে পায়, কখনো না জেনে।"
আক্রমণের প্রযুক্তিগত বিশদটি দেখার পর, হং বলেছেন যে এটি একটি বৈধ পেপ্যাল টোকেন অপব্যবহার করে কাজ করে, যা একটি কম্পিউটার কী যা পেপ্যাল এক্সপ্রেস চেকআউটের মাধ্যমে স্বয়ংক্রিয় অর্থপ্রদানের পদ্ধতি অনুমোদন করে৷
আক্রমণটি একটি বৈধ সাইটে একটি বৈধ পণ্যের জন্য একটি বিজ্ঞাপনের উপরে শূন্যের অপাসিটি সেট সহ একটি আইফ্রেমের ভিতরে একটি লুকানো লিঙ্ক স্থাপন করে কাজ করে৷
"লুকানো স্তরটি আপনাকে আসল পণ্যের পৃষ্ঠার মতো মনে হতে পারে তা নির্দেশ করে, কিন্তু পরিবর্তে, আপনি ইতিমধ্যেই পেপ্যালে লগ ইন করেছেন কিনা তা পরীক্ষা করে দেখছে, এবং যদি তাই হয় তবে এটি সরাসরি [আপনার] PayPal অ্যাকাউন্ট, " শেয়ার করা হং।
আক্রমণটি ব্যবহারকারীকে বোকা বানিয়ে ভাবতে পারে যে তারা একটি জিনিস ক্লিক করছে যখন বাস্তবে এটি সম্পূর্ণ ভিন্ন কিছু।
তিনি যোগ করেছেন যে এক-ক্লিক প্রত্যাহার অনন্য, এবং অনুরূপ ক্লিকজ্যাকিং ব্যাঙ্ক জালিয়াতিতে সাধারণত একাধিক ক্লিকের মাধ্যমে ক্ষতিগ্রস্তদের তাদের ব্যাঙ্কের ওয়েবসাইট থেকে সরাসরি স্থানান্তর নিশ্চিত করতে প্রতারণা করা হয়।
খুব বেশি পরিশ্রম?
ইভান্তির প্রোডাক্ট ম্যানেজমেন্টের ভিপি ক্রিস গোয়েটল বলেছেন, সুবিধা হল এমন একটি জিনিস যা আক্রমণকারীরা সবসময় সুবিধা নিতে চায়৷
“পেপ্যালের মতো একটি পরিষেবা ব্যবহার করে এক-ক্লিক পে হল একটি সুবিধাজনক বৈশিষ্ট্য যা লোকেরা ব্যবহার করতে অভ্যস্ত হয়ে যায় এবং আক্রমণকারী দূষিত লিঙ্কটি ভালভাবে উপস্থাপন করলে অভিজ্ঞতায় কিছু কম হওয়ার সম্ভাবনা লক্ষ্য করবে না,” গোটল লাইফওয়্যারকে বলেছেন ইমেলের মাধ্যমে।
আমাদের এই কৌশলে পড়া থেকে বাঁচাতে, বেনোইট-কুর্টজ পরামর্শ দিয়েছেন সাধারণ জ্ঞান অনুসরণ করা এবং কোনো ধরনের পপআপ বা ওয়েবসাইটের লিঙ্কে ক্লিক না করা যেখানে আমরা বিশেষভাবে যাইনি, সেইসাথে মেসেজ এবং ইমেলে, যেটা আমরা শুরু করিনি।
"আশ্চর্যজনকভাবে, এই দুর্বলতাটি 2021 সালের অক্টোবরে রিপোর্ট করা হয়েছিল এবং আজ অবধি, একটি পরিচিত দুর্বলতা হিসাবে রয়ে গেছে," বেনোইট-কার্টজ উল্লেখ করেছেন৷
আমরা পেপ্যালকে গবেষকের অনুসন্ধানের বিষয়ে তাদের মতামত জানতে ইমেল করেছি কিন্তু কোনো প্রতিক্রিয়া পাইনি।
গোয়েটল, যাইহোক, ব্যাখ্যা করেছেন যে যদিও দুর্বলতা এখনও ঠিক নাও হতে পারে, এটি শোষণ করা সহজ নয়। কৌশলটি কাজ করার জন্য, আক্রমণকারীদের একটি বৈধ ওয়েবসাইটে প্রবেশ করতে হবে যা পেপ্যালের মাধ্যমে অর্থপ্রদান গ্রহণ করে এবং তারপরে লোকেদের ক্লিক করার জন্য ক্ষতিকারক সামগ্রী প্রবেশ করান৷
“সম্ভবত অল্প সময়ের মধ্যে এটি পাওয়া যাবে, তাই আক্রমণটি আবিষ্কৃত হওয়ার আগে কম লাভের জন্য এটি একটি উচ্চ প্রচেষ্টা হবে,” Goettl মতামত দেন।