Netcraft ha segnalato nel weekend un grave problema per gli utenti in possesso di un account PayPal. Un grave exploit sarebbe infatti in circolazione e sarebbe tale da convincere con buona efficacia un utente a fornire i propri dati di accesso su un sito esterno al controllo PayPal. L’utente non può accorgersi di nulla. Il gruppo PayPal è stato informato ed il provider ospitante il sito incriminato è stato sollecitato a chiudere i rubinetti al server. Il problema è stato risolto, anche se è al momento ancora impossibile capire quanti utenti possano essere rimasti vittime della truffa.
Per l’utente il tutto inizia con un tradizionale pagamento. Certificati, url, genuinità, tutto garantito ed apparentemente regolare. Ad un certo punto però giunge una comunicazione inaspettata: il sistema indica che un altro utente è loggato con gli stessi riferimenti. A questo punto è implicito il fatto che i dati dell’utente sarebbero stati rubati ed il consiglio apportato è quello di cliccare per vedere come risolvere il problema. Al click l’utente viene indirizzato su un server esterno (pur senza avere motivo di sospettare) e vengono richiesti gli estremi di autenticazione PayPal.
Secondo Exploit, infatti, «l’attacco viene lanciato direttamente dalla pagina di Paypal tramite una URL Injection, facendo credere all’utente che la trasmissione dei dati è protetta dal protocollo di crittazione SSL, visualizzando il classico lucchetto di connessione sicura nella barra inferiore del browser e mostrando nella pagina un messaggio di errore con un avviso di redirezione verso il Centro Risoluzioni per sbloccare il proprio account che risulta in uso da terze parti […]. Tutto ciò è possibile grazie ad un bug del tipo XSS presente nel sito Paypal, l’url iniettata permette di modificare il contenuto della pagina originale e predisporlo per il redirect verso un server esterno». Una volta forniti i dati di autenticazione, il conto è a disposizione dei malintenzionati che hanno messo a punto la truffa.
Il problema è venuto a galla nel momento più sbagliato per PayPal: a breve Google lancerà il proprio sistema GBuy (in qualche modo avverso al sistema di pagamenti di eBay) e l’alleggerimento della fiducia degli utenti nei confronti dell’impeccabile PayPal costituisce una ideale rampa di lancio per ogni tipo di concorrenza.