Lỗ hổng bảo mật khiến người dùng PayPal bị cướp tiền - Ảnh: The Hacker News

Lỗi này cho phép tin tặc đánh cắp thông tin đăng nhập của người dùng, thậm chí cả các chi tiết thẻ tín dụng.

PayPal là một dịch vụ thanh toán trực tuyến an toàn nổi tiếng toàn cầu cho phép người dùng thanh toán các mua sắm trên các trang mạng. PayPal cho phép người dùng thanh toán bằng thẻ thanh toán hoặc tài khoản PayPal mà không cần phải lưu trữ các thông tin thanh toán nhạy cảm.

Thế nhưng với lỗ hổng bảo mật này, kẻ tấn công có thể tạo ra một trang bán hàng trực tuyến giả mạo hoặc xâm nhập trực tiếp vào các trang này để lừa lấy các thông tin cá nhân và thông tin tín dụng của người dùng.

Chuyên gia Ebrahim Hegazy - người phát hiện lỗ hổng bảo mật của PayPal - đã đưa ra một kịch bản tấn công mà người dùng có thể gặp phải. Cụ thể, kẻ tấn công sẽ tiến hành thay đổi nút "Thanh toán" (Check out) bằng cách chèn đường dẫn được thiết kế nhằm khai thác lỗ hỗng sau khi đã tạo ra một trang mua sắm trực tuyến giả mạo hoặc xâm nhập bất kỳ trang mua sắm hợp pháp nào.

Khi bẫy đã được giăng ra, người dùng bấm vào nút “Thanh toán” để thực hiện thanh toán với tài khoản PayPal lập tức sẽ bị chuyển hướng truy cập đến trang “thanh toán an toàn”. Thực chất đây là một trang giả mạo với yêu cầu người dùng phải nhập các thông tin tín dụng để hoàn tất việc mua sắm.

Sau khi nhập các thông tin thanh toán, người dùng nào nhấn vào nút "Chấp nhận thanh toán" sẽ chuyển số tiền đến tay kẻ tấn công thay vì thanh toán món hàng đã mua.