Naujas paspaudimų užgrobimo atakų variantas, vadinamas „DoubleClickjacking“, leidžia užpuolikams apgauti vartotojus, kad šie dukart spustelėdami leisti atlikti slaptus veiksmus, apeinant esamas apsaugos priemones nuo tokio tipo atakų.
Paspaudimų užgrobimas, taip pat žinomas kaip vartotojo sąsajos taisymas, yra tada, kai grėsmės veikėjai sukuria kenkėjiškus tinklalapius, kurie apgaudinėja lankytojus spustelėti paslėptus arba užmaskuotus tinklalapio elementus.
Atakos veikia uždengiant teisėtą tinklalapį paslėptame iframe virš užpuolikų sukurto tinklalapio. Šis užpuoliko sukurtas tinklalapis sukurtas taip, kad jo mygtukai ir nuorodos būtų suderinti su nuorodomis ir mygtukais paslėptame „iframe“.
Tada užpuolikai naudoja savo tinklalapį, norėdami suvilioti vartotoją spustelėti nuorodą arba mygtuką, pavyzdžiui, laimėti atlygį arba peržiūrėti mielą nuotrauką.
Tačiau spustelėdami puslapį jie iš tikrųjų spusteli nuorodas ir mygtukus paslėptame „iframe“ (teisėtoje svetainėje), kurie gali atlikti kenkėjiškus veiksmus, pvz., įgalioti „OAuth“ programą prisijungti prie jų paskyros arba priimti MFA užklausą. .
Bėgant metams žiniatinklio naršyklių kūrėjai pristatė naujas funkcijas, kurios užkerta kelią daugumai šių atakų, pvz., neleidžia slapukų siųsti keliose svetainėse arba įvedė saugumo apribojimus (X-Frame-Options arba rėmo protėvius) dėl to, ar svetainės gali būti įrėmintos į rėmelį.
Nauja „DoubleClickjacking“ ataka
Kibernetinio saugumo ekspertas Paulosas Yibelo pristatė naują žiniatinklio ataką, pavadintą „DoubleClickjacking“, kuri išnaudoja pelės dvigubo paspaudimo laiką, kad apgautų vartotojus, kad jie atliktų neskelbtinus veiksmus svetainėse.
Pagal šį išpuolio scenarijų grėsmės veikėjas sukurs svetainę, kurioje bus rodomas iš pažiūros nekenksmingas mygtukas su viliojimu, pvz., „spustelėkite čia“, kad peržiūrėtumėte atlygį arba pažiūrėtumėte filmą.
Lankytojui spustelėjus mygtuką, bus sukurtas naujas langas, kuris uždengs pradinį puslapį ir įtrauks kitą priviliojimą, pavyzdžiui, norint tęsti, reikia išspręsti captcha. Fone „JavaScript“ pradiniame puslapyje pakeis tą puslapį į teisėtą svetainę, kurioje užpuolikai nori priversti vartotoją atlikti veiksmą.
Captcha naujame, uždengtame lange, ragina lankytoją dukart spustelėti ką nors puslapyje, kad išspręstų captcha. Tačiau šis puslapis klauso pelės nuleidimo įvykio ir, kai aptinkamas, greitai uždaro captcha perdangą, todėl antrasis spustelėjimas nukreipiamas ant dabar rodomo prieigos teisės mygtuko arba nuorodos anksčiau paslėptame teisėtame puslapyje.
Dėl to vartotojas per klaidą spustelėja atvirą mygtuką ir gali būti įgaliotas įdiegti papildinį, OAuth programą prisijungti prie paskyros arba patvirtinti kelių veiksnių autentifikavimo raginimą.
Šaltinis: Yibelo
Tai daro tokį pavojingą, kad apeina visas dabartines apsaugos nuo paspaudimų užgrobimo priemones, nes nenaudojamas iframe, jis nebando perduoti slapukų kitam domenui. Vietoj to, veiksmai atliekami tiesiogiai teisėtose svetainėse, kurios nėra apsaugotos.
Yibelo teigia, kad ši ataka paveikia beveik visas svetaines, dalijasi demonstraciniais vaizdo įrašais, naudojant „DoubleClickjacking“, kad perimtų „Shopify“, „Slack“ ir „Salesforce“ paskyras.
Tyrėjas taip pat perspėja, kad ataka neapsiriboja tinklalapiais, nes ji gali būti naudojama ir naršyklės plėtiniams.
„Pavyzdžiui, pateikiau pagrindinių naršyklių kriptovaliutų piniginių koncepcijų įrodymą, kuri naudoja šią techniką žiniatinklio 3 operacijoms ir dApps autorizuoti arba VPN išjungimui, kad atskleistų IP ir pan.“, – aiškina Yibelo.
„Tai taip pat galima padaryti mobiliuosiuose telefonuose, paprašius taikinio „DoubleTap“.
Siekdama apsisaugoti nuo tokio tipo atakų, „Yibello“ bendrino „JavaScript“, kurią buvo galima pridėti prie tinklalapių, kad būtų išjungti jautrūs mygtukai, kol bus atliktas gestas. Tai neleis dukart spustelėjus automatiškai spustelėti prieigos mygtuką, kai pašalinama užpuoliko perdanga.
Tyrėjas taip pat siūlo galimą HTTP antraštę, kuri riboja arba blokuoja greitą konteksto perjungimą tarp langų dukart spustelėjus seką.
