Исследование выявляет новый метод атаки на пользователей
Новый метод помогает злоумышленникам похищать учетные записи пользователей, часто оставаясь незамеченными жертвой. Этот метод получил название «DoubleClickjacking» и был раскрыт исследователем безопасности Паулосом Йибело. Эта атака является развитием известной тактики «Clickjacking», которая существует уже более десяти лет.
Ловкость рук
Современные браузеры снизили риск атак типа «clickjacking» благодаря отмене передачи межсайтовых cookies, поэтому единственные клики стали менее эффективными для хакеров. Злоумышленники усовершенствовали свои действия, добавив второй клик. Новый метод работает путем побуждения пользователей к двойному клику с использованием фальшивых уведомлений CAPTCHA, предлагающих выполнить проверку данным действием.
При этом, между первым и вторым кликом злоумышленники используют паузу, чтобы заменить страницу на вредоносный сайт. Таким образом, уведомление CAPTCHA фактически замещается опасной страницей в считанные секунды. Эта техника представляет серьезную угрозу, поскольку большинство защитных мер не рассчитаны на двойной клик, и защита в веб-приложениях и фреймворках обходится. Метод может применяться и на мобильных устройствах, предлагая выполнить «двойное нажатие».
Потенциальные последствия
DoubleClickjacking позволяет получить разрешения API и OAuth для множества крупных сайтов. Опасность также заключается в том, что атака требует минимального взаимодействия со стороны пользователя. Метод считается крайне распространенным, что может привести к серьезным последствиям для жертвы.
Паулос Йибело отмечает, что «DoubleClickjacking» представляет собой ловкость рук вокруг известного класса атак. Используя момент между кликами, злоумышленники мгновенно заменяют безобидные элементы интерфейса на чувствительные, обеспечивая себе доступ к пользовательским данным.
Источник: TechRadar