Podwójne oszustwo. Nawet nie wiesz, że potwierdzasz tożsamość

DoubleClickjacking może generować istotne zagrożenie. Jak donosi Bitdefender, tego rodzaju ataki zostały zidentyfikowane przez badacza Paulosa Yibelo. Może ono posłużyć do autoryzacji aplikacji OAuth, potwierdzenia monitów uwierzytelniania wieloskładnikowego czy nawet instalowania rozszerzeń w przeglądarce internetowej bez wiedzy użytkownika.

Klasyczny clickjacking zazwyczaj polega na ukrytych "iframes", które pozwalają na manipulowanie kliknięciami użytkowników. Podwójny clickjacking wykorzystuje unikalny mechanizm, który omija zabezpieczenia związane z ramkami iframe. Zamiast tego koncentrują się na mieszance czasu i interakcji użytkownika.

Dalsza część artykułu pod materiałem wideo

Typowy DoubleClickjacking obejmuje kilka elementów. Pierwszym z nich jest przynęta. Ofiara trafia na złośliwą stronę internetową, gdzie znajduje się przycisk z "przynętą". Na przykład komunikat o nagrodzie do odbioru.

Metoda ta jest oszustwem wielowarstwowym. Kliknięcie przycisku wyświetla na ekranie ofiary nowe okno nakładki, które zachęca do wykonania danej czynności, na przykład rozwiązania captcha.

Kolejny element określono jako "przynęta i podmiana". W tle JavaScript dynamicznie podmienia podstawową stronę na legalną witrynę, dopasowując przyciski lub łącza do kursora ofiary. Drugie kliknięcie ofiary powoduje wyświetlenie wrażliwego przycisku, który uruchamia działanie takie jak udzielenie uprawnień lub autoryzowane transakcji.

Jak podaje Bitdefender, metody ochrony przed clickjackingiem nie znajdują zastosowania w podwójnym clickjackingu, ponieważ obejmuje on bezpośrednią interakcję użytkownika z legalnymi witrynami. Tego rodzaju atak może służyć do atakowania nie tylko stron internetowych, ale i rozszerzeń przeglądarek i smartfonów.

- Na przykład stworzyłem dowody koncepcji dla najlepszych portfeli kryptowalutowych przeglądarek, które wykorzystują tę technikę do autoryzacji transakcji web3 i dApps lub wyłączania VPN w celu ujawnienia IP itp. Można to również zrobić w telefonach komórkowych, prosząc cel o "DoubleTap" – mówi Paulos Yibelo.

Zdaniem Yibelo z zagrożeniem można walczyć na kilka sposobów, np. przez wdrażanie odpowiednich skryptów JavaScript oraz nagłówków http, które ograniczą szybkie przełączanie kontekstu między oknami przeglądarki podczas sekwencji dwukrotnego kliknięcia.