DoubleClickjacking: Nova tehnika napada ugrožava onlajn naloge

Vesti, 09.01.2025, 13:00 PM

DoubleClickjacking: Nova tehnika napada ugrožava onlajn naloge

Stručnjak za sajber bezbednost Paulos Jibelo pokazao je novu tehniku napada koja bi mogla značajno ugroziti bezbednost onlajn naloga. Reč je o napadu nazvanom „DoubleClickjacking“, koji koristi dvostruke klikove korisnika kako bi se zaobišli bezbednosni mehanizmi.

Rizici povezani sa DoubleClickjackingom potiču od toga kako obmanjuje korisnike da izvrše osetljive radnje, kao što su autorizacija OAuth aplikacija, potvrda upita za višefaktorsku autentifikaciju (MFA) ili čak instaliranje ekstenzija za veb pregledač.

Tradicionalni Clickjacking napadi koji su prisutni duže od jedne decenije, obično se oslanjaju na skrivene iframe-ove da bi manipulisali klikovima korisnika. To znači da zlonamerni veb sajtovi mogu da prevare korisnike da kliknu na skrivenu dugmad na koju nisu nameravali da kliknu.

Međutim, DoubleClickjacking koristi jedinstveni mehanizam koji zaobilazi zaštitu vezanu za iframe, fokusirajući se umesto toga na mešavinu vremena i interakcije korisnika.

Kako funkcioniše DoubleClickjacking?

Tipičan DoubleClickjacking napad uključuje sledeće:

Mamac: Žrtva dolazi na zlonamernu veb stranicu na kojoj se nalazi dugme sa primamljivim mamcem, kao što je „Kliknite ovde za svoju nagradu“;

Višeslojna obmana: Klikom na dugme otvara se novi prozor za prekrivanje na ekranu žrtve, podstičući je da izvrši naizgled bezopasnu radnju kao što je rešavanje captcha;

U pozadini, JavaScript dinamički menja osnovnu stranicu u legitimni veb sajt, poravnavajući tastere ili linkove sa kursorom žrtve;

Eksploatacija: drugi klik žrtve je na sada vidljivo osetljivo dugme, što pokreće radnje kao što su davanje dozvola ili autorizacija transakcija;

Ova manipulacija zaobilazi tradicionalne odbrane od clickjackinga. Pošto eksploatacija uključuje direktnu interakciju korisnika sa legitimnim sajtovima, ona efikasno zaobilazi zaštitu kolačića i ograničenja zahteva sa više sajtova.

Da stvar bude još gora, napad nije ograničen na računare ili veb sajtove već može uticati i na ekstenzije pregledača i mobilne telefone.

Nažalost, trenutna odbrana je slaba. Eksploatacijama zasnovanim na vremenu i dalje nedostaju čvrsti odbrambeni mehanizmi iako je Jibelo predložio nekoliko proaktivnih mera koje mogu da se suprotstave ovoj novoj pretnji, uključujući JavaScript zaštitu, odnosno implementaciju skripti za onemogućavanje osetljivih dugmadi dok se ne otkriju eksplicitni pokreti korisnika, kao što su pokreti miša, čime bi se smanjila verovatnoća nenamernih klikova na osetljive elemente.

Foto: Pixabay


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

OBAVEŠTENJE

OBAVEŠTENJE

Dragi čitaoci, U petak, 24. januara, Informacija.rs se pridružuje generalnom štrajku i neće biti novih tekstova na sajtu. Nastavljamo u ponedeljak... Dalje

Firme koje ransomware bandama plate otkupninu, retko kada vrate svoje podatke

Firme koje ransomware bandama plate otkupninu, retko kada vrate svoje podatke

Istraživanje kompanije Hiscox otkrilo je da kada je reč o napadima ransomwarea, manje od 10% kompanija koje su platile napadačima, uspelo je da pov... Dalje

Tramp pomilovao poznatog sajber kriminalca Rosa Ulbrihta, vlasnika čuvenog sajta Silk Road

Tramp pomilovao poznatog sajber kriminalca Rosa Ulbrihta, vlasnika čuvenog sajta Silk Road

Američki predsednik Donald Tramp održao je reč i pomilovao poznatog sajber kriminalca Rosa Ulbrihta, koji je ranije osuđen na doživotni zatvor. P... Dalje

Malveri Redline, Vidar i Raccoon Stealer samo prošle godine ukrali milijardu lozinki

Malveri Redline, Vidar i Raccoon Stealer samo prošle godine ukrali milijardu lozinki

Prema izveštaju Specops Softwarea, samo prošle godine malveri su ukrali više od milijardu lozinki uprkos tome što 230 miliona ukradenih lozinki is... Dalje

Ruski hakeri koriste WhatsApp za napade na diplomate

Ruski hakeri koriste WhatsApp za napade na diplomate

Microsoftovi stručnjaci za bezbednost otkrili su novu kampanju fišinga hakera koje podržava ruska država a koja je usmerena protiv visokih diploma... Dalje