Pratite nas preko RSS-aDoubleClickjacking: Nova tehnika napada ugrožava onlajn naloge
Vesti, 09.01.2025, 13:00 PM
.jpg)
Stručnjak za sajber bezbednost Paulos Jibelo pokazao je novu tehniku napada koja bi mogla značajno ugroziti bezbednost onlajn naloga. Reč je o napadu nazvanom „DoubleClickjacking“, koji koristi dvostruke klikove korisnika kako bi se zaobišli bezbednosni mehanizmi.
Rizici povezani sa DoubleClickjackingom potiču od toga kako obmanjuje korisnike da izvrše osetljive radnje, kao što su autorizacija OAuth aplikacija, potvrda upita za višefaktorsku autentifikaciju (MFA) ili čak instaliranje ekstenzija za veb pregledač.
Tradicionalni Clickjacking napadi koji su prisutni duže od jedne decenije, obično se oslanjaju na skrivene iframe-ove da bi manipulisali klikovima korisnika. To znači da zlonamerni veb sajtovi mogu da prevare korisnike da kliknu na skrivenu dugmad na koju nisu nameravali da kliknu.
Međutim, DoubleClickjacking koristi jedinstveni mehanizam koji zaobilazi zaštitu vezanu za iframe, fokusirajući se umesto toga na mešavinu vremena i interakcije korisnika.
Kako funkcioniše DoubleClickjacking?
Tipičan DoubleClickjacking napad uključuje sledeće:
Mamac: Žrtva dolazi na zlonamernu veb stranicu na kojoj se nalazi dugme sa primamljivim mamcem, kao što je „Kliknite ovde za svoju nagradu“;
Višeslojna obmana: Klikom na dugme otvara se novi prozor za prekrivanje na ekranu žrtve, podstičući je da izvrši naizgled bezopasnu radnju kao što je rešavanje captcha;
U pozadini, JavaScript dinamički menja osnovnu stranicu u legitimni veb sajt, poravnavajući tastere ili linkove sa kursorom žrtve;
Eksploatacija: drugi klik žrtve je na sada vidljivo osetljivo dugme, što pokreće radnje kao što su davanje dozvola ili autorizacija transakcija;
Ova manipulacija zaobilazi tradicionalne odbrane od clickjackinga. Pošto eksploatacija uključuje direktnu interakciju korisnika sa legitimnim sajtovima, ona efikasno zaobilazi zaštitu kolačića i ograničenja zahteva sa više sajtova.
Da stvar bude još gora, napad nije ograničen na računare ili veb sajtove već može uticati i na ekstenzije pregledača i mobilne telefone.
Nažalost, trenutna odbrana je slaba. Eksploatacijama zasnovanim na vremenu i dalje nedostaju čvrsti odbrambeni mehanizmi iako je Jibelo predložio nekoliko proaktivnih mera koje mogu da se suprotstave ovoj novoj pretnji, uključujući JavaScript zaštitu, odnosno implementaciju skripti za onemogućavanje osetljivih dugmadi dok se ne otkriju eksplicitni pokreti korisnika, kao što su pokreti miša, čime bi se smanjila verovatnoća nenamernih klikova na osetljive elemente.
Foto: Pixabay
Izdvojeno
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Nova tužba protiv OpenAI: ChatGPT deli korisničke podatke sa Googleom i Metom?
Protiv kompanije OpenAI podneta je nova kolektivna tužba u kojoj se tvrdi da ChatGPT deli korisničke upite, email adrese i identifikatore korisnika ... Dalje
Pratite nas
Nagrade
Prijatelji
