Специалисты по кибербезопасности обнаружили новый класс уязвимостей, при котором злоумышленники используют отрезок между первым и вторым кликом пользователя для угона аккаунта. Новая мошенническая технология double clickjacking позволяет обходить традиционные механизмы киберзащиты.
В чем суть
Ранее мы рассказывали, что мошенники применяют кликджекинг на страницах сайтов для обмана пользователей и рекламодателей. Когда посетитель сайта нажимает, например, на кнопку «Пропустить» или «X» на рекламном баннере, вместо ожидаемого сворачивания рекламы происходит перенаправление пользователя на посадочную страницу.
На этот раз кибермошенники пошли еще дальше. Вместо злоупотребления одним кликом теперь они запускают цепочку вредоносных действий через два последовательных клика. Эксперты считают, что эта технология открывает двери для новых атак и манипуляций с плейсментом в интерфейсе пользователя.
Double Clickjacking — это вариация стандартной технологии, которая использует промежуток между началом первого клика и окончанием второго клика. Таким образом злоумышленники обходят средства кибербезопасности и угоняют учетные записи пользователей с минимальным взаимодействием.
Как работает кликджекинг, инициируемый между двумя кликами
В классическом кликджекинге злоумышленники помещают вредоносный iframe под видимыми элементами страницы, чтобы обманом заставить пользователя кликать по скрытым кнопкам или ссылкам. В Double Clickjacking атака строится иначе:
- Пользователь попадает на сайт, контролируемый злоумышленниками. Нажимает на какую-нибудь безобидную кнопку (например, «Перейти»).
- По клику открывается новое окно с какой-нибудь капчей, которая требует двойного клика для прохождения.
- Первый клик регистрируется скриптом, который тут же закрывает наложенное окно и скрытно перенаправляет пользователя на вредоносную страницу или открывает новое окно (например, с авторизацией OAuth).
- Второй клик попадает на элементы управления, скрытые под тем же окном (легитимная страница, изменённая в фоновом режиме).
В результате второй клик активирует критически важное действие: авторизацию OAuth-приложений, подтверждение запросов двухфакторной аутентификации, установку вредоносных расширений, выполнение web3-транзакций и др.
Преимущество Double Clickjacking заключается в том, что он не использует iframe и передачу cookie между доменами, что позволяет обходить современные браузерные защиты, такие как X-Frame-Options и ограничения на кроссдоменные фреймы. Атака действует на легитимных сайтах и расширениях браузеров, делая её особенно опасной.
Владельцы сайтов могут устранить такой класс уязвимостей, прибегая к фокусу на пользовательском поведении и взаимодействии с сайтом. Например, по умолчанию не показывать значимые функциональные кнопки до тех пор, пока система не зафиксирует движение курсора мыши или нажатие клавиш.
Данная технология эффективна потому, что оба сайта (мошеннический и атакуемый с авторизацией) позволяют потенциальному злоумышленнику создать приложение OAuth с широкими возможностями доступа к API, и они оба устанавливают значение «ID» для кнопки «Разрешить/авторизовать», которая используется для авторизации приложения в учетной записи жертвы.
Для защиты от кликджекинга по двойному клику эксперты советуют внедрять такие методы, как X-Frame-Options, или устанавливать запрет на передачу cookie между сайтами.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
