حمله دابل-کلیکجکینگ؛ سرقت حسابهای کاربری با دو کلیک
فاصله زمانی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور تصادفی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیکجکینگ» میتواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وبسایتهای بزرگ، انجام تغییرات حساب کاربری با یک کلیک، مانند […]
فاصله زمانی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور تصادفی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیکجکینگ» میتواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وبسایتهای بزرگ، انجام تغییرات حساب کاربری با یک کلیک، مانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا تأیید تراکنشها و غیره استفاده شود
به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به اصطلاح «کلیکجکینگ» را فاش کرده است. این حملات کاربران را فریب میدهند تا روی دکمههای پنهان یا مبدل شدهای که هرگز قصد کلیک کردن روی آنها را نداشتهاند، کلیک کنند. حملات تککلیکی برای مهاجمان کمکاربردتر شدهاند، زیرا مرورگرهای مدرن دیگر کوکیهای بین سایتی ارسال نمیکنند. برای دور زدن این محدودیت، هکرها حملهی کلیکجکینگ را با تغییری جدید بهروز کردهاند: معرفی کلیک دوم.
ییبلو در یک پست وبلاگی اظهار داشت که اگرچه ممکن است این تغییر کوچک به نظر برسد، اما دری را به روی حملات جدید دستکاری رابط کاربری باز میکند که از تمام محافظتهای شناخته شدهی کلیکجکینگ عبور میکند. برای کاربران، سایت فیشینگ به عنوان یک اعلان معمولی «کپچا» ظاهر میشود و از کاربر میخواهد با دوبار کلیک روی یک دکمه، تأیید کند که انسان است. در پسِ آن، هکرها قابلیتی را اضافه میکنند که یک صفحهی حساس، مانند تأییدیهی مجوز OAuth، را در پسزمینه بارگذاری میکند. هنگامی که کاربر دوبار کلیک میکند، اولین کلیک پنجرهی بالایی را میبندد و صفحهی حساس را آشکار میکند. سپس کلیک دوم ماوس روی صفحهی حساس قرار میگیرد و مجوز را تأیید میکند، اجازه دسترسی میدهد یا هر عمل دیگری را کامل میکند.
سرعت کلیک بر این حمله تأثیری ندارد، زیرا هکرها از کنترلکنندههای رویداد mousedown استفاده میکنند. این محقق بیان کرد که سایت مخرب میتواند به سرعت یک پنجرهی حساستر را از همان جلسهی مرورگر (به عنوان مثال، یک درخواست مجوز OAuth) جایگزین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد روشهای زیادی برای انجام این جابجایی وجود دارد و مطمئنترین و روانترین روشی که او پیدا کرده استفاده از window.open.location است.
این تکنیک جدید همچنین میتواند برای حمله به افزونههای مرورگر استفاده شود. این محقق همچنین یک کد اثبات مفهوم و نمونههایی را به اشتراک گذاشت که مهاجمان میتوانند از آنها برای به دست گرفتن حسابهای اسلک، شاپیفای و سیلزفورس استفاده کنند.
وبسایتها میتوانند با غیرفعال کردن پیشفرض دکمههای حیاتی، میزان قرار گرفتن در معرض خطر را محدود کنند، مگر اینکه یک حرکت آغاز شده توسط کاربر قبلی، مانند حرکت ماوس یا استفاده از صفحه کلید، قبل از فعال شدن این دکمهها شناسایی شود. راهحلهای بلندمدت نیازمند بهروزرسانی مرورگرها و استانداردهای جدید برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد بود. ییبلو پیشنهاد میکند که هر صفحهای که تأیید دامنهی OAuth، تأیید پرداخت یا سایر اقدامات با امتیاز بالا را انجام میدهد، باید تا زمانی که مرورگرها راهحلهایی ارائه دهند، اسکریپت دفاعی را شامل شود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.
| پیشنهاد ویژه : تعمیر کامپیوتر تهران |
|
پیشنهاد ویژه |
ارسال دیدگاه
مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : ۰