Jak działa atak DoubleClickjacking?
Atak DoubleClickjacking to rozwinięcie tradycyjnych metod typu clickjacking, które polegają na manipulacji użytkownikami w celu wykonania ukrytych działań poprzez kliknięcia na złośliwe elementy stron. W nowym wariancie cyberprzestępcy wykorzystują czas i sekwencję podwójnego kliknięcia myszy, aby omijać istniejące zabezpieczenia przeglądarek, takie jak ograniczenia iframe czy blokady przekazywania plików cookie między domenami.
Scenariusz ataku zaczyna się od stworzenia przez napastnika strony internetowej z pozornie nieszkodliwym przyciskiem, zachęcającym do kliknięcia w celu uzyskania nagrody lub rozwiązania captchy. Po pierwszym kliknięciu na stronie pojawia się nowe okno z nakładką, które wymaga kolejnego działania, na przykład podwójnego kliknięcia, aby „odblokować” dostęp. W tle jednak strona manipuluje układem i prezentuje legalny przycisk z innej witryny, na przykład autoryzujący dostęp do konta lub akceptujący żądanie uwierzytelnienia wieloskładnikowego.
Drugi klik, który użytkownik wykonuje na nakładce, w rzeczywistości trafia na wcześniej ukryty, legalny przycisk w tle. W ten sposób ofiara nieświadomie autoryzuje działania, takie jak instalacja aplikacji, połączenie OAuth czy wykonanie transakcji kryptowalutowej.
Dlaczego DoubleClickjacking jest niebezpieczny?
W przeciwieństwie do tradycyjnych metod clickjacking, DoubleClickjacking nie wymaga użycia iframe ani manipulacji plikami cookie, co sprawia, że atak jest trudniejszy do wykrycia i skutecznie omija obecne mechanizmy obronne przeglądarek. Co więcej, działa on bezpośrednio w obrębie legalnych witryn internetowych, co utrudnia ich operatorom zidentyfikowanie problemu.
Ekspert ds. cyberbezpieczeństwa, Paulos Yibelo, zaprezentował dowody działania tej metody, pokazując, jak łatwo można przejąć konta na platformach takich jak Shopify, Slack czy Salesforce. Co istotne, atak ten może być również stosowany przeciwko rozszerzeniom przeglądarek oraz aplikacjom mobilnym. W przypadku urządzeń mobilnych wystarczy dwukrotne dotknięcie ekranu („DoubleTap”), aby uruchomić złośliwe działanie.
Przykłady wykorzystania obejmują autoryzację transakcji web3, wyłączanie VPN w celu ujawnienia adresu IP użytkownika czy manipulację kryptowalutowymi portfelami przeglądarkowymi. Skala potencjalnych zagrożeń jest zatem ogromna, a użytkownicy wszystkich urządzeń powinni zachować szczególną ostrożność.
Jak można się chronić?
Ochrona przed atakami typu DoubleClickjacking wymaga zarówno działań technicznych, jak i zwiększonej świadomości użytkowników. Yibelo opracował narzędzie w postaci skryptu JavaScript, który można wdrożyć na stronach internetowych. Skrypt ten dezaktywuje wrażliwe przyciski na stronach, dopóki użytkownik nie wykona dodatkowego gestu, co uniemożliwia przeprowadzenie ataku.
Ekspert zasugerował także stworzenie nowego nagłówka HTTP, który ogranicza możliwość szybkiego przełączania kontekstu między oknami w trakcie podwójnych kliknięć. Wdrożenie takiego rozwiązania mogłoby znacząco utrudnić cyberprzestępcom przeprowadzanie ataków.
Wnioski i ostrzeżenia
DoubleClickjacking to kolejny dowód na to, jak kreatywni stają się cyberprzestępcy w omijaniu zabezpieczeń. Ataki tego typu mogą mieć poważne konsekwencje dla użytkowników indywidualnych oraz firm, które mogą stracić dostęp do danych, kont czy poufnych informacji. Każdy użytkownik powinien być ostrożny podczas klikania przycisków na stronach internetowych, szczególnie w przypadku stron zachęcających do podejmowania działań w zamian za nagrody.
W obliczu takich zagrożeń istotne jest, aby operatorzy stron internetowych i dostawcy technologii nieustannie rozwijali swoje zabezpieczenia. Jednocześnie użytkownicy muszą być świadomi, że nawet proste kliknięcie może stać się narzędziem w rękach cyberprzestępców.
