- Onderzoeker Paulos Yibelo ontdekt nieuwe aanval gericht op gebruikers
- De aanval maakt gebruik van valse CAPTCHA-meldingspagina’s
- Gebruikers worden aangemoedigd om te ‚dubbelklikken‘ terwijl de aanvaller een kwaadaardige pagina inschakelt
Een nieuwe techniek helpt aanvallers gebruikersaccounts te stelen, vaak zonder dat het slachtoffer het merkt, waarschuwen experts.
De aanval, genaamd ‚DoubleClickjacking‘, werd onthuld door beveiligingsonderzoeker en bugjager Paulos Yibeloen is een evolutie van gevestigde ‚Clickjacking‘-tactieken, die al meer dan tien jaar bestaan.
Sinds moderne browsers het risico op clickjacking hebben verkleind door niet langer cross-site cookies te verzenden, zijn hacks met één klik minder gebruikelijk geworden voor hackers. Bedreigingsactoren hebben hun spel opgevoerd door een tweede klik toe te voegen.
Handigheid
De techniek werkt door gebruikers aan te moedigen te ‚dubbelklikken‘, namelijk door zich voor te doen als ‚CAPTCHA‘-meldingen en met een dubbelklik om verificatie te vragen.
Zonder dat het slachtoffer het weet, wordt het kleine gat tussen de eerste en de tweede klik echter tegen hen misbruikt, omdat de aanvaller een nieuw venster heeft geopend, meestal de ‚captcha-meldingspagina‘, die vervolgens wordt verwisseld voor een kwaadaardige site in de tweede tussen de eerste en tweede klik, in een ‚goocheltruc‘.
Het gevaar van deze aanval is vrij duidelijk, omdat de meeste verdedigingsmechanismen niet zijn ontworpen om dubbelklikken aan te kunnen – en beveiligingen in Web Apps en frameworks worden omzeild. De techniek kan ook worden gebruikt op mobiele sites, waarbij doelen worden gevraagd te ‚dubbeltappen‘.
DoubleClickjacking kan worden gebruikt om API- en OAuth-rechten te verkrijgen voor veel grote sites, en is volgens de onderzoeker ‚extreem wijdverbreid‘. Dit kan tot ernstige gevolgen voor het slachtoffer leiden, vooral omdat er zo weinig gebruikersinteractie voor nodig is.
“DoubleClickjacking is een goocheltruc met een bekende aanvalsklasse. Door gebruik te maken van de gebeurtenistiming tussen klikken, kunnen aanvallers in een oogwenk goedaardige UI-elementen naadloos vervangen door gevoelige elementen”, aldus Yibelo.
