- El investigador Paulos Yibelo revela un nuevo ataque dirigido a usuarios
- El ataque utiliza páginas de notificación CAPTCHA falsas
- Se anima a los usuarios a hacer “doble clic” mientras el atacante navega por una página maliciosa.
Los expertos han advertido que existe una nueva tecnología que ayuda a los atacantes a robar cuentas de usuarios, muchas veces sin que la víctima se dé cuenta.
El ataque, denominado “DoubleClickjacking”, fue descubierto por un investigador de seguridad y cazador de errores. Pablo Yeevilque es una evolución de tácticas bien establecidas de “Clickjacking”, que existen desde hace más de una década.
A medida que los navegadores modernos han mitigado el riesgo de robo de clics al dejar de enviar cookies entre sitios, el secuestro con un solo clic se ha vuelto menos común para los piratas informáticos. Los actores de amenazas han mejorado su juego al agregar un segundo clic.
Prestidigitación
Esta tecnología funciona incentivando a los usuarios a hacer “doble clic”, es decir, apareciendo como notificaciones “CAPTCHA”, y solicitando verificación mediante doble clic.
Sin embargo, sin que la víctima lo sepa, la pequeña brecha entre el primer y el segundo clic se está explotando en su contra, y el atacante abre una nueva ventana, generalmente una página de “notificaciones captcha”, que luego es reemplazada por un sitio web malicioso en la segunda ventana. el primer y segundo clic, en un “truco de mecanografía”.
El peligro de este ataque es muy claro, ya que la mayoría de las defensas no están diseñadas para soportar el doble clic, y se eluden las protecciones en las aplicaciones y marcos web. Esta técnica también se puede utilizar en sitios móviles, donde se solicita a los objetivos que “toquen dos veces”.
DoubleClickjacking se puede utilizar para obtener permisos API y OAuth para muchos sitios importantes y, según el investigador, está “extremadamente extendido”. Esto puede tener graves consecuencias para la víctima, especialmente porque requiere una interacción mínima del usuario.
“DoubleClickjacking es un juego de manos en una clase de ataque bien conocida. Al explotar el tiempo de eventos entre clics, los atacantes pueden reemplazar fácilmente elementos benignos de la interfaz de usuario por otros sensibles en un abrir y cerrar de ojos.