"Double Clickjacking" aprovecha los dobles clics para secuestrar cuentas

Iniciado por AXCESS, Enero 03, 2025, 07:53:45 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 03, 2025, 07:53:45 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva variante de los ataques de clickjacking llamada "DoubleClickjacking" permite a los atacantes engañar a los usuarios para que autoricen acciones confidenciales mediante doble clic, mientras que eluden las protecciones existentes contra este tipo de ataques.

El clickjacking, también conocido como UI redressing, es cuando los actores de amenazas crean páginas web maliciosas que engañan a los visitantes para que hagan clic en elementos ocultos o disfrazados de la página web.

Los ataques funcionan superponiendo una página web legítima en un iframe oculto sobre una página web creada por los atacantes. Esta página web creada por el atacante está diseñada para alinear sus botones y enlaces con los enlaces y botones del iframe oculto.

Los atacantes utilizan su página web para incitar a un usuario a hacer clic en un enlace o botón, por ejemplo, para ganar un premio o ver una bonita imagen.

Sin embargo, cuando hacen clic en la página, en realidad hacen clic en enlaces y botones del iframe oculto (en el sitio legítimo), que podría realizar acciones maliciosas, como autorizar a una aplicación OAuth a conectarse a su cuenta o aceptar una solicitud de MFA.

A lo largo de los años, los desarrolladores de navegadores web han introducido nuevas funciones que evitan la mayoría de estos ataques, como no permitir el envío de cookies entre sitios o introducir restricciones de seguridad (X-Frame-Options o frame-ancestors) sobre si los sitios pueden incluir iframes.

Nuevo ataque DoubleClickjacking

El experto en ciberseguridad Paulos Yibelo ha presentado un nuevo ataque web llamado DoubleClickjacking que explota el momento en que se hacen dobles clics con el ratón para engañar a los usuarios y hacer que realicen acciones sensibles en los sitios web.

En este escenario de ataque, un actor de amenazas creará un sitio web que muestra un botón aparentemente inocuo con un señuelo, como "haga clic aquí" para ver su recompensa o ver una película.

Cuando el visitante hace clic en el botón, se crea una nueva ventana que cubre la página original e incluye otro señuelo, como tener que resolver un captcha para continuar. En segundo plano, JavaScript en la página original cambiará esa página a un sitio legítimo en el que los atacantes quieren engañar a un usuario para que realice una acción.

El captcha en la nueva ventana superpuesta solicita al visitante que haga doble clic en algo en la página para resolver el captcha. Sin embargo, esta página escucha el evento de mousedown y, cuando lo detecta, cierra rápidamente la superposición del captcha, lo que hace que el segundo clic aterrice en el botón de autorización o enlace que ahora se muestra en la página legítima previamente oculta.

Esto hace que el usuario haga clic por error en el botón expuesto, lo que podría autorizar la instalación de un complemento, la conexión de una aplicación OAuth a su cuenta o la confirmación de un mensaje de autenticación multifactor.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Lo que hace que esto sea tan peligroso es que elude todas las defensas actuales contra el clickjacking, ya que no utiliza un iframe ni intenta pasar cookies a otro dominio. En cambio, las acciones ocurren directamente en sitios legítimos que no están protegidos.

Yibelo dice que este ataque afecta a casi todos los sitios y comparte videos de demostración en los que se utiliza DoubleClickjacking para apoderarse de cuentas de Shopify, Slack y Salesforce.



El investigador también advierte que el ataque no se limita a las páginas web, ya que también se puede utilizar para extensiones de navegador.

"Por ejemplo, he realizado pruebas de concepto para las mejores carteras de criptomonedas de navegador que utilizan esta técnica para autorizar transacciones web3 y dApps o deshabilitar VPN para exponer IP, etc.", explica Yibelo.

"Esto también se puede hacer en teléfonos móviles pidiendo al objetivo que haga 'DoubleTap'".

Para protegerse contra este tipo de ataque, Yibello compartió JavaScript, que podría agregarse a las páginas web para deshabilitar los botones sensibles hasta que se realice un gesto. Esto evitará que el doble clic haga clic automáticamente en el botón de autorización al eliminar la superposición del atacante.

El investigador también sugiere un posible encabezado HTTP que limita o bloquea el cambio rápido de contexto entre ventanas durante una secuencia de doble clic.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario