- El investigador Paulus Yavlo revela un nuevo ataque dirigido a usuarios
- El ataque utiliza páginas de mensajes CAPTCHA falsas
- Se recomienda a los usuarios que hagan “doble clic” mientras el atacante cambia una página maliciosa
Los expertos han advertido que una nueva técnica está ayudando a los atacantes a robar cuentas de usuarios, a menudo sin que la víctima se dé cuenta.
Apodado ‘DoubleClickjacking’, el ataque fue descubierto por un investigador de seguridad y cazador de errores. Pablo YableY es una evolución de tácticas bien establecidas de ‘clickjacking’, que existen desde hace más de una década.
Dado que los navegadores modernos han reducido el riesgo de bloqueo de clics al no enviar cookies entre sitios, los hacks con un solo clic se han vuelto menos comunes para los piratas informáticos. Los jugadores de amenazas han intensificado su juego agregando un segundo clic.
haciendo malabarismos
La técnica funciona animando a los usuarios a hacer “doble clic”, es decir, haciéndose pasar por mensajes ‘CAPTCHA’, solicitando una verificación de doble clic.
Sin embargo, sin que la víctima lo sepa, el pequeño espacio entre el primer y el segundo clic se utiliza en su contra, ya que el atacante ha abierto una nueva ventana, normalmente una página de “alerta captcha”, que luego es reemplazada por un segundo sitio web malicioso entre la primera. y segundos clics, en un “truco de prestidigitación” “.
El peligro de este ataque es bastante obvio, ya que la mayoría de las defensas no están diseñadas para soportar un doble clic, y se pasan por alto las defensas en aplicaciones web y marcos. La técnica también se puede utilizar en sitios móviles, solicitando objetivos de “doble toque”.
DoubleClickjacking se puede utilizar para obtener permisos API y OAuth para muchos sitios web importantes y, según el investigador, está “muy extendido”. Esto puede tener consecuencias graves para la víctima, especialmente porque requiere una interacción mínima del usuario.
“El jacking con DoubleClick es un método de cambio manual con una tasa de ataque conocida. Al explotar el tiempo de los eventos entre clics, los atacantes pueden cambiar sin problemas entre elementos de la interfaz de usuario benignos y sensibles en un abrir y cerrar de ojos”, señaló Yibelo.
