كشف “باولوس ييبيلو”. الباحث في الأمن السيبراني. أسلوبًا جديدًا للهجمات الإلكترونية عبر Double Clickjacking. الذي يتجاوز وسائل الحماية التقليدية التي تعتمدها المواقع الإلكترونية والتطبيقات. وإضافات متصفحات الويب؛ ما يوسع من نطاق الخطورة.
كيف يستخدم القراصنة Double Clickjacking؟
قال باولوس ييبيلو إن الطريقة الجديدة للقراصنة تعتمد على استغلال عملية النقر المزدوج، على زر في واجهة الاستخدام داخل صفحة ويب. من خلاله يمكن خداع المستخدمين واختراق حساباتهم.
علاوة على أن القراصنة يلجئون لاستخدام أسلوب “النقر المزدوج” من خلال تصميم صفحة ويب تجذب الضحية. ويتم دفعه إلى النقر على “زر” في واجهة الاستخدام.
وعندها تفتح صفحة جديدة داخل المتصفح الذي يستخدمه الضحية. سواء في تبويب جديد “New tab” أو نافذة جديدة “New Window”.
كما أضاف “باولوس ييبيلو”. عبر في تقرير نشره على مدونته أنه بدلًا من الاعتماد على نقرة واحدة. فإنها تستفيد من تسلسل النقر المزدوج.
ورغم أن هذا قد يبدو تغييرًا بسيطًا. إلا أنه يفتح الباب أمام هجمات جديدة للتلاعب بواجهة المستخدم تتجاوز جميع وسائل الحماية المعروفة ضد الاختراق بالنقر. بما في ذلك رأس X-Frame-Options أو ملف تعريف الارتباط SameSite: Lax/Strict.
ويبدو أن هذه التقنية تؤثر على كل موقع ويب تقريبًا. ما يؤدي إلى الاستيلاء على حسابات على العديد من المنصات الرئيسية.
بعبارة أبسط، يستغل DoubleClickjacking الفجوة الصغيرة بين بداية النقرة ونهاية النقرة الثانية. في نوافذ متعددة من دون استخدام أي حيل منبثقة.
captcha والقراصنة
إنها خدعة يقوم المهاجمون من خلالها بتحميل “أو فتح” نافذة جديدة لسبب يبدو مشروعًا، مثل “التحقق من captcha. ثم، قبل الضغط على النقرة الثانية، يمكن للموقع الخبيث التبديل بسرعة إلى نافذة أكثر حساسية من نفس جلسة المتصفح.
أحد الأجزاء المهمة في هذا الهجوم هو استغلال الفرق في التوقيت بين حدثي mousedown و onclick. يتم تشغيل حدث mousedown فورًا عندما يضغط المستخدم على زر الماوس. بينما ينتظر حدث النقر إجراء النقر الكامل حتى يكون هناك بضعة مللي ثانية من التأخير يمكننا امتصاصها للهجوم.
كما أن أحد الأشياء المدهشة في القيام بهذه الطريقة هو أنه لا يهم مدى بطء أو سرعة النقر المزدوج المستهدف. ويسمح تفضيل معالج حدث mousedown باستغلال هذا حتى بالنسبة لأسرع أو أبطأ النقرات المزدوجة.
وأدت هذه التقنية للأسف إلى الاستيلاء على الحسابات في كل موقع يدعم OAuth تقريبًا. ما ينطبق على جميع المواقع الرئيسية التي تدعم API تقريبًا.