A duplakattintás rejtett kockázatai A modern digitális világban a duplakattintás mindennapi interakcióink részévé vált. Legyen szó dokumentumok megnyitásáról vagy linkek aktiválásáról, ez a látszólag egyszerű művelet sokszor komoly következményekkel járh

A kattintás eltérítés új dimenziója a DoubleClickjacking, amely lehetőséget ad a támadóknak arra, hogy manipulálják a felhasználókat, és rávegyék őket, hogy dupla kattintással hagyjanak jóvá különböző érzékeny műveleteket. Ez a módszer ügyesen megkerüli a hagyományos clickjacking elleni védelmi intézkedéseket, így komoly fenyegetést jelent a felhasználói adatbiztonságra.

A clickjacking támadás során a támadók ráveszik a gyanútlan felhasználókat arra, hogy a weboldalon kattintsanak egy rosszindulatú tartalomra (például nyerhetnek valamit). A kattintás után a támadók rosszindulatú műveleteket tudnak végrehajtani. Mivel a felhasználók a kattintássukkal bizalmas műveletet engedélyeznek (egy OAuth alkalmazást vagy egy MFA hitelesítést), melyek egy láthatatlan iframe-ben jelennek meg, pontosan a nyereményoldal gombja fölött.

Az évek során a webböngészők fejlesztői olyan új funkciókat vezettek be, amelyek megakadályozzák az ilyen típusú támadások nagy részét. Például nem engedélyezik a cookie-k küldését a webhelyek között, vagy biztonsági korlátozásokat vezetnek be (X-Frame-Options vagy frame- ancestors) arra vonatkozóan, hogy a webhelyeket lehet-e iframe-elni.

Paulos Yibelo, a kiberbiztonság területén jártas szakértő, figyelmeztetett a DoubleClickjacking néven ismert új támadási technikára. Ez a módszer az egér dupla kattintásának precíz időzítését manipulálja ki, ezzel sebezhetőségeket teremtve.

A támadó egy látszólag ártalmatlan weboldalt hoz létre, amelyen egy vonzó gomb található. Ez a gomb például olyan szöveggel csalogatja a gyanútlan látogatókat, mint „Kattintson ide a jutalom megtekintéséhez” vagy „Nézze meg most a filmet”. A felhasználók könnyen elcsábulhatnak, anélkül hogy tudnának a mögöttes veszélyről.

Amikor a látogató rákattint a gombra, egy új ablak jelenik meg. Lefedve az eredeti oldalt egy másik csalit tartalmaz, például egy captcha-t kell megoldani a folytatáshoz. A háttérben az eredeti oldalon található JavaScript átirányítja az oldalt egy legitim webhelyre, amelyen a támadók valamilyen művelet végrehajtására akarják rávenni a felhasználót.

Az újonnan megjelenő, lefedett ablakban található captcha arra ösztönzi a felhasználót, hogy a megoldáshoz duplakattintást végezzen az oldalon. Az oldal azonban figyelemmel kíséri az egérkattintásokat. Amennyiben észleli a kattintást, azonnal bezárja a captcha "rétegét", ami azt eredményezi, hogy a második kattintás a gyorsan felugró engedélyezési gombra vagy hivatkozásra irányul (ez korábban rejtve volt a valódi oldalon). Ennek következtében a felhasználó véletlenül arra a gombra kattint, amely lehetővé teszi egy beépülő modul telepítését, egy OAuth alkalmazás aktiválását vagy egy MFA folyamat utolsó lépésének végrehajtását.

A DoubleClickjacking különösen aggasztó fenyegetés, mivel képes kijátszani a hagyományos clickjacking elleni védelmi mechanizmusokat. Ennek az az oka, hogy nem alkalmaz iframe-eket és nem kísérli meg a sütik átkonvertálását egy másik doménra. Ehelyett a támadások közvetlenül a védtelen, de megbízható weboldalakon zajlanak, ami jelentősen növeli a kockázatokat.

A Yibelo elemzése szerint szinte minden weboldal ki van téve a DoubleClickjacking támadásoknak, és ez a jelenség mobiltelefonokon is hatékonyan működik. Emellett nemcsak a webhelyek, hanem a böngészőbővítmények is céltáblái lehetnek ennek a támadási formának, például a kriptotárcák esetében is.

A DoubleClickjacking támadás elleni védekezés érdekében a Yibello közzétette azt a JavaScript kódot, amelynek integrálásával a weboldalunk védelmet nyerhet a dupla kattintással történő automatikus engedélyezési gombnyomások ellen. Ez a megoldás segít megőrizni a felhasználói biztonságot és a weboldal integritását.

A szakértő egy speciális HTTP header bevezetését ajánlja, amely képes korlátozni vagy akár teljesen blokkolni az ablakok közötti gyors kontextusváltást a duplakattintásos műveletek során.

WebböngészőMobiltelefonAlkalmazási szoftverSzámítógépes egérJavaScript

Related posts

Tilla is a célpontjává vált az internetes csalóknak.

Tilla is a célpontjává vált az internetes csalóknak.

Marco Rossi: Ha a szövetség nem elégedett, akkor nyugodtan felkereshetnek, hogy készülődjek a távozásra.

Marco Rossi: Ha a szövetség nem elégedett, akkor nyugodtan felkereshetnek, hogy készülődjek a távozásra.

Még mindig jelentős lemaradásban vagyunk a megtakarítások kialakításában.

Még mindig jelentős lemaradásban vagyunk a megtakarítások kialakításában.

Magyar alkotás is szerepel a Berlinale elsőfilmes versenyprogramjában.

Magyar alkotás is szerepel a Berlinale elsőfilmes versenyprogramjában.

Robert De Niro egy új Netflix sorozatban alakítja a bajba jutott exelnök szerepét - Íme az előzetes!

Robert De Niro egy új Netflix sorozatban alakítja a bajba jutott exelnök szerepét - Íme az előzetes!

A siker eléréséhez elengedhetetlen a kemény munka, és 2025 februárjában ezek a csillagjegyek mindent meg fognak tenni ennek érdekében: gazdag és boldog öregkor vár rájuk.

A siker eléréséhez elengedhetetlen a kemény munka, és 2025 februárjában ezek a csillagjegyek mindent meg fognak tenni ennek érdekében: gazdag és boldog öregkor vár rájuk.