“DoubleClickjacking” aprovecha los dobles clics para secuestrar cuentas

- Anuncio Publicitario -

Uno de los ataques cibernéticos, que ha evolucionado de manera significativa, son los clickjacking, que ha incorporado el uso del doble clic del mouse para engañar a los usuarios y eludir las medidas de seguridad en las páginas web.

“DoubleClickjacking”, ha sido descubierta por el investigador Paulos Yibelo, aprovecha el lapso entre el primer y el segundo clic para introducir elementos maliciosos en la interfaz de usuario, manipulando lo que la persona cree que está seleccionando. En ese sentido, Bitdefender e Intecnia Corp, comparten más información sobre este tipo de amenaza y tips.

- Anuncio Publicitario -

Los ataques de clickjacking suelen basarse en mecanismos ocultos para manipular los clics de los usuarios. Sin embargo, DoubleClickjacking emplea un mecanismo único que evita las protecciones relacionadas con iframes y se centra en una combinación de tiempo e interacción del usuario.

DoubleClickjacking, funciona así:

El señuelo: la víctima llega a una web maliciosa que alberga un botón atractivo con una etiqueta que dice “Haga clic aquí para obtener su recompensa”.

Engaño en capas: al hacer clic en el botón, aparece una nueva ventana superpuesta en la pantalla de la víctima, que le solicita que realice una acción aparentemente inofensiva, como resolver un captcha.

Cebo: en segundo plano, JavaScript cambia dinámicamente la página subyacente a un sitio web legítimo, alineando botones o enlaces sensibles con el cursor de la víctima.

El exploit: el segundo clic de la víctima aterriza en el botón sensible ahora visible, lo que desencadena acciones como otorgar permisos o autorizar transacciones.

Esta manipulación evita las defensas tradicionales contra el secuestro de clics, incluidas restricciones como X-Frame-Optionso frame-ancestors. Dado que el exploit implica la interacción directa del usuario con sitios legítimos, evita eficazmente la protección de cookies y las restricciones de solicitudes entre sitios.

El ataque no se limita a computadoras o sitios web; también puede afectar extensiones de navegador y teléfonos móviles. Según Paulos Yibelo “Esta técnica se puede utilizar para atacar no solo sitios web, sino también extensiones de navegador. Por ejemplo, he realizado pruebas de concepto para las mejores billeteras de criptomonedas de navegador que utilizan esta técnica para autorizar transacciones web3 y dApps o deshabilitar VPN para exponer la IP, etc. Esto también se puede hacer en teléfonos móviles al pedirle al objetivo que haga un ‘DoubleTap’”.

Lamentablemente, los exploits basados en el tiempo aún carecen de mecanismos de defensa sólidos. Sin embargo, algunas medidas proactivas propuestas por Yibelo pueden contrarrestar esta amenaza emergente, como:

Protección de JavaScript: Implementar scripts para deshabilitar botones sensibles hasta que se detecten gestos explícitos del usuario, como movimientos del mouse

Encabezados HTTP: introducción de encabezados que restringen el cambio rápido de contexto entre ventanas del navegador durante una secuencia de doble clic, lo que evita que los atacantes exploten este comportamiento

Se espera que las soluciones propuestas agreguen fricción a las interacciones del usuario, reduciendo la probabilidad de clics inadvertidos en elementos sensibles. Un software especializado puede protegerlo de páginas web maliciosas y otras intrusiones digitales como virus, gusanos, troyanos, spyware, ransomware, exploits de día cero, rootkits y otras amenazas cibernéticas.

- Anuncio Publicitario-
spot_img

Artículos Recientes

Más artículos