การโจมตีรูปแบบใหม่ของการโจมตีแบบ clickjacking ที่เรียกว่า “DoubleClickjacking” ช่วยให้ผู้โจมตีสามารถหลอกให้ผู้ใช้อนุญาตการกระทำที่อ่อนไหวโดยใช้การคลิกสองครั้ง โดยสามารถข้ามการป้องกันที่มีอยู่ต่อการโจมตีประเภทนี้ได้ Clickjacking หรือที่รู้จักในชื่อการปรับแต่ง UI (UI redressing) เป็นเมื่อผู้โจมตีสร้างเว็บเพจที่เป็นอันตรายเพื่อหลอกให้ผู้เข้าชมคลิกที่องค์ประกอบของเว็บเพจที่ซ่อนอยู่หรือปลอมแปลง

การโจมตีนี้ทำงานโดยการซ้อนทับหน้าเว็บที่ถูกต้องไว้ใน iframe ที่ซ่อนอยู่บนเว็บเพจที่สร้างขึ้นโดยผู้โจมตี เว็บเพจที่ผู้โจมตีสร้างขึ้นได้รับการออกแบบให้จัดตำแหน่งปุ่มและลิงก์ให้ตรงกับลิงก์และปุ่มบน iframe ที่ซ่อนอยู่ จากนั้นผู้โจมตีใช้หน้าเว็บของพวกเขาเพื่อหลอกล่อให้ผู้ใช้คลิกที่ลิงก์หรือปุ่ม เช่น เพื่อรับรางวัลหรือดูรูปน่ารักๆ อย่างไรก็ตาม เมื่อผู้ใช้คลิกที่หน้าเว็บนั้น แท้จริงแล้วพวกเขากำลังคลิกที่ลิงก์และปุ่มบน iframe ที่ซ่อนอยู่ (ซึ่งเป็นเว็บไซต์ที่ถูกต้อง) ซึ่งอาจทำให้เกิดการกระทำที่เป็นอันตรายได้ เช่น การอนุญาตให้แอปพลิเคชัน OAuth เชื่อมต่อกับบัญชีของพวกเขาหรือยอมรับคำขอ MFA

ตลอดหลายปีที่ผ่านมา นักพัฒนาเว็บเบราว์เซอร์ได้แนะนำคุณสมบัติใหม่ๆ ที่ป้องกันการโจมตีเหล่านี้ได้ เช่น การไม่อนุญาตให้คุกกี้ถูกส่งข้ามไซต์ หรือการแนะนำข้อจำกัดด้านความปลอดภัย (X-Frame-Options หรือ frame-ancestors) เกี่ยวกับการที่เว็บไซต์สามารถถูกแสดงใน iframe ได้หรือไม่

การโจมตีแบบ DoubleClickjacking รูปแบบใหม่

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Paulos Yibelo ได้แนะนำการโจมตีทางเว็บรูปแบบใหม่ที่เรียกว่า DoubleClickjacking ซึ่งใช้ประโยชน์จากการจับเวลาของการคลิกเมาส์สองครั้งเพื่อลวงให้ผู้ใช้ทำการกระทำที่อ่อนไหวบนเว็บไซต์ ในสถานการณ์การโจมตีนี้ ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่แสดงปุ่มซึ่งดูเหมือนไม่เป็นอันตรายพร้อมกับข้อความล่อ เช่น “คลิกที่นี่” เพื่อดูรางวัลของคุณหรือชมภาพยนตร์

เมื่อผู้เข้าชมคลิกที่ปุ่มนั้น หน้าต่างใหม่จะถูกสร้างขึ้นมาครอบคลุมหน้าเดิม โดยมีข้อความล่ออีกครั้ง เช่น ต้องแก้ captcha เพื่อดำเนินการต่อ ในขณะเดียวกัน JavaScript บนหน้าเว็บเดิมจะเปลี่ยนไปเป็นเว็บไซต์ที่ถูกต้องตามกฎหมาย ซึ่งผู้โจมตีต้องการให้ผู้ใช้ทำการกระทำบางอย่างโดยไม่รู้ตัว

หน้าต่างใหม่ที่แสดง captcha จะขอให้ผู้เข้าชมคลิกสองครั้งบนบางสิ่งบนหน้าเพื่อแก้ captcha อย่างไรก็ตาม หน้านี้จะทำการรับ mousedown event (กดปุ่มเมาส์) และเมื่อตรวจพบ ก็จะปิดหน้าต่าง captcha อย่างรวดเร็ว ทำให้คลิกที่สองไปลงบนปุ่มหรือลิงก์การอนุญาตที่แสดงอยู่บนหน้าเว็บที่ถูกต้องซึ่งซ่อนอยู่ก่อนหน้านี้ ผลที่ตามมาคือผู้ใช้จะคลิกที่ปุ่มที่เปิดเผยโดยไม่ตั้งใจ ซึ่งอาจเป็นการอนุญาตให้ติดตั้งปลั๊กอิน การเชื่อมต่อแอปพลิเคชัน OAuth กับบัญชีของพวกเขา หรือการยอมรับการยืนยันตัวตนแบบหลายปัจจัย (MFA)

DoubleClickjacking attack flow
Source: Yibelo

สิ่งที่ทำให้สิ่งนี้อันตรายมากคือมันสามารถหลบเลี่ยงการป้องกันการคลิกแจ็คกิ้ง (clickjacking) ที่มีอยู่ทั้งหมด เนื่องจากไม่ได้ใช้ iframe และไม่ได้พยายามส่งคุกกี้ไปยังโดเมนอื่น การโจมตีนี้เกิดขึ้นโดยตรงบนเว็บไซต์ที่ถูกต้องตามกฎหมายซึ่งไม่มีการป้องกัน

Yibelo กล่าวว่า การโจมตีนี้มีผลกระทบต่อเกือบทุกเว็บไซต์ โดยได้แชร์วิดีโอสาธิตที่ใช้การ DoubleClickjacking เพื่อเข้าควบคุมบัญชี Shopify, Slack และ Salesforce

นักวิจัยยังเตือนว่าการโจมตีนี้ไม่ได้จำกัดเฉพาะหน้าเว็บเท่านั้น แต่ยังสามารถใช้กับส่วนขยายของเบราว์เซอร์ได้ด้วย

“ตัวอย่างเช่น ผมได้สร้างหลักฐานแนวคิดสำหรับกระเป๋าเงินคริปโตบนเบราว์เซอร์ที่ใช้เทคนิคนี้ในการอนุมัติธุรกรรมเว็บ3และ dApps หรือการปิดใช้งาน VPN เพื่อเปิดเผย IP เป็นต้น” Yibelo อธิบาย

“สิ่งนี้ยังสามารถทำได้บนโทรศัพท์มือถือโดยขอให้เป้าหมาย ‘DoubleTap’ (แตะสองครั้ง)”

เพื่อป้องกันการโจมตีประเภทนี้ Yibelo ได้แชร์โค้ด JavaScript ซึ่งสามารถเพิ่มลงในหน้าเว็บเพื่อปิดการใช้งานปุ่มที่อ่อนไหวจนกว่าจะมีการทำการบางอย่าง ซึ่งจะป้องกันไม่ให้การคลิกสองครั้งคลิกปุ่มอนุมัติโดยอัตโนมัติเมื่อเอาเลเยอร์ที่ซ้อนอยู่ของผู้โจมตีออก

นักวิจัยยังแนะนำ HTTP header ที่อาจช่วยจำกัดหรือบล็อกการสลับบริบทระหว่างหน้าต่างอย่างรวดเร็วระหว่างการคลิกสองครั้ง

Source: bleepingcomputer.com