• Pozor na double-clickjacking: Podvod, který se nabourává do vašich kliknutí myší

    • 12. 1. 2025
    • Zdroj obrázku: MontriUaroon / Depositphotos
    Pozor na double-clickjacking: Podvod, který se nabourává do vašich kliknutí myší

    Nová zranitelnost umožňuje kyberzločincům obejít bezpečnostní ochranu webu dvojitým kliknutím myší uživatele.

    Odborníci na kybernetickou bezpečnost objevili novou techniku útoku, která využívá čas mezi dvěma po sobě jdoucími kliknutími myší k průniku do uživatelských účtů. Tato metoda, nazývaná double-clickjacking, dokáže obejít všechny známé ochrany proti tradičnímu pronikání na kliknutí, včetně hlaviček X-Frame-Options a souborů cookie SameSite.

    Zranitelnost se týká většiny významných webových stránek a umožňuje útočníkům převzít kontrolu nad účty s minimální interakcí uživatele. Proces je zahájen, když uživatel navštíví škodlivou stránku, která otevře nové okno, obvykle maskované jako ověření CAPTCHA.

    Takto funguje tento nový typ útoku

    Hrozba double-clickjacking přispívá ke stále složitějšímu prostředí kybernetické bezpečnosti. Útoky jsou stále sofistikovanější, jak ukazuje případ čínského hackera, který infikoval více než 81 000 počítačů a za jehož dopadení nabízejí Spojené státy odměnu 10 milionů dolarů (přes 240 milionů korun).

    Související článek

    60 % aktivních počítačů se systémem Windows 10 je nyní v nebezepečí
    60 % aktivních počítačů se systémem Windows 10 je nyní v nebezepečí

    Jedním z nejvíce znepokojujících aspektů pro Microsoft je konec bezpečnostní podpory pro Windows 10. V přímém důsledku toho americká firma vyzvala uživatele, aby provedli skok na jeho nástupce, jinak budou jejich počítače vystaveny nebezpečí, pokud se nerozhodnou platit roční poplatek. Existuje však jeden aspekt, který Microsoftu nedává spát, protože by mohl mít dopad: počet ohrožených zařízení.

    Mechanismus tohoto nového podvodu je obzvláště nebezpečný, protože využívá velmi běžnou akci: dvojklik. Když uživatel tuto akci provede ve vyskakovacím okně, domovská stránka použije objekt JavaScript Window Location k tichému přesměrování na škodlivou stránku, přičemž se okno automaticky zavře.

    Situace je obzvláště znepokojivá v kontextu stále častějších kybernetických útoků. Nedávno skupina hackerů požadovala 38 milionů eur (cca 953 milionů korun) za výkupné za 560 GB dat ministerstva financí, což poukazuje na rostoucí hrozbu únosu dat ve veřejných institucích.

    Na ochranu před touto zranitelností odborníci doporučují věnovat zvláštní pozornost vyskakovacím oknům a vyhýbat se dvojkliku na podezřelé prvky. Je také nezbytné udržovat všechna zařízení aktualizovaná a používat bezpečná připojení, zejména s ohledem na to, že i porty USB-C mohou být pro hackery otevřenými dveřmi.

    Odhalení této zranitelnosti poukazuje na to, jak je důležité mít odborníky specializované na kybernetickou bezpečnost. Červení hackeři se totiž stali profesí současnosti i budoucnosti, která slibuje gigantickou projekci a je nezbytná pro odhalování a prevenci nových hrozeb, jako je například double-clickjacking.

    Výzkumník Paulos Yibelo, který před rokem objevil i techniku cross-window forgery, varuje, že současná řešení jsou nedostatečná. Tato varianta umožňuje nabourání účtů na platformách, jako jsou Coinbase a Yahoo!, když uživatel podrží klávesu Enter nebo mezerník. Některé služby, jako například Dropbox, již zavedly preventivní opatření, ale aby se prohlížeče mohly účinně bránit těmto hrozbám, musí přijmout nové standardy.

    Zdroje článku: thehackernews.com

    #