双击劫持：攻击者可以悄无声息地窃取用户账户

两次鼠标点击之间的时间足以让黑客交换网页并诱骗受害者意外授权访问或转账。

安全研究员兼漏洞猎人 Paulos Yibelo 披露了所谓的“点击劫持”攻击的新变种。这些攻击会诱骗用户点击他们从未打算点击的隐藏或伪装按钮。

由于现代浏览器不再发送跨站点 cookie，单击劫持对攻击者来说变得不那么实用了。为了绕过这一限制，黑客对点击劫持攻击进行了改进：引入第二次点击。

Yibelo 在博客文章中写道：“虽然这听起来像是一个小变化，但它为绕过所有已知点击劫持保护措施的新型 UI 操纵攻击打开了大门。”

https://www.paulosyibelo.com/

对于用户来说，钓鱼网站会以普通的 CAPTCHA 通知的形式出现，要求通过双击按钮来验证用户是否是人类。

在这背后，黑客添加了在后台加载敏感页面（例如 OAuth 授权确认）的功能。当用户双击时，第一次触发会关闭顶部窗口，显示敏感页面。第二次鼠标单击则进入敏感页面，批准授权、授予权限或完成任何其他操作。

点击速度不会影响攻击，因为黑客青睐鼠标按下事件处理程序。

“恶意网站可以快速从同一浏览器会话中切换到更敏感的窗口（例如，OAuth 授权提示），从而有效地劫持第二次点击。有很多方法可以执行“交换”，我发现最可靠、最流畅的方法是使用 window.open.location，”研究人员说。

Yibelo 警告称，“DoubleClickjacking”可用于获取大多数主流网站的 OAuth 和 API 权限，执行一键式账户更改，例如禁用安全设置、删除账户、授权访问或转账、确认交易等。这种新技术还可用于攻击浏览器扩展。

研究人员还分享了概念验证代码和攻击者可以用来接管 Slack、Shopify 和 Salesforce 帐户的示例。

https://www.youtube.com/embed/r7qpY74jtTw

网站可以通过默认禁用关键按钮来限制暴露，除非在这些按钮激活之前检测到先前用户发起的手势，例如移动鼠标或使用键盘。

长期解决方案需要浏览器更新和新标准来防御双击攻击。

Yibelo 建议：“任何处理 OAuth 范围验证、付款确认或其他高权限操作的页面都应包含防御脚本，直到浏览器提供解决方案。”

原文始发于微信公众号（网络研究观）：双击劫持：攻击者可以悄无声息地窃取用户账户