Nova técnica de ataque explora cliques duplos para sequestrar contas

O DoubleClickjacking é uma evolução dos ataques de clickjacking, projetada para explorar cliques duplos e induzir usuários a realizar ações sensíveis, como autorizar aplicativos ou aceitar autenticações, sem que percebam. Diferente dos métodos tradicionais, essa técnica não utiliza iframes ocultos ou cookies cross-site, tornando muitas proteções existentes ineficazes.

Em ataques de clickjacking convencionais, os invasores criam páginas maliciosas que sobrepõem páginas legítimas usando iframes invisíveis. Usuários acabam interagindo com botões ou links nessas camadas ocultas, sem saber, autorizando aplicativos ou realizando ações que comprometem sua segurança.

No caso do DoubleClickjacking, segundo um pesquisador de segurança, o invasor cria uma página com um botão atraente, como “clique aqui para ver sua recompensa”. Após o primeiro clique, uma nova janela com um captcha é exibida, enquanto a página original é alterada via JavaScript para mostrar um site legítimo. O captcha exige um clique duplo: o primeiro fecha a janela sobreposta, e o segundo interage com um botão sensível no site legítimo, como autorizar um aplicativo OAuth ou instalar um plugin.

A técnica é altamente eficaz, afetando uma ampla gama de sites e serviços, incluindo Shopify e Slack, conforme demonstrações realizadas. O método também pode ser usado contra extensões de navegador, carteiras de moedas digitais e dispositivos móveis, onde a interação ocorre via “double-tap”. Exemplos incluem autorizar transações Web3, desativar VPNs ou expor endereços IP.