למרות שאתה תמיד רוצה להיות זהיר היכן אתה לוחץ באינטרנט, וריאציה חדשה של מתקפת הקליקים הקלאסית אמורה להשהות אותך כאשר אתר מבקש ממך ללחוץ פעמיים על משהו.
כפי שדווח ב-Cybernews, מהנדס האבטחה של אמזון פאולוס יבלו שפך אור על גרסה חדשה של המתקפה הזו שניתן להשתמש בה כדי להשבית הגדרות אבטחה, למחוק חשבון או אפילו להשתלט על החשבונות הקיימים שלך.
כפי שהשם מרמז, clickjacking היא שיטת התקפה שבה האקרים, רמאים או פושעי סייבר אחרים חוטפים את הקליקים שלך באתר אחד כדי לבצע פעולות זדוניות באתר אחר. לדוגמה, אתה עשוי לחשוב שאתה לוחץ על כפתור באתר שבו אתה גולש כעת, ואז הקליק הזה ישמש לקניית משהו באתר אחר לגמרי.
כעת, האקרים הוסיפו עוד קליק לשיטת ההתקפה הזו כדי לעקוף את העובדה שדפדפנים מודרניים כבר לא שולחים עוגיות חוצות אתרים. ככזה, האיום הזה, שכמעט גווע, נמצא כעת שוב בשימוש על ידי האקרים בהתקפות שלהם.
הנה כל מה שאתה צריך לדעת על חטיפת קליקים כפולה וכיצד להישאר בטוחים מהאיום המתהווה הזה.
מ-phishing ל-dou-clickjacking
בפוסט חדש בבלוג, Yibelo מסביר כיצד פועלת חטיפת קליקים כפולה, ומסבירה שלמרות שזה עשוי להיות שינוי קטן, "זה פותח את הדלת למתקפות מניפולציות חדשות של ממשק המשתמש שעוקפות את כל ההגנות הידועות על חטיפת קליקים."
עד כה, בהתקפות המשתמשות בווריאציה חדשה זו על חטיפת קליקים, האקרים מובילים קורבנות פוטנציאליים קודם כל לאתר דיוג. כשהם שם, מופיעה הודעת CAPTCHA רגילה אבל עם טוויסט: במקום לכתוב טקסט מקושקש או לזהות חיות או חפצים בתמונות, משתמשים מתבקשים ללחוץ פעמיים על כפתור כדי להוכיח שהם בני אדם.
ברקע בין שני הקליקים הללו, האקרים המשתמשים בשיטת התקפה זו הוסיפו פונקציונליות נוספת לטעינת עמוד רגיש, כגון אישור הרשאת OAuth. בעוד לחיצה ראשונה של משתמש סוגרת את החלון העליון, הלחיצה השנייה שלו עוברת לדף הרגיש כדי לאשר הרשאה, להעניק הרשאה או להשלים פעולה אחרת.
הירשם כדי לקבל את המדריך הטוב ביותר של טום ישירות לתיבת הדואר הנכנס שלך.
קבל גישה מיידית לחדשות מרעננות, לביקורות החמות ביותר, למבצעים מעולים וטיפים מועילים.
באופן מעניין למדי, זה לא משנה כמה זמן לוקח למשתמש לבצע את הקליק השני שלו.
לפי Yibelo, ניתן להשתמש ב-clickjackjack כפול כדי לקבל הרשאות OAuth ו-API ברוב אתרי האינטרנט הגדולים. עם זאת, שיטת ההתקפה החדשה הזו יכולה לשמש גם לביצוע שינויים בחשבון בלחיצה אחת כמו השבתת הגדרות אבטחה, מחיקת חשבון, אישור גישה להעברות כספים, אישור עסקאות ועוד. כמו כן, ניתן להשתמש בו אפילו כדי לתקוף הרחבות דפדפן.
כיצד לשמור על בטיחות מחטיפת קליקים
הגנה מפני צורה חדשה זו של חטיפת קליקים היא משהו שגוגל, מיקרוסופט, אפל, מוזילה ויצרניות דפדפנים אחרות יצטרכו ליישם בעדכונים עתידיים. עם זאת, אתה עדיין יכול לנקוט כמה צעדים כדי למנוע נפילה קורבן למתקפת סייבר המשתמשת בשיטת התקפה זו.
בתור התחלה, אתה תמיד רוצה להיות זהיר היכן אתה לוחץ באינטרנט. בין אם זה קישור במייל, הודעת טקסט או אפילו כפתור באתר, חשבו לפני שאתם לוחצים. כחלק מכך, כדאי גם להימנע מניווט לאתרים חשודים כמו מתנות טובות מכדי להיות אמיתיות, כמו אלה של 'זכו באייפון בחינם'.
כדי לשמור על בטיחות המכשירים שלך, עליך להשתמש בתוכנת האנטי-וירוס הטובה ביותר במחשב Windows שלך, בתוכנת האנטי-וירוס הטובה ביותר של Mac במחשב Apple שלך ובאחת מאפליקציות האנטי-וירוס הטובות ביותר לאנדרואיד בטלפון החכם שלך. אין מקבילה לאייפון לאפליקציות האנטי-וירוס הללו לאנדרואיד בגלל ההגבלות של אפל עצמה, אבל תוכנת אנטי-וירוס מק מבית Intego יכולה לסרוק אייפון או אייפד לאיתור תוכנות זדוניות כשהן מחוברות למק דרך USB.
כעת, כשהאקרים, רמאים ופושעי סייבר אחרים שוב משתמשים ב-clickjacking בהתקפות שלהם, מצפים מיצרני הדפדפנים ואפילו אתרי אינטרנט עצמם יתחילו להוסיף תכונות חדשות כדי להגן מפני שיטת התקפה זו. עם זאת, עד שהם יתחילו להתגלגל, זה תלוי בך לתרגל היגיינת סייבר טובה, ומה שלא תעשה, אל תלחץ פעמיים על CAPTCHA שאתה נתקל בו.