Berita

DoubleClickjacking: Serangan Baru yang Mengeksploitasi Klik Ganda untuk Membajak Akun

DoubleClickjacking variasi baru dari serangan Clickjacking yang memungkinkan penyerang mengelabui pengguna untuk mengotorisasi Tindakan sensitive dengan menggunakan klik dua kali sekaligus melewati perlindungan yang ada terhadap jenis serangan ini.

Clickjacking sendiri lebih dikenal sebagai UI redressing, yaitu ketika pelaku ancaman membuat halaman web berbahaya yang mengelabui pengunjung untuk mengklik elemen halaman web yang tersembunyi atau disamarkan.

Serangan ini bekerja dengan melapisi halaman web yang sah dalam iframe tersembunyi di atas halaman web yang dibuat oleh penyerang. Halaman web yang dibuat oleh penyerang ini dirancang untuk menyelaraskan tombol dan tautannya dengan tautan dan tombol pada iframe tersembunyi.

Kemudian para penyerang menggunakan halaman web mereka untuk menarik pengguna agar mengklik sebuah tautan atau tombol, seperti untuk memenangkan hadiah atau melihat sebuah gambar.

Namun, ketika pengguna atau pengunjung mengklik halaman tersebut, mereka sebenarnya mengklik tautan dan tombol pada iframe tersembunyi (situs yang sah), yang berpotensi melakukan tindakan jahat, seperti mengotorisasi aplikasi OAuth untuk terhubung ke akun mereka atau menerima permintaan MFA.

Selama bertahun-tahun, pengembang peramban web memperkenalkan fitur-fitur baru yang mencegah sebagian besar serangan ini, seperti tidak mengizinkan cookie dikirim lintas situs atau memperkenalkan pembatasan keamanan (X-Frame-Options atau frame-ancestors) tentang apakah situs dapat di-iframe.

Pakar keamanan siber Paulos Yibelo telah memperkenalkan serangan web baru yang disebut DoubleClickjacking yang mengeksploitasi waktu klik dua kali mouse untuk mengelabui pengguna agar melakukan tindakan sensitif di situs web.

Dalam skenario serangan ini, pelaku ancaman akan membuat situs web yang menampilkan tombol yang tampaknya tidak berbahaya dengan iming-iming, seperti “klik di sini” untuk melihat hadiah atau menonton film.

Ketika pengunjung mengklik tombol tersebut, sebuah jendela baru akan dibuat yang menutupi halaman asli dan menyertakan iming-iming lain, seperti keharusan untuk memecahkan captcha untuk melanjutkan. Di latar belakang, JavaScript pada halaman asli akan mengubah halaman tersebut menjadi sebuah situs yang sah dan penyerang ingin mengelabui pengguna untuk melakukan suatu tindakan.

Captcha pada jendela baru yang dilapis script kode khusus, meminta pengunjung untuk mengklik dua kali pada halaman untuk memecahkan captcha. Namun, halaman ini mendengarkan peristiwa mousedown, dan ketika terdeteksi, dengan cepat menutup overlay captcha, menyebabkan klik kedua mendarat di tombol otorisasi atau tautan yang sekarang ditampilkan pada halaman sah yang sebelumnya tersembunyi.

Hal ini menyebabkan pengguna secara keliru mengklik tombol yang terbuka, berpotensi mengotorisasi sebuah plugin untuk diinstal, aplikasi OAuth untuk terhubung ke akun mereka, atau permintaan autentikasi multi-faktor untuk diakui.

Aliran serangan DoubleClickjacking

Sumber: Yibelo

Apa yang membuat ini sangat berbahaya adalah bahwa ia melewati semua pertahanan clickjacking saat ini karena tidak menggunakan iframe, ia tidak mencoba meneruskan cookie ke domain lain. Sebaliknya, tindakan ini terjadi secara langsung pada situs yang sah yang tidak dilindungi.
Yibelo mengatakan bahwa serangan ini berdampak pada hampir semua situs, membagikan video demonstrasi yang menggunakan DoubleClickjacking untuk mengambil alih akun Shopify, Slack, dan Salesforce.

Pakar juga memperingatkan bahwa serangan ini tidak terbatas pada halaman web karena dapat digunakan untuk ekstensi peramban juga.

“Sebagai contoh, saya telah membuat bukti konsep untuk dompet kripto browser teratas yang menggunakan teknik ini untuk mengotorisasi transaksi web3 & dApps atau menonaktifkan VPN untuk mengekspos IP, dll.,” jelas Yibelo.

“Hal ini juga dapat dilakukan di ponsel dengan meminta target untuk melakukan ‘DoubleTap’.”

Untuk melindungi dari jenis serangan ini, Yibello membagikan JavaScript, yang dapat ditambahkan ke halaman web untuk menonaktifkan tombol sensitif hingga ada gerakan yang dilakukan. Hal ini akan mencegah klik dua kali secara otomatis mengklik tombol otorisasi ketika menghapus hamparan penyerang.

Pakar juga menyarankan sebuah header HTTP potensial yang membatasi atau memblokir peralihan konteks yang cepat di antara jendela-jendela selama urutan klik dua kali.

Sumber:
https://www.paulosyibelo.com/2024/12/doubleclickjacking-what.html

https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html
https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks