O DoubleClickjacking é uma nova variação de ataques de clickjacking que explora cliques duplos para enganar os usuários e realizar ações confidenciais em sites legítimos. A técnica, descoberta pelo pesquisador Paulos Yibelo, funciona ao induzir o usuário a clicar em um botão aparentemente inofensivo, que depois sobrepõe uma janela com um CAPTCHA ou outro tipo de isca. Ao clicar duas vezes, o ataque manipula a interação do usuário, fazendo com que o segundo clique ative um botão sensível ou link em uma página legítima, como autorizar um aplicativo OAuth ou confirmar uma solicitação de autenticação multifator.
Leia também
Cisco alerta sobre roubo de registros de SMS para login MFA
Zero-day do Windows recebe correção não-oficial
Diferente do clickjacking tradicional, que usa iframes e cookies entre sites, o DoubleClickjacking não depende dessas medidas de segurança, tornando-o mais difícil de detectar e prevenir. O ataque pode afetar qualquer site e até mesmo extensões de navegador, como carteiras de criptomoedas, e também pode ser usado em dispositivos móveis ao pedir ao alvo que “toque duas vezes”. Para se proteger, Yibelo sugeriu a implementação de scripts JavaScript que desabilitam botões sensíveis até que um gesto claro seja realizado, além de cabeçalhos HTTP para bloquear a troca rápida de contexto entre janelas durante cliques duplos.