ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนถึงการโจมตีแบบใหม่ที่เรียกว่า “DoubleClickjacking” ซึ่งผู้โจมตีสามารถหลอกล่อให้ผู้ใช้อนุมัติการกระทำที่มีความเสี่ยงสูงได้ เพียงแค่การคลิกสองครั้ง โดยยังสามารถหลีกเลี่ยงระบบป้องกันการโจมตีรูปแบบนี้ที่มีอยู่ในปัจจุบัน
การโจมตีแบบ Clickjacking หรือที่รู้จักกันในชื่อ UI Redressing เป็นเทคนิคที่ผู้ไม่หวังดีสร้างหน้าเว็บอันตรายเพื่อหลอกลวงผู้ใช้ให้คลิกองค์ประกอบที่ซ่อนอยู่หรือปลอมแปลงขึ้น ซึ่งในกรณีของ DoubleClickjacking ผู้โจมตีจะซ้อน iframe ที่แสดงหน้าเว็บที่ถูกต้องไว้ใต้หน้าเว็บที่พวกเขาสร้างขึ้น โดยปรับตำแหน่งปุ่มและลิงก์ให้ตรงกันระหว่างหน้าเว็บทั้งสอง
เมื่อผู้ใช้ถูกล่อลวงให้คลิกบนลิงก์หรือปุ่มบนหน้าเว็บของผู้โจมตี เช่น การดูภาพน่ารักหรือการรับรางวัล ความจริงแล้วการคลิกนั้นเป็นการกระทำบน iframe ที่ซ่อนอยู่ ซึ่งอาจนำไปสู่ผลกระทบร้ายแรง เช่น การอนุมัติให้แอปพลิเคชัน OAuth เชื่อมต่อกับบัญชีผู้ใช้ หรือการยอมรับคำขอ MFA (การยืนยันตัวตนหลายขั้นตอน) โดยที่ผู้ใช้ไม่รู้ตัว
โดยในช่วงหลายปีที่ผ่านมา นักพัฒนาเว็บเบราว์เซอร์ได้แนะนำฟีเจอร์ใหม่ ๆ ที่ช่วยป้องกันการโจมตีเหล่านี้เป็นส่วนใหญ่ เช่น การไม่อนุญาตให้ส่งคุกกี้ข้ามเว็บไซต์ หรือการเพิ่มข้อจำกัดด้านความปลอดภัย (เช่น X-Frame-Options หรือ frame-ancestors) เพื่อควบคุมว่าเว็บไซต์ใดสามารถแสดงผลผ่าน iframe ได้บ้าง
อย่างไรก็ตาม การโจมตีรูปแบบ DoubleClickjacking ยังคงเป็นภัยคุกคามที่สามารถเล็ดลอดผ่านมาตรการป้องกันเหล่านี้ได้ ผู้ใช้งานอินเทอร์เน็ตควรเพิ่มความระมัดระวังเป็นพิเศษ ไม่คลิกลิงก์หรือปุ่มจากแหล่งที่ไม่น่าเชื่อถือ และควรตรวจสอบข้อมูลก่อนทำการอนุญาตใด ๆ บนเว็บไซต์หรือแอปพลิเคชันที่เชื่อมต่อกับบัญชีส่วนตัว
อ่านเพิ่มเติมที่นี่ – BPC
