GlobalSign_admin 22 июн в 16:20

Кликджекинг по двойному щелчку. Новый приём обманного UI

4 мин

2.9K

Блог компании GlobalSignJavaScript*БраузерыИнтерфейсы*Информационная безопасность*

+17

Комментарии 9

MonkAlex 22 июн в 17:58

Сайт, который атакуют, должен успеть загрузиться за 0мс? Или предзагрузка выполняется?

Readme 23 июн в 08:36

Выполняется. В демо видно, что после нажатия "Start Here" фейковая кнопка не активна в течение некоторого таймера — в это время, вероятно, под видимым окном грузится страница атакуемого сайта. В описании атаки тоже это проговаривается (не совсем очевидно, правда).

supercat1337 23 июн в 08:37

Конечно, должен загрузиться заранее. Там скорее всего все сведётся к перемещению невидимого айфрейма под курсор между первым и вторым кликом.

MonkAlex 23 июн в 08:54

По описанию я сделал вывод что тут всё таки не айфреймы. Но я бэк разработчик, плохо знаю веб и работу браузеров.

supercat1337 23 июн в 18:15

Да, вы правильно подметили. В статье написано об открытии окон, а не айфреймов. Раньше такие атаки были популярны через айфреймы.

Readme 23 июн в 08:39

Запрос Double Click в принципе довольно странен и может насторожить (да и кто читает инструкции к капче?). Проще сделать вид, что кнопка "залипла" и не нажимается, и подменять окна только после нескольких яростных кликов (да — лаунчеры, меняющие фокус, я смотрю на вас с презрением и негодованием).

firegurafiku 23 июн в 09:34

Запрос Double Click в принципе довольно странен и может насторожить

Честно говоря, не настолько и странен. На моей памяти капча требовала всё больше странных действий, так что я не удивлюсь, если в скором будущем будет требоваться не только двойной клик, но и отжимания на камеру.

vikarti 7 июл в 09:27

Ну...покрутите головой в камеру для Liveness check уже бывает, правда у проверяльщиков документов всяких...

Format-X22 23 июн в 14:15

Так жест тоже можно подделать примерно тем же способом, разве нет?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий