સંશોધક પૌલોસ યીબેલોએ વપરાશકર્તાઓને લક્ષ્ય બનાવતા નવા હુમલાનો પર્દાફાશ કર્યોઆ હુમલો નકલી કેપ્ચા સૂચના પૃષ્ઠોનો ઉપયોગ કરે છે વપરાશકર્તાઓને ‘ડબલ ક્લિક’ કરવા માટે પ્રોત્સાહિત કરવામાં આવે છે જ્યારે હુમલાખોર દૂષિત પૃષ્ઠમાં સ્વેપ કરે છે
નિષ્ણાતોએ ચેતવણી આપી છે કે, એક નવી ટેકનીક હુમલાખોરોને યુઝર એકાઉન્ટ્સ ચોરી કરવામાં મદદ કરી રહી છે, ઘણીવાર પીડિતની નોંધ લીધા વિના.
‘ડબલક્લિકજેકિંગ’ તરીકે ઓળખાતા હુમલાનો ખુલાસો સુરક્ષા સંશોધક અને બગ હન્ટર દ્વારા કરવામાં આવ્યો હતો. પાઉલોસ યીબેલોઅને સુસ્થાપિત ‘ક્લિકજેકિંગ’ યુક્તિઓની ઉત્ક્રાંતિ છે, જે લગભગ એક દાયકાથી વધુ સમયથી ચાલી રહી છે.
આધુનિક બ્રાઉઝર્સે હવે ક્રોસ-સાઇટ કૂકીઝ મોકલીને ક્લિક જૅકિંગના જોખમને ઘટાડી દીધું હોવાથી, હેકર્સ માટે સિંગલ ક્લિક હેક્સ ઓછા સામાન્ય બની ગયા છે. ખતરનાક કલાકારોએ બીજી ક્લિકમાં ઉમેરીને તેમની રમતમાં વધારો કર્યો છે.
હાથની સ્લીટ
આ ટેકનિક વપરાશકર્તાઓને ‘ડબલ ક્લિક’ માટે પ્રોત્સાહિત કરીને કામ કરે છે, એટલે કે ‘કેપ્ચા’ સૂચનાઓ તરીકે રજૂ કરીને, ડબલ ક્લિક સાથે ચકાસણી માટે પૂછીને.
જો કે, પીડિતને અજાણતા, પ્રથમ અને બીજી ક્લિક્સ વચ્ચેના નાના અંતરનો તેમની સામે લાભ લેવામાં આવી રહ્યો છે, કારણ કે હુમલાખોરે એક નવી વિંડો ખોલી છે, સામાન્ય રીતે ‘કેપ્ચા સૂચના’ પૃષ્ઠ, જે પછી એક દૂષિત સાઇટ માટે સ્વેપ કરવામાં આવે છે. પ્રથમ અને બીજી ક્લિક વચ્ચેની બીજી, ‘સ્લીટ ઑફ હેન્ડ ટાઇપ ટ્રિક’માં.
આ હુમલામાંનો ખતરો એકદમ સ્પષ્ટ છે, કારણ કે મોટા ભાગના સંરક્ષણો ડબલ-ક્લિકિંગને હેન્ડલ કરવા માટે બનાવવામાં આવ્યાં નથી – અને વેબ એપ્સ અને ફ્રેમવર્કમાં સુરક્ષાને બાયપાસ કરવામાં આવે છે. આ ટેકનિકનો ઉપયોગ મોબાઈલ સાઇટ્સ પર પણ થઈ શકે છે, જેમાં લક્ષ્યોને ‘ડબલ ટેપ’ કરવાનું કહેવામાં આવે છે.
DoubleClickjackingનો ઉપયોગ ઘણી મોટી સાઇટ્સ માટે API અને OAuth પરવાનગીઓ મેળવવા માટે થઈ શકે છે, અને સંશોધકના મતે ‘અત્યંત પ્રચંડ’ છે. આ પીડિત માટે ગંભીર પરિણામો તરફ દોરી શકે છે, ખાસ કરીને કારણ કે તેને આવા ન્યૂનતમ વપરાશકર્તા ક્રિયાપ્રતિક્રિયાની જરૂર છે.
“ડબલક્લિકજેકિંગ એ એક જાણીતા હુમલા વર્ગ પર હાથની ઝીણી ઝીણી છે. ક્લિક્સ વચ્ચેના ઇવેન્ટના સમયનો ઉપયોગ કરીને, હુમલાખોરો આંખના પલકારામાં સંવેદનશીલ લોકો માટે સૌમ્ય UI ઘટકોને એકીકૃત રીતે અદલાબદલી કરી શકે છે,” યીબેલોએ નોંધ્યું.