ພົບ​ການ​ໂຈມ​ຕີ​ແບບ​ໃໝ່​ “DoubleClickjacking” ສ່ຽງ​ຂໍ້​ມູນ​ສ່ວນ​ຕົວ​ຮົ່ວ​ໄຫຼ

ຜູ້​ຊ່ຽວ​ຊານ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ​ ເຕືອນ​ເຖິງ​ການ​ໂຈມ​ຕີ​ແບບ​ໃໝ່​ທີ່​ເອີ້ນວ່າ​ “DoubleClickjacking” ຊຶ່ງ​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ຫຼອກ​ລໍ້​ໃຫ້​ຜູ້​ໃຊ້​ອ​ະນຸ​ມັ​ດ​ການ​ກະທຳ​ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ສູງ​ໄດ້​ ພຽງ​ແຕ່ການ​ຄລິກ (Click) ​ສອງ​ຄັ້ງ​, ພ້ອມຍັງ​ສາມາດ​ຫຼີກ​ລ້ຽງ​ລະບົບ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ນີ້​ທີ່​ມີ​ຢູ່ໃນ​ປັດຈຸບັນ​.

ການ​ໂຈມ​ຕີ​ແບບ​ Clickjacking ຫຼື ​ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ UI Redressing ເປັນ​ເຕັກ​ນິກ​ທີ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສ້າງ​ໜ້າ​ເວັບ​ໄຊອັນຕະລາຍ​ເພື່ອ​ຫຼອກລວງ​ຜູ້​ໃຊ້​ໃຫ້​ຄລິກ​ອົງ​ປະກອບ​ທີ່​ເຊື່ອງຢູ່​ ຫຼື ​ປອມ​ແປງ​ຂຶ້ນ​ ຊຶ່ງ​ໃນ​ກໍລະນີ​ຂອງ​ DoubleClickjacking ຜູ້​ໂຈມ​ຕີ​ຈະ​ຊ້ອນ​ iframe ທີ່​ສະແດງ​ໜ້າ​ເວັບໄຊ​ທີ່​ຖືກ​ຕ້ອງ​ໄວ້​ກ້ອງໜ້າ​ເວັບໄຊ​ທີ່​ພວກ​ເຂົາ​ສ້າງ​ຂຶ້ນ​ ໂດຍ​ປັບ​ຕຳແໜ່ງ​ປຸ່ມກົດ ​ແລະ ​ລິ້ງ​​ໃຫ້​ຢູ່ຕໍ່ແໜ່ງດຽວກັນ​ລະຫວ່າງ​ໜ້າ​ເວັບໄຊ​ທັງ​ສອງ​.

ເມື່ອ​ຜູ້​ໃຊ້​ຖືກ​ລໍ້ລວງ​ໃຫ້​ຄລິກ​ເທິງ​ລິ້ງ​ ​ຫຼື ​ປຸ່ມກົດ​ເທິງ​ໜ້າ​ເວັບໄຊ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ ເຊັ່ນ​: ການ​ເບິ່ງ​ຮູບພາບ​ໜ້າ​ຮັກ​ ຫຼື ​ການ​ຮັບ​ລາງ​ວັນ,​ ຄວາມ​ຈິງ​ແລ້ວ​ການ​ຄລິກ​ນັ້ນ​ເປັນ​ການ​ກະທຳ​ເທິງ​ iframe ທີ່​ເຊື່ອງ​ຢູ່​ ຊຶ່ງ​ອາດຈະ​ນຳ​ໄປ​ສູ່​ຜົນ​ກະທົບ​ຮ້າຍແຮງ​ ເຊັ່ນ:​ ການ​ອ​ະນຸ​ມັດ​ໃຫ້​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ OAuth ເຊື່ອມ​ຕໍ່​ກັບ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ ຫຼື ​ການ​ຍອມ​ຮັບ​ຄຳ​ຂໍ​ MFA (ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຫຼາຍ​ຂັ້ນ​ຕອນ​) ໂດຍ​ທີ່​ຜູ້​ໃຊ້​ບໍ່​ຮູ້​ຕົວ​.

ແນວທາງການປ້ອງກັນ:​

ໃນ​ໄລຍະ​ຫຼາຍ​ປີ​ທີ່​ຜ່ານມາ​ ນັກ​ພັດທະນາ​ເວັບ​ບ​ຣາ​ວ​ເຊີ​ (Web Browser) ​ໄດ້​ແນະ​ນຳຄຸນສົມບັດ​ໃໝ່​ໆ​ ທີ່​ຊ່ວຍ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ເຫຼົ່າ​ນີ້​ເປັນ​ສ່ວນ​ໃຫຍ່​ ເຊັ່ນ​: ການ​ບໍ່​ອະນຸຍາດ​ໃຫ້​ສົ່ງ​ຄຸກ​ກີ້ (Cookies) ​ຂ້າມ​ເວັບ​ໄຊ​ ຫຼື ​ການ​ເພີ່ມ​ຂໍ້​ຈຳ​ກັດ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ (ເຊັ່ນ​: X-Frame-Options ຫຼື​ frame-ancestors) ເພື່ອ​ຄວບ​ຄຸມ​ວ່າ​ເວັບ​ໄຊ​​ໃດ​ສາມາດ​ສະແດງ​ຜົນ​ຜ່ານ​ iframe ໄດ້​​.

ຢ່າງໃດ​ກໍ່​ຕາມ​, ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ DoubleClickjacking ຍັງ​ເປັນ​ໄພ​ຄຸກ​ຄາມ​ທີ່​ສາມາດ​​ຜ່ານມາດຕະການ​ປ້ອງ​ກັນ​ເຫຼົ່າ​ນີ້​ໄດ້​, ຜູ້​ໃຊ້​ງານ​ອິນ​ເຕີ​ເນັດ​ຄວນ​ເພີ່ມ​ຄວາມ​ລະ​ມັດ​ລະ​ວັງ​ເປັນ​ພິເສດ​ ບໍ່​ຄລິກ​ລິ້ງ​ ​ຫຼື ​ປຸ່ມກົດ​ຈາກ​ແຫຼ່ງ​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື​ ແລະ ​ຄວນ​ກວດ​ສອບ​ຂໍ້​ມູນ​ກ່ອນ​ການ​ອະນຸຍາດ​ຕ່າງໆ ເທິງ​ເວັບ​ໄຊ​ ຫຼື ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ​ບັນ​ຊີ​ສ່ວນ​ຕົວ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts/?fbclid=IwY2xjawHpgJ1leHRuA2FlbQIxMAABHeniztRJlWsmpLYsVLTeIEm0x7CW0TpP04FKoeipF-c-L6xK8YmKoEIJCA_aem_jZgc9AuUd8qeFOZAnzO_vw
  2. https://www.facebook.com/story.php?story_fbid=921017880167821&id=100067788513462&mibextid=wwXIfr&rdid=zJX6iqBLxcrQukL1

610 Views