| 요약 | - 기존 클릭재킹(Clickjacking) 공격을 업그레이드한 새 기법 더블클릭재킹(DoubleClickjacking) 등장 - 첫 번째 클릭과 두 번째 클릭 사이에 악성 요소를 삽입해 공격 |
| 내용 | - 클릭재킹(Clickjacking) > Click(클릭)과 Hijacking(납치)의 합성어로, 사용자의 마우스 클릭을 공격자가 훔치는 것을 의미 > 악성 웹사이트 내 보이지 않는 버튼을 만든 후, 이를 다른 콘텐츠로 위장시켜 클릭을 유도 및 클릭 시 악성 프로그램 설치 또는 리다이렉트 > 브라우저들이 차단 기술을 탑재하고 사용자들의 보안 인식 증가로 성공률이 낮아져 새로운 공격 더블클릭재킹(DoubleClickjacking) 등장 - 더블클릭재킹(DoubleClickjacking) > 공격 순서 ① 공격자는 새 창을 여는 기능을 가진 버튼이 포함한 웹 페이지를 생성 ② 사용자가 해당 버튼 클릭 시 ⒜ 클릭하면 새 창이 열리며 “더블클릭 하시오”라는 안내 표시 ⒝ 해당 새 창은 window.opener.location을 사용해 부모 창의 위치를 대상 페이지로 변경 ⒞ 위치가 바뀐 부모 창 안에는 인증 페이지 등 실제 공격에 악용될 페이지가 포함 ⒟ “더블클릭 하시오” 창은 여전히 제일 위에 표시 ③ 사용자가 "더블클릭 하시오" 클릭 시 ⒜ 첫 번째 클릭이 이뤄지는 순간에 제일 위에 있던 “더블클릭 하시오” 창이 닫힘 ⒝ 창이 닫히면서 부모 창 안의 인증 페이지(혹은 다른 공격용 페이지)가 순간적으로 노출 ⒞ 더블클릭 중 두 번째 클릭은 노출된 페이지 위에서 클릭이 이루어짐 ⒟ 사용자는 자기도 모르게 공격자를 인증해 주거나 악성 코드를 실행하는 등 두 번째 클릭 때 누른 페이지의 목적에 맞게 악성 행위가 수행 - 기존 클릭재킹보다 위험한 이유 > 대부분의 클릭재킹에 대한 방어 기술 우회 가능 > 새롭게 등장한 기법이므로 공격자들이 다양한 방식으로 악용 가능 > 실제 대부분의 웹사이트가 공격에 취약한 상태 > 웹사이트뿐만 아니라 플러그인도 공격에 악용될 수 있음 > 사용자의 개입을 최소화하여 브라우저 위치 변경을 사용자가 모르게 수행할 수 있음 - 대응방안 > 자바스크립트를 활용해 사용자의 제스처(마우스 움직임, 키보드 입력 등)가 발생하지 않는 한 중요한 버튼을 기본적으로 비활성화 (단기적 대응) > 장기적으로 위험을 완화시키려면 브라우저 개발사들이 공격에 대해 이해하고 방어 기술을 브라우저에 탑재해야 함 > 출처가 불분명한 링크 클릭 지양 등 기본 보안 수칙 준수 |
| 기타 | - 새창을 여는 기능을 지닌 버튼이 포함된 웹 페이지 생성 - 버튼을 클릭하면 "더블클릭 하시오" 안내가 표시된 새로운 창이 열림 - 버튼을 클릭하면 첫번째 클릭에 순간적으로 원래 페이지가 표시 - 두번째 클릭에 로그인 또는 다른 악성 행위 등을 수행 ※ "더블클릭 하시오"의 위치는 원래 페이지의 로그인 위치 |
보안뉴스
“당신의 클릭을 훔치겠습니다”가 “당신의 더블클릭을 훔치겠습니다”로 변하다
클릭재킹(clickjacking)은 이제 너무나 흔한 공격 기술이다. 10년 넘게 공격자들 사이에서 꾸준히 사용되어 오고 있으며, 당하는 사람들마저도 익숙한, 그런 유형의 공격이라고 할 수 있다. 그런데
www.boannews.com
Blog: DoubleClickjacking: A New Era of UI Redressing
data:blog.metaDescription
www.paulosyibelo.com
'보안뉴스' 카테고리의 다른 글
| [긴급] 도커 데스크톱, 최신 버전으로 업데이트 필수…잘못된 코드 서명 인증서 문제 발생 (0) | 2025.01.12 |
|---|---|
| 3백만 개 메일 서버, 암호화 없이 방치…사용자 정보 노출 위험 (0) | 2025.01.04 |
| 사이버 공격자들 사이에서 점점 더 유행하는 ‘검색 최적화 조작’ 톺아보기 (0) | 2025.01.01 |
| [주의] 미라이 봇넷, 기본 비밀번호 악용해 SSR 장비 공격…증가하는 DDoS 위협 (0) | 2024.12.25 |
| 블랙 바스타 랜섬웨어, 이메일 폭탄과 QR 코드로 진화 (1) | 2024.12.16 |