Bien que vous souhaitiez toujours faire attention à l'endroit où vous cliquez en ligne, une nouvelle variante de l'attaque classique de détournement de clic devrait vous faire réfléchir lorsqu'un site vous demande de double-cliquer sur quelque chose.

Comme le rapporte Cybernews, l'ingénieur en sécurité d'Amazon Paulos Yibelo a mis en lumière une nouvelle version de cette attaque qui peut être utilisée pour désactiver les paramètres de sécurité, supprimer un compte ou même reprendre vos comptes existants.

Comme son nom l'indique, le détournement de clics est une méthode d'attaque par laquelle des pirates informatiques, des escrocs ou d'autres cybercriminels détournent vos clics sur un site Web pour effectuer des actions malveillantes sur un autre site. Par exemple, vous pourriez penser que vous cliquez sur un bouton du site que vous parcourez actuellement, et que ce clic sera ensuite utilisé pour acheter quelque chose sur un autre site entièrement différent.

Désormais, les pirates ont ajouté un autre clic à cette méthode d'attaque pour contourner le fait que les navigateurs modernes n'envoient plus de cookies entre sites. Ainsi, cette menace, presque éteinte, est désormais à nouveau utilisée par les hackers dans leurs attaques.

Voici tout ce que vous devez savoir sur le double-clickjacking et comment vous protéger de cette menace émergente.

Du phishing au double-clickjacking

Hameçon sur un clavier

Dans un nouveau billet de blog, Yibelo explique comment fonctionne le double-clickjacking, expliquant que même s'il s'agit d'un petit changement, « cela ouvre la porte à de nouvelles attaques de manipulation de l'interface utilisateur qui contournent toutes les protections connues contre le détournement de clics ».

Jusqu’à présent, dans les attaques utilisant cette nouvelle variante du détournement de clics, les pirates conduisaient d’abord les victimes potentielles vers un site de phishing. Une fois sur place, une notification CAPTCHA standard apparaît, mais avec une particularité : au lieu d'écrire un texte brouillé ou d'identifier des animaux ou des objets sur des photos, les utilisateurs sont invités à double-cliquer sur un bouton pour prouver qu'ils sont humains.

En arrière-plan, entre ces deux clics, les pirates utilisant cette méthode d'attaque ont ajouté des fonctionnalités supplémentaires pour charger une page sensible, comme une confirmation d'autorisation OAuth. Alors que le premier clic d'un utilisateur ferme la fenêtre supérieure, son deuxième clic accède à la page sensible pour approuver l'autorisation, accorder l'autorisation ou effectuer une autre action.

Chose intéressante, le temps nécessaire à un utilisateur pour effectuer son deuxième clic n'a pas d'importance.

Selon Yibelo, le double-clickjacking peut être utilisé pour obtenir des autorisations OAuth et API sur la plupart des principaux sites Web. Cependant, cette nouvelle méthode d'attaque peut également être utilisée pour effectuer des modifications de compte en un clic, comme désactiver les paramètres de sécurité, supprimer un compte, autoriser l'accès aux transferts d'argent, confirmer des transactions, etc. De même, il peut même être utilisé pour attaquer les extensions de navigateur.

Comment se protéger du détournement de clics

Une personne tapant sur un ordinateur portable avec des messages d'avertissement affichés à l'écran

Se défendre contre cette nouvelle forme de détournement de clics est quelque chose que Google, Microsoft, Apple, Mozilla et d'autres fabricants de navigateurs devront mettre en œuvre dans les futures mises à jour. Cependant, vous pouvez toujours prendre certaines mesures pour éviter d’être victime d’une cyberattaque utilisant cette méthode d’attaque.

Pour commencer, vous devez toujours faire attention à l’endroit où vous cliquez en ligne. Qu'il s'agisse d'un lien dans un email, d'un SMS ou même d'un bouton sur un site internet, réfléchissez avant de cliquer. Dans ce cadre, vous devez également éviter de naviguer vers des sites suspects tels que des cadeaux trop beaux pour être vrais, comme ceux « gagnez un iPhone gratuit ».

Pour assurer la sécurité de vos appareils, vous devez utiliser le meilleur logiciel antivirus sur votre ordinateur Windows, le meilleur logiciel antivirus Mac sur votre ordinateur Apple et l'une des meilleures applications antivirus Android sur votre smartphone. Il n'existe pas d'équivalent iPhone de ces applications antivirus Android en raison des propres restrictions d'Apple, mais le logiciel antivirus Mac d'Intego peut analyser un iPhone ou un iPad à la recherche de logiciels malveillants lorsqu'il est connecté à un Mac via USB.

Maintenant que les pirates, les escrocs et autres cybercriminels utilisent à nouveau le détournement de clics dans leurs attaques, on peut s'attendre à ce que les fabricants de navigateurs et même les sites Web eux-mêmes commencent à ajouter de nouvelles fonctionnalités pour se protéger contre cette méthode d'attaque. Cependant, en attendant que ceux-ci commencent à être déployés, c'est à vous de pratiquer une bonne cyber-hygiène et, quoi que vous fassiez, ne double-cliquez pas sur les CAPTCHA que vous rencontrez.