Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.
Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. Ane ga tahu kalau ada password khusus untuk tanda tangan yang beda dengan password login karena ane bukan pengguna Dropbox, tapi emang lebih aman buat ganti password aja gan. Belum tentu juga data yang dishare sama Dropbox ini transparan, jadi ga ada salahnya buat lebih berhati-hati lagi. Ane baca di komen juga ada yang belum dapet notif dari Dropbox, dan baru tahu dari berita yang beredar. 
Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 4. (Read 142953 times)
Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
Bisa jadi peringatan bagi user yang sering nyimpen private key dan seed di notepad atau catatan di Hapenya. Kalau memang mendesak, semaksimal mungkin gunakan password atau PIN di file dan folder catatan/notepad yang menyimpan catatan yang sensitif di atas.1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.
Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.
Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.
[1] https://www.bleepingcomputer.com/news/security/new-wpeeper-android-malware-hides-behind-hacked-wordpress-sites/
[2] https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.
[1] https://www.bleepingcomputer.com/news/security/new-wpeeper-android-malware-hides-behind-hacked-wordpress-sites/
[2] https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/
Ini sama juga kayak kasus metamask beberapa waktu lalu (sebelum wallet tersebut tersedia buat HP), di website resmi metamask cuma tercantum link untuk extension, tapi ada beberapa user terjebak dan mendownload aplikasi tersebut di android. Namun pada akhirnya (mungkin karena banyak yang antusias download di HP) pihak developer mengembangkan aplikasi tersebut dan tersedia secara resmi di ios dan android (saat ini)
Dari informasi yang diumumkan Leather Wallet mengenai aplikasi palsu di App Store, nampaknya mereka juga sudah berencana membuat aplikasi versi mobile.
Saya lihat di website leather wallet, installer yang tersedia hanya untuk browser extension https://leather.io/install-extension; Dari sana sudah jelas, aplikasi resminya belum ada di App Store,
Ini sama juga kayak kasus metamask beberapa waktu lalu (sebelum wallet tersebut tersedia buat HP), di website resmi metamask cuma tercantum link untuk extension, tapi ada beberapa user terjebak dan mendownload aplikasi tersebut di android. Namun pada akhirnya (mungkin karena banyak yang antusias download di HP) pihak developer mengembangkan aplikasi tersebut dan tersedia secara resmi di ios dan android (saat ini)Dari informasi yang diumumkan Leather Wallet mengenai aplikasi palsu di App Store, nampaknya mereka juga sudah berencana membuat aplikasi versi mobile.
Jelas, aplikasi resmi perlu pengembangan dan cukup waktu sampai aplikasinya stabil digunakan user, dan tentu tidak sesederhana aplikasi phishing yang cara kerjanya mirip-mirip dan tidak jauh dari meminta user memasukkan seed phrase/private key.
Saya lihat di website leather wallet, installer yang tersedia hanya untuk browser extension https://leather.io/install-extension; Dari sana sudah jelas, aplikasi resminya belum ada di App Store,
Ini sama juga kayak kasus metamask beberapa waktu lalu (sebelum wallet tersebut tersedia buat HP), di website resmi metamask cuma tercantum link untuk extension, tapi ada beberapa user terjebak dan mendownload aplikasi tersebut di android. Namun pada akhirnya (mungkin karena banyak yang antusias download di HP) pihak developer mengembangkan aplikasi tersebut dan tersedia secara resmi di ios dan android (saat ini) -snip- Dari komen yang ane baca kebanyakan pada lengah dan tidak mengira kalau aplikasi di iOS ini aplikasi palsu, bukan dari Leather Wallet yang asli. Entah karena emang udah percaya sama App Store atau emang usernya sendiri yang tidak mempraktikkan praktik keamanan yang bagus sebelum download aplikasi. Dari report yang ane baca tampaknya proses takedown dari Apple sendiri makan waktu lebih dari satu minggu.
Rata-rata karena pengguna itu percaya sama aplikasi di App Store, karena untuk bisa launching di sana juga tidak semudah di play store-nya android, setahu saya stepnya cukup ribet dan lama dibanding ngelist aplikasi di android. Tapi itu masih tergantung user-nya juga, seharusnya sebelum download croschek dulu di website atau sosmed resminya Leather Wallet, biasanya kan kalau mereka lauching aplikasi di HP akan ada pemberitahuan dan link yang mengarah ke aplikasi resmi.Saya coba periksa di App Store sudah tidak ada aplikasi Leather Wallet. Dan proses takedown aplikasi dari App Store juga perlu peran dari user untuk mereport-nya sekalipun dari tahap awal proses masuknya app di App Store cukup ketat. Karena saya lihat aplikasi tersebut terkategori aplikasi phishing bukan aplikasi berisi virus, sehingga bisa dimaklumi masih lolos verifikasi. Jadi balik lagi ke user untuk mengecek ulang di website resminya.
Saya lihat di website leather wallet, installer yang tersedia hanya untuk browser extension https://leather.io/install-extension; Dari sana sudah jelas, aplikasi resminya belum ada di App Store, sama halnya dengan Electrum palsu di App Store yang pernah saya report: https://bitcointalksearch.org/topic/m.63154883.
Ini berita udah agak lama tapi kayaknya belum dishare disini. Tampaknya wallet drainer sudah merambah ke iOS dengan hadirnya Leather Wallet palsu[1]. Ane kurang tahu apakah ini yang pertama kali booming atau bukan, tapi tampaknya korban cukup banyak di sosmed. Dari komen yang ane baca kebanyakan pada lengah dan tidak mengira kalau aplikasi di iOS ini aplikasi palsu, bukan dari Leather Wallet yang asli. Entah karena emang udah percaya sama App Store atau emang usernya sendiri yang tidak mempraktikkan praktik keamanan yang bagus sebelum download aplikasi. Dari report yang ane baca tampaknya proses takedown dari Apple sendiri makan waktu lebih dari satu minggu.
Rata-rata karena pengguna itu percaya sama aplikasi di App Store, karena untuk bisa launching di sana juga tidak semudah di play store-nya android, setahu saya stepnya cukup ribet dan lama dibanding ngelist aplikasi di android. Tapi itu masih tergantung user-nya juga, seharusnya sebelum download croschek dulu di website atau sosmed resminya Leather Wallet, biasanya kan kalau mereka lauching aplikasi di HP akan ada pemberitahuan dan link yang mengarah ke aplikasi resmi.
Ini berita udah agak lama tapi kayaknya belum dishare disini. Tampaknya wallet drainer sudah merambah ke iOS dengan hadirnya Leather Wallet palsu[1]. Ane kurang tahu apakah ini yang pertama kali booming atau bukan, tapi tampaknya korban cukup banyak di sosmed. Dari komen yang ane baca kebanyakan pada lengah dan tidak mengira kalau aplikasi di iOS ini aplikasi palsu, bukan dari Leather Wallet yang asli. Entah karena emang udah percaya sama App Store atau emang usernya sendiri yang tidak mempraktikkan praktik keamanan yang bagus sebelum download aplikasi. Dari report yang ane baca tampaknya proses takedown dari Apple sendiri makan waktu lebih dari satu minggu.
Di sisi lain scammer juga cukup aktif melakukan hacking ke berbagai situs berbasis Wordpress untuk menyebarkan phishing[2]. Ada ribuan situs yang dilaporkan berhasil diserang oleh para scammer, jadi kalau agan-agan termasuk orang yang mengelola situs berbasis Wordpress harus berhati-hati. Tampaknya mereka juga melakukan aksi bruteforce untuk mendapatkan informasi login situs Wordpress yang diserang, jadi ada baiknya segera ganti default link untuk mengakses dashboard Wordpress agan (plus melakukan tindakan pengamanan lainnya). CMIIW.
[1] https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/
[2] https://www.bleepingcomputer.com/news/security/hackers-deploy-crypto-drainers-on-thousands-of-wordpress-sites/
Di sisi lain scammer juga cukup aktif melakukan hacking ke berbagai situs berbasis Wordpress untuk menyebarkan phishing[2]. Ada ribuan situs yang dilaporkan berhasil diserang oleh para scammer, jadi kalau agan-agan termasuk orang yang mengelola situs berbasis Wordpress harus berhati-hati. Tampaknya mereka juga melakukan aksi bruteforce untuk mendapatkan informasi login situs Wordpress yang diserang, jadi ada baiknya segera ganti default link untuk mengakses dashboard Wordpress agan (plus melakukan tindakan pengamanan lainnya). CMIIW.
[1] https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/
[2] https://www.bleepingcomputer.com/news/security/hackers-deploy-crypto-drainers-on-thousands-of-wordpress-sites/
Untuk split layar jelasnya beda lagi dengan multitasking secara defaultnya, mungkin maksud kamu itu bisa sembari menonton youtube tapi bisa melakukan aktifitas lain di HP kita tersebut?.
Ya si om, maksudnya saya apakah iPhone bisa di multitasking overlay seperti gambar game diatas. Secara tampilan kita memainkan sebuah game tapi dibalik game itu ternyata kita secara tidak sadar menekan dial number atau mungkin sudah ada fitur Filter tidak perlu instal aplikasi lain lebih baik sehingga selalu ada peringatan keamanan?
Untuk split layar jelasnya beda lagi dengan multitasking secara defaultnya, mungkin maksud kamu itu bisa sembari menonton youtube tapi bisa melakukan aktifitas lain di HP kita tersebut?.
Ya si om, maksudnya saya apakah iPhone bisa di multitasking overlay seperti gambar game diatas. Secara tampilan kita memainkan sebuah game tapi dibalik game itu ternyata kita secara tidak sadar menekan dial number atau mungkin sudah ada fitur Filter tidak perlu instal aplikasi lain lebih baik sehingga selalu ada peringatan keamanan?
Sepemahaman saya, overlay yang disebabkan touchjacking tersebut bukan dikategorikan multitasking yang umumnya diartikan sebagai fitur dengan membuka beberapa aplikasi dan bisa menjalankannya sekaligus dalam satu waktu.
btw, tadi saya coba membaca makalah berupa research mengenai:
"Touchjacking Attacks on Web in Android, iOS, and Windows Phone": https://web.ecs.syr.edu/~wedu/Research/paper/touchjacking_FPS2012.pdf;
Touchjacking ini bisa mengenai beberapa platform seperti disebutkan pada judul tulisan tersebut (terutama versi lawas), namun untuk yang lebih lanjut terdampak adalah Android.
5 Attacks on Other Platforms
To see whether the attacks we identified in this paper work on the platforms other than Android, we have tried the attacks on iOS (version 4.3.2) and Windows Phone 7. All the three types of Touchjacking attacks work on iOS and Windows Phone 7. For the event-simulating attack, unlike Android, iOS does not provide APIs to dispatch key/touch events to UIWebView. Therefore, we were not able to directly simulate key/touch events in UIWebView. Similar to iOS, Windows Phone does not provide any API support for programmatically invoking an event.
To see whether the attacks we identified in this paper work on the platforms other than Android, we have tried the attacks on iOS (version 4.3.2) and Windows Phone 7. All the three types of Touchjacking attacks work on iOS and Windows Phone 7. For the event-simulating attack, unlike Android, iOS does not provide APIs to dispatch key/touch events to UIWebView. Therefore, we were not able to directly simulate key/touch events in UIWebView. Similar to iOS, Windows Phone does not provide any API support for programmatically invoking an event.
Untuk split layar jelasnya beda lagi dengan multitasking secara defaultnya, mungkin maksud kamu itu bisa sembari menonton youtube tapi bisa melakukan aktifitas lain di HP kita tersebut?.
Ya si om, maksudnya saya apakah iPhone bisa di multitasking overlay seperti gambar game diatas. Secara tampilan kita memainkan sebuah game tapi dibalik game itu ternyata kita secara tidak sadar menekan dial number atau mungkin sudah ada fitur Filter tidak perlu instal aplikasi lain lebih baik sehingga selalu ada peringatan keamanan?
iPhone juga bisa loh multi tasking, kita bisa melakukan beberapa kegiatan dengan tidak menutup aplikasi sebelumnya, sama dengan android, cuma bedanya di aplikasi iPhone itu dalam menfilter virus atau malware dalam aplikasi itu cukup ketat dibanding apk di appstore android,
Saya belum tau om karena memang saya user Android 
. Kalau saya baca baca memang IPhone memiliki fitur iPhone split screen, ini sebuah fitur membagi iPhone menjadi dua bagian, tapi apakah bisa sampai seperti teknik penyamaran UI aslinya di overlay dengan iklan seperti yang dijelaskan om @Husna.Contoh cara kerja tapjacking pada varian serangan tipe Full occlusion ternyata ngeri juga, UI aslinya di overlay dengan iklan, dan ketika men-tap tanda "x" sebenarnya justru memberikan akses pada keadaan tertentu.
Apakah efektif menambahkan Adblock diperamban Chrome Android? Biasanya sih kalau yang sudah sudah webnya jadi tidak bisa terbuka dan ada peringatan untuk menonaktifkannya.Saya tidak memiliki device tersebut untuk mencobanya langsung; Tapi dari beberapa komentar user pada link yang agan bagikan di atas, yang menggunakan DNS Adguard bisa menghindari PopUp yang berpotensi memunculkan tapjacking.
Saya menemukan langkah untuk mengantisipasi ini (saya belum mencoba karena memang belum tahu dimana saya harus insert (tidak dijelaskan secara detail)) apakah harus melalui proses root?
Dengan melakukan “filterTouchesWhenObscured” secara programatically atau view.
Untuk Full Cover
Untuk yang partial
Mungkin om @Husna Bisa melengkapi.
Dengan melakukan “filterTouchesWhenObscured” secara programatically atau view.
Untuk Full Cover
Code:
android:filterTouchesWhenObscured="true"
Code:
val view = findViewById(R.id.layout_test)
view.filterTouchesWhenObscured = true
view.filterTouchesWhenObscured = true
Untuk yang partial
Code:
FLAG_WINDOW_IS_PARTIALLY_OBSCURED
Mungkin om @Husna Bisa melengkapi.
Saya belum paham mengenai XML ataupun bahasa pemrograman android, detailnya mungkin bisa lihat disini:
https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/8c5b4cd30a77733dd1012725b69d2089f78455ac%5E%21/
Contoh cara kerja tapjacking pada varian serangan tipe Full occlusion ternyata ngeri juga, UI aslinya di overlay dengan iklan, dan ketika men-tap tanda "x" sebenarnya justru memberikan akses pada keadaan tertentu.
Apakah efektif menambahkan Adblock diperamban Chrome Android? Biasanya sih kalau yang sudah sudah webnya jadi tidak bisa terbuka dan ada peringatan untuk menonaktifkannya.Saya menemukan langkah untuk mengantisipasi ini (saya belum mencoba karena memang belum tahu dimana saya harus insert (tidak dijelaskan secara detail)) apakah harus melalui proses root?
Dengan melakukan “filterTouchesWhenObscured” secara programatically atau view.
Untuk Full Cover
Code:
android:filterTouchesWhenObscured="true"
Code:
val view = findViewById(R.id.layout_test)
view.filterTouchesWhenObscured = true
view.filterTouchesWhenObscured = true
Untuk yang partial
Code:
FLAG_WINDOW_IS_PARTIALLY_OBSCURED
Mungkin om @Husna Bisa melengkapi.
iPhone juga bisa loh multi tasking, kita bisa melakukan beberapa kegiatan dengan tidak menutup aplikasi sebelumnya, sama dengan android, cuma bedanya di aplikasi iPhone itu dalam menfilter virus atau malware dalam aplikasi itu cukup ketat dibanding apk di appstore android,
Saya belum tau om karena memang saya user Android
. Kalau saya baca baca memang IPhone memiliki fitur iPhone split screen, ini sebuah fitur membagi iPhone menjadi dua bagian, tapi apakah bisa sampai seperti teknik penyamaran UI aslinya di overlay dengan iklan seperti yang dijelaskan om @Husna.Sumber: https://renaldysabdo.medium.com/apa-sih-android-tapjacking-074c3574f300
Mungkin ini tidak terjadi untuk pengguna Iphone karena tidak adanya fitur multi tasking.
iPhone juga bisa loh multi tasking, kita bisa melakukan beberapa kegiatan dengan tidak menutup aplikasi sebelumnya, sama dengan android, cuma bedanya di aplikasi iPhone itu dalam menfilter virus atau malware dalam aplikasi itu cukup ketat dibanding apk di appstore android, jadi tidak sembarangan kayak masukin ke android sehingga tidak banyak pengguna iPhone yang kena virus yang beginian. Btw, untuk virus-virus beginian memang sering disisipi di iklan game, karena ini menyangkut pada pendapatan dari developer game itu sendiri, artinya di luar dari aplikasi di storenya android, jadi kalau memang game tersebut bisa dimainkan offline, lebih baik dimatikan saja internetnya ketika bermain game tersebut. Untuk kasus terbaru saya juga belum dapat om, tapi saya memang dapet nggak sengaja dari Tiktok. Dengan memanfaatkan POP up iklan berbentuk Game yang secara tidak diketahui mengarahkan user untuk melakukan dial nomer tertentu. -snip-
Tadi belum terlalu 'ngeh' sebelum melihat videonya, ternyata ketika men-tap gambar tersebut sebenarnya sedang men-tap kode tertentu yang biasanya memang menampilkan beberapa informasi rahasia dari ponsel.
Saya baca dari beberapa komentar yang ada, PopUp iklan game tersebut biasanya muncul ketika membuka website semisal game bajakan.
Contoh cara kerja tapjacking pada varian serangan tipe Full occlusion ternyata ngeri juga, UI aslinya di overlay dengan iklan, dan ketika men-tap tanda "x" sebenarnya justru memberikan akses pada keadaan tertentu.
https://developer.android.com/privacy-and-security/risks/tapjacking#risk_full_occlusion
Mungkin agan bisa ngasih berita kasus terbaru yang agan temukan? Soalnya dari link yang agan cantumin sepemahaman ane membahas tentang Tapjackingnya saja. Apakah maksud agan serangan pake model floating window ini baru kejadian akhir" ini?
Untuk kasus terbaru saya juga belum dapat om, tapi saya memang dapet nggak sengaja dari Tiktok. Dengan memanfaatkan POP up iklan berbentuk Game yang secara tidak diketahui mengarahkan user untuk melakukan dial nomer tertentu. Karena memang waktu kasus ini marak saya tidak menyimak detail dan ternyata Virus ini memanfaatkan kelengahan user. Tapi mungkin bagi kita yang sudah paham bisa memanfatkan Ad Block. Karena kadang seperti HP Xio*i milik bapak saya itu banyak iklan iklan yang menggangu jadi sering mengeluh.
Sumber: https://vt.tiktok.com/ZSF4E1e8X/
Virus yang memanfaatkan keunggulan sistem Multitasking android ternyata dieksploitasi untuk membajak device kita. Melalui iklan berbentuk game yang dapat dimainkan dalam beberapa detik dengan menyentuh yang ternyata berisi dial. Hacker mengaburkan UI dengan overlay.
Mungkin agan bisa ngasih berita kasus terbaru yang agan temukan? Soalnya dari link yang agan cantumin sepemahaman ane membahas tentang Tapjackingnya saja. Apakah maksud agan serangan pake model floating window ini baru kejadian akhir" ini? Ane nyoba nyari di Google agak susah nemuin pembahasan paling baru dengan keyword tapjacking btw. Kebanyakan pembahasan masalah floating window dan sejenisnya udah berumur setidaknya satu tahun atau lebih, kaya yang satu ini[1].[1] https://www.appsealing.com/overlay-attacks/
Tapjaking mungkin bukan hal baru untuk temen-temen disini, tapi untuk ini termasuk baru untuk cara kerjanya. Virus yang memanfaatkan keunggulan sistem Multitasking android ternyata dieksploitasi untuk membajak device kita. Melalui iklan berbentuk game yang dapat dimainkan dalam beberapa detik dengan menyentuh yang ternyata berisi dial. Hacker mengaburkan UI dengan overlay. Mungkin ini tidak terjadi untuk pengguna Iphone karena tidak adanya fitur multi tasking.
Sumber:
1. https://developer.android.com/privacy-and-security/risks/tapjacking?hl=id
2. https://valsamaras.medium.com/tapjacking-attacks-a-thorough-guide-last-part-3-f19614314b7
Sumber:
1. https://developer.android.com/privacy-and-security/risks/tapjacking?hl=id
2. https://valsamaras.medium.com/tapjacking-attacks-a-thorough-guide-last-part-3-f19614314b7
Jump to: