حمله Clickjacking یا کلیک دزدی چیست؟ آشنای با Clickjacking و روش های جلوگیری

0 70

فهرست

Clickjacking یا کلیک دزدی چیست؟

کلیک دزدی یا Clickjacking یک حمله سایبری است که در آن یک لینک مخرب بصورت مخفیانه درون قسمتی از وب سایت قرار داده می‌شود و قربانی با کلیک کردن برروی آن قسمت به طور ناخواسته برروی آن لینک نیز کلیک می‌کند! طبیعی است که مهاجم برای فریب دادن قربانی و اغوای او، سعی می‌کند لینک را به گونه‌ای مخفی کند که قربانی برروی آن کلیک کند. برای مثال لینک را درون یک عکس یا بنر وسوسه کننده مثل موبایل رایگان، قرعه کشی و … مخفی می‌کند. پس به زبان ساده Clickjacking به این معناست که مهاجم کاری می‌کند که قربانی برروی چیزی کلیک کند که قصد آن را ندارد.

هدف حملات Clickjacking چیست؟

در Clickjacking در اصل دو نوع قربانی وجود دارد:

  • وب سایت آلوده
  • قربانیان

در این حملات وب سایت میزبان به عنوان یک بستر برای این حملات بکارگرفته می‌شود. سپس بازدیدکنندگان سایت با کلیک برروی محوطه آلوده به دام می‌افتند و مقاصد مجرمان سایبری برآورده می‌شود. پس هدف مهاجمان از این حملات می‌تواند ربودن نام کاربری و رمزعبور، فعالسازی وبکم، رساندن بدافزار به سیستم قربانی و … باشد. در ادامه می‌خواهیم پنج مورد از مقاصد این حملات را بررسی کنیم.

ربودن و انتقال پول

در بسیاری از موارد هدف هکرها بودن/انتقال دادن پول از حساب قربانیان می‌باشد. این نوع از کلاهبرداری عموما به این صورت انجام می‌شود که مهاجم یک لینک مخرب را درون یک بنر جذاب مخفی می‌کند. این بنز جذاب معمولا یک پیشنهاد وسوسه کننده مثل دریافت یک هدیه ارزشمند بصورت رایگان است. سپس قربانی با کلیک برروی آن به صفحه ای منتقل می‌شود که از او اطلاعاتی گرفته می‌شود. قربانی با وارد کردن این اطلاعات در اصل آن‌ها را برای مهاجم ارسال می‌کند و در ادامه مهاجم از این اطلاعات سواستفاده می‌کند.

فعال کردن وبکم و میکروفون

برخی مواقع هدف مهاجم دسترسی به میکروفون یا وبکم قربانیان می‌باشد. در این موارد، تنظیمات Adobe Flash کاربر بصورت نامرئی از طریق لینک مخفی بارگیری می‌شود. یعنی وقتی برروی لینک مخرب کلیک می‌شود، تنظیمات Adobe Flash قربانی تغییر می‌کند و اجازه لازم برای دسترسی مهاجم به وبکم یا میکروفون داده می‌شود. سپس مهاجم می‌تواند در زمان مناسب از این دو مورد سواستفاده کند.

حملات Likejacking

در این حملات، قربانیان بصورت ناخواسته برروی دکمه لایک یک پست در شبکه‌های اجتماعی کلیک می‌کنند. در این حملات با ظرافت خاصی دکمه لایک یک پست از یک شبکه اجتماعی درون یک المان وب سایتِ آلوده، مخفی شده است. قربانی با کلیک برروی این لینک، به صفحه لاگین آن شبکه اجتماعی منتقل می‌شود. بنابراین بنر اغوا کننده که در سایت آلوده قرار داده می‌شود، باید ارتباط با آن شبکه اجتماعی داشته باشد تا قربانی شک نکند.

حملات Cursorjacking

Cursorjacking نوعی Clickjacking است که در آن یک مکان نما تکراری ایجاد می‌شود. نمان نمای جعلی با یک مقدار فاصله از مکان نمای اصلی قرار می‌گیرد و بصورت مخفی در صفحه وجود دارد. کاربر وقتی می‌خواهد قطعه‌ای از متن را بگیرد و مثلا کپی کند، به هنگام فشردن کلید ماوس، برروی قسمتی کلیک می‌کند و بوسیله مکان‌نمای جعلی سعی می‌کند متن مورد نظر را انتخاب می‌کند. اما وقتی اینکار را انجام می‌دهد، مکان نمای اصلی برروی یک لینک یا بنر قرار می‌‎گیرد و برروی آن کلیک می‌شود!!

دانلود بدافزار

یکی از محبوب‌ترین مقاصد در Clickjacking دانلود بدافزار می‌باشد. بدین ترتیب، کاربر وقتی به دام می‌افتد و برروی یک لینک ناخواسته کلیک می‌کند، یک بدافزار را بارگیری می‌کند. این مورد حتی می‌تواند گام ابتدایی برای شروع حملات APT (تهدید پیوسته پیشرفته) باشد.

جلوگیری از حملات Clickjacking

از آنجایی که در بازه زمانی بخصوصی این حملات شایع شده بودند، راهکارهای زیادی نیز برای جلوگیری آن‌ها نیز ارائه شد. در این جا برخی از این موارد را بررسی می‌کنیم.

  • استفاده از X-Frame-Options در سرآیند (Header) به توسعه دهنده وب سایت این امکان را می‌دهد که انتخاب کند آیا مرورگر اجازه گنجاندن صفحات درون یک frame را داشته باشد یا خیر. به همین منظور، در پاسخ‌هایی که به سمت کاربر می‌رود (HTTP Responses) سرآیند را به این صورت تنظیم می‌کنیم:
X-Frame-Options: DENY
  • اضافه کردن FrameKiller به وب سایت. تابع framekiller در جاوا اسکریپت از قرار گیری صفحات درون iFrame جلوگیری می‌کند.
  • استفاده کاربران از افزونه‌های ضد کلیک دزدی. برخی مرورگرها همانند فایرفاکس دارای افزونه‌هایی برای جلوگیری از اجرای اسکریپت‌ها هستند.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.