کمیته رکن چهارم – اینترت و تکنولوژی نهتنها انقلابی در زندگی روزمره ما به وجود آوردهاند، بلکه زندگی مجرمان سایبری و هکرها را نیز دگرگون کردهاند. این متخصصین توانستهاند از تکنولوژیهای جدید برای یافتن راهکارهای جدید و مبتکرانه در هک، حملات بدخواهانه، رخنههای امنینی و چیزهایی از این دست اضافه کرد. و در لیست بلند بالای حملاتی که از سوی هکرها ترتیب داده میشوند، گذشته از تزریق SQL، حملات DDoS و فیشینگ، شاهد تکنیکی دیگر به نام Clickjacking نیز هستیم. بیایید به بررسی عمیق کلیکجکینگ یا «کلیک دزدی» بپردازیم و ببینیم که به عنوان کلاینت، مشتری یا کاربر، چطور باید از خود در برابر آن محافظت کرد.
کلیک دزدی چیست؟
اکثر ما با مفهوم «هایجک» آشنایی داریم، چه از طریق دنبال کردن اخبار و چه تماشای فیلمهای سینمایی. قربانیان بختبرگشته سوار هواپیما میشوند تا در مقصد مد نظر خود فرود آیند. اما در میانه پرواز، مهاجمینی مسلح کنترل هواپیما را به دست گرفته یا آن را «هایجک» میکنند و با گروگان گرفتن مسافرین، قصد دارند مقاصد شرورانه خود را محقق کنند. کلیکجکینگ یا کلیکزدی هم درست مانند هایجک هواپیما است، اما با این فرق که این بار کلیکها ربوده میشوند و مهاجمین هم مجرمانی سایبری هستند که میخواهند با سرقت کلیک، قربانی از همهجا بیخبر را به صفحهای دیگر هدایت کرده و اطلاعات حساس (نظیر اطلاعات بانکی) او را به دست آورند.
اگر به صورت فنی به صحبت راجع به موضوع بپردازیم، کلیکدزدی تحت عنوان «UI Redress Attack» نیز شناخته میشود. در این نوع از حملات سایبری، مهاجم از آسیبپذیریهای موجود در رابط کاربری یا صفحه وب سوء استفاده کرده و آنها را به گونهای ویرایش میکند که لایههایی شفاف روی لایههای زیرین و اصلی سایت قرار میگیرند. اما در عین حال، ظاهر سایت عملا دستنخورده باقی میماند و مثل یک صفحه قابل اعتماد جلوه میکند.
اما وقتی کاربر روی لینکها یا دکمههای مشخصی در صفحه کلیک میکند، کلیکهایش به سرقت رفته و به گونهای تصرف میشوند که کاربر عملا در حال تعامل با وبسایتی متفاوتی خواهد بود. کلیکدزدی در مجموع یکی از آسانترین حملات سایبری جهان به حساب میآید که در عین حال میتواند آسیب فراوانی وارد کند.
برای مثال، یک مهاجم سایبری ممکن است دکمهای با محوریت «دریافت آیفون رایگان» در انتهای یک صفحه وب قرار داده باشد و لایهای از وب پیجی که از آن استفاده میکنید را رویش کشیده باشد. او سپس دکمه آیفون رایگان را به دکمه انتقال پول در حساب بانکیتان متصل کرده و هر بار که روی دکمه کلیک میکنید، اساسا در حال تایید انتقال پول به حساب هکر هستید، بدون اینکه خودتان خبردار باشید.
دلایل و انگیزههای پشت حملات کلیکدزدی
حملات کلیکدزدی به صورت معمول با ۴ هدف اتفاق میافتند:
- ترغیب کاربران به دانلود یک بدافزار
- به دست آوردن کنترل یک کامپیوتر یا دستگاه موبایل
- دسترسی یافتن به سختافزارهای جانبی
- ترغیب کاربر به پست کردن، لایک کردن، بازنشر یا فالو کردن محتویات خاصی در یک شبکه اجتماعی، بدون اینکه خودش خبردار شود
شیوه کارکرد حملات کلیک دزدی
استراتژیهای رایجی که مجرمان سایبری برای پیادهسازی حملات کلیکدزدی به کار میگیرند، به شرح زیر است:
اپلیکیشنهای آسیبپذیر: وقتی درون یک اپلیکیشن مانند پلاگین Adobe Flash Player آسیبپذیری وجود داشته باشد، هکر میتواند به سختافزار متصل به سیستم حاوی آن اپلیکیشن، مثلا دوربین یا میکروفون، دسترسی پیدا کند.
صفحات شفاف: همانطور که بالاتر اشاره کردیم، مجرمان سایبری از آسیبپذیریهای مرورگر برای اتصال صفحهای که از پیش اعتبارش تایید شده به صفحه آلوده مد نظر خودشان استفاده میکنند. بنابراین مهاجم میتواند به دلخواه بخشهایی از اپلیکیشن اورجینال را نامرئی کرده و به جای آنها، عناصری کنترل شده مانند دکمهها و تبهایی که میخواهد روی آنها کلیک شوند را به نمایش درآورد.
دکمه جاوا اسکریپت: هنگامی که تنها از HTML استفاده میشود، برخی از کارکردهای رایج شاید در دسترس نباشند. بنابراین با استفاده از جاوا اسکریپت به جای تنها HTML، مجرمان سایبری میتوانند رابط کاربری (UI) را به طرق مختلف دستکاری کنند. برای مثال با تعبیه یک وب پیچ بدخواهانه در مروگر، میتوان همواره یک دکمه زیر نشانگر ماوس کاربر قرار داد تا او در نهایت محبور به کلیک روی لینک یا دکمه شود.
لایه iFrame: وبسایت آلوده مهاجمین، شامل دو بخش است: یک کد برای تولید رابط کاربری جعلی و یک لایه iFrame برای اینکه بخشهای واقعی اپلیکیشن پنهان شوند. هکر میتواند با استفاده از لایههای iFrame، این باور را در ذهن کاربر به وجود آورد که در حال استفاده از یک اپلیکیشن مشروع است و به این ترتیب، او را فریب داده و وادار به انجام کارهای دلخواهش میکند.
چطور از حملات کلیکدزدی جلوگیری کنیم؟
اگرچه کلیکدزدی در نگاه نخست آنقدرها آسیبرسان به نظر نمیرسد، اما حقیقت چیز دیگری است و این حملات با انگیزههای بدخواهانه و تاثیرات شگرف به انجام میرسند. بنابراین باید همواره در صدد جلوگیری از این حملات برآیید تا پول خود، مشتریانتان یا حتی ارزش برندتان از دست نرود.
متاسفانه هیچ تدابیر دفاعی تضمین شدهای برای مقابله کلیکدزدی وجود ندارد. اما با انجام برخی کارها، میتوان ریسک چنین حملاتی را به حداقل رساند. در سمت کلاینت، غیر فعال کردن جاوا اسکریپت میتواند کاری موثر باشد، اما از آنجایی که بسیاری از سایتها متکی بر جاوا اسکریپت هستند، غیر فعالسازی آن ممکن است کارکردهای کلی سایت را نیز از کار بیندازد.
از سوی دیگر، محصولاتی تجاری داریم که بدون تاثیرگذاری روی iFrame های واقعی، سعی میکنند از شما در برابر کلیکدزدی محافظت کنند. این محصولات بیشتر به درد سازمانهایی میخورند که میخواهند از کارمندان خود محافظت کنند و هیچ کاری برای محافظت از مشتریانی که به وبسایت سازمان سر میزنند انجام نمیدهند.
منبع : دیجیاتو