پایگاههای اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شدهاند کمتر مورد این گونه حملات قرار میگیرند. از همینرو استفاده از سایتهای ناآشنا و یا مشکوک میتواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.
هر روز هزاران رایانه به بدافزار آلوده میشود اما نه از یک راه. ClickJacking یکی از روشهایی است که نفوذگران و ویروسنویسان برای رسیدن به اهداف خود از آن بهره میبرند که در طی چند سال گذشته شیوع بیشتری یافته است و در سال 2012 به یکی از روشهای محبوب نفوذ تبدیل شده است.
در روش ClickJacking کاربر از یکی از شاخههای Cross-site بهره میگیرد. در این روش کاربر به ظاهر روی یک دکمه یا لینک کلیک میکند اما در نهایت عملی دیگر انجام میپذیرد و یا کاربر بهطور ناخواسته به سایت دیگری هدایت میشود. در روش ClickJacking کاربر با کلیک روی دکمههای نامرئی، مجوزی صادر میکند که خود از آن بیاطلاع است. در این روش نفوذگر از ضعف مرورگر بهره میبرد چرا که هر سایتی میتواند قربانی این روش شود و لزومی ندارد که کاربر به آن سایت اعتماد داشته باشد یا نه.
صفحات وب بهطور عمومی به وسیله کدهای HTML نوشته میشوند. کدهای HTML خود مخرب نیستند اما میتوانند شرایط را برای اجرای یک کد مخرب JavaScript ایجاد کنند. به این ترتیب که پس از بارگذاری سایت و نمایش همه المانها، صفحه نامرئی دیگری روی صفحه بارگذاری میشود. این صفحه نامرئی باعث پاک شدن تصاویر صفحه اصلی نمیشود و میتواند همه صفحه زیرین و یا بخشی از آن را بپوشاند.
اگر چه نفوذگران معمولا قسمتهای جذاب صفحه را انتخاب میکنند و بقیه صفحه را دست نخورده باقی میگذارند اما نمیتوان به درستی دریافت که از چه روشی برای این کار استفاده میکنند و کیفیت آن چگونه است.
در بسیاری از سایتها این صفحه نامرئی با اولین کلیک کاربر روی سایت فعالیت خود را انجام داده و بلافاصله حذف میشود. یکی از دلایل مرسوم باز شدن صفحات تبلیغاتی، کلیک روی همین صفحه نامرئی است.
مرسومترین و سادهترین روش کلیک دزدی، استفاده از نمایشگرهای ویدئو در صفحات وب است. در بعضی از سایتها یک Video بارگذاری میشود و به ظاهر دکمه Play تنها به یک کلیک کاربر نیاز دارد تا فایل شروع به پخش شدن کند اما درست بعد از بارگذاری صفحه اصلی، یک صفحه نامرئی ر
وی آن قرار میگیرد و کاربر پس از کلیک روی دکمه Play دکمه نامرئی را فشار میدهد و دستورات دیگری را اجرا میکند.
مرسومترین اتفاقی که پس از کلیک کردن روی یکی از این دکمهها رخ میدهد، هدایت شدن به یک صفحه دیگر در اینترنت است اما با همین روش میتوان حساب کاربری و یا بانکی کاربر را نیز سرقت کرد و یا به وبکم و میکروفون او دسترسی یافت. البته این تنها نمونهای از یک ClickJacking است اما باید به این نکته توجه کرد که ClickJacking با مهندسی اجتماعی گره خورده است و سعی میکند از سوژههای جذاب و فریبنده برای مجبور کردن کاربر به کلیک روی دکمه نامرئی بهره ببرد.
همانگونه که گفته شد، ضعف امنیتی مرورگرها به اضافه ضعف امنیتی سرویسدهندههای اینترنتی دلیل اصلی استفاده نفوذگران از روش ClickJacking یا کلیک دزدی است اما کاربران نیز میتوانند با اتخاذ رویههای امنیتی از افتادن در دام این کلیک دزدها در امان بمانند.
تا به امروز هیچ مرورگری به هیچ ابزاری برای جلوگیری از ClickJacking مجهز نشده است. اگر چه این نکته یکی از نگرانیهای سازندگان مرورگرها است اما روش نفوذ به هر مرورگری متفاوت است و طبیعی است که مرورگرهای محبوبتر بیشتر در خطر قرار دارند. مرورگر فایرفاکس تنها مرورگری است که میتواند با استفاده از یک Add on در مقابل ClickJacking ایمن شود.
به گزارش مشرق، البته اگر این ابزار را روی فایرفاکس نصب نکنید، این مرورگر میتواند کاملا مورد علاقه نفوذگران باشد. NoScript نام این افزونه امنیتی است و در صورتی که یک سایت مورد حمله ClickJacking قرار گرفته باشد با نمایش عبارت redressed به کاربر اخطار میدهد. البته نگاه کردن به سایت و مطالعه متون آن بیخطر است اما کلیک کردن روی هر نقطه از یک سایت redressed شده یک ریسک واقعی است.
مایکروسافت برای حفاظت از مرورگر خود یک روش وبنویسی ایجاد کرده است که به کاربران IE در مورد ClickJacking اخطار میدهد اما این روش یک حفاظت نصفه و نیمه است و نمیتوان همیشه به آن اعتماد کرد. اگر چه Safari و Chrome نیز از همین روش برای مقابله با ClickJacking استفاده میکنند.
پایگاههای اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شدهاند کمتر مورد این گونه حملات قرار میگیرند. از همینرو استفاده از سایتهای ناآشنا و یا مشکوک میتواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.
خودداری از کلیک روی هر لینک یا تصویر جذابی نیمی از امنیت است که نه تنها ClickJacking را کم اثر میکند بلکه شما را در برابر روشهای مهندسی اجتماعی نیز ایمن خواهد کرد.
