ITanalyze

پایگاه‌های اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شده‌اند کم‌تر مورد این گونه حملات قرار می‌گیرند. از همین‌رو استفاده از سایت‌های ناآشنا و یا مشکوک می‌تواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.

هر روز هزاران رایانه به بدافزار آلوده می‌شود اما نه از یک راه. ClickJacking یکی از روش‌هایی است که نفوذگران و ویروس‌نویسان برای رسیدن به اهداف خود از آن بهره می‌برند که در طی چند سال گذشته شیوع بیشتری یافته است و در سال 2012 به یکی از روش‌های محبوب نفوذ تبدیل شده است.

در روش ClickJacking کاربر از یکی از شاخه‌های Cross-site بهره می‌گیرد. در این روش کاربر به ظاهر روی یک دکمه یا لینک کلیک می‌کند اما در نهایت عملی دیگر انجام می‌پذیرد و یا کاربر به‌طور ناخواسته به سایت دیگری هدایت می‌شود. در روش ClickJacking کاربر با کلیک روی دکمه‌های نامرئی، مجوزی صادر می‌کند که خود از آن بی‌اطلاع است. در این روش نفوذگر از ضعف مرورگر بهره می‌برد چرا که هر سایتی می‌تواند قربانی این روش شود و لزومی ندارد که کاربر به آن سایت اعتماد داشته باشد یا نه.

صفحات وب به‌طور عمومی به وسیله کدهای HTML نوشته می‌شوند. کدهای HTML خود مخرب نیستند اما می‌توانند شرایط را برای اجرای یک کد مخرب JavaScript ایجاد کنند. به این ترتیب که پس از بارگذاری سایت و نمایش همه المان‌ها، صفحه نامرئی دیگری روی صفحه بارگذاری می‌شود. این صفحه نامرئی باعث پاک شدن تصاویر صفحه اصلی نمی‌شود و می‌تواند همه صفحه زیرین و یا بخشی از آن را بپوشاند.

اگر چه نفوذگران معمولا قسمت‌های جذاب صفحه را انتخاب می‌کنند و بقیه صفحه را دست نخورده باقی می‌گذارند اما نمی‌توان به درستی دریافت که از چه روشی برای این کار استفاده می‌کنند و کیفیت آن چگونه است.

در بسیاری از سایت‌ها این صفحه نامرئی با اولین کلیک کاربر روی سایت فعالیت خود را انجام داده و بلافاصله حذف می‌شود. یکی از دلایل مرسوم باز شدن صفحات تبلیغاتی، کلیک روی همین صفحه نامرئی است.

مرسوم‌ترین و ساده‌ترین روش کلیک دزدی، استفاده از نمایشگرهای ویدئو در صفحات وب است. در بعضی از سایت‌ها یک Video بارگذاری می‌شود و به ظاهر دکمه Play تنها به یک کلیک کاربر نیاز دارد تا فایل شروع به پخش شدن کند اما درست بعد از بارگذاری صفحه اصلی، یک صفحه نامرئی روی آن قرار می‌گیرد و کاربر پس از کلیک روی دکمه Play دکمه نامرئی را فشار می‌دهد و دستورات دیگری را اجرا می‌کند.

مرسوم‌ترین اتفاقی که پس از کلیک کردن روی یکی از این دکمه‌ها رخ می‌دهد، هدایت شدن به یک صفحه دیگر در اینترنت است اما با همین روش می‌توان حساب کاربری و یا بانکی کاربر را نیز سرقت کرد و یا به وب‌کم و میکروفون او دسترسی یافت. البته این تنها نمونه‌ای از یک ClickJacking است اما باید به این نکته توجه کرد که ClickJacking با مهندسی اجتماعی گره خورده است و سعی می‌کند از سوژه‌های جذاب و فریبنده برای مجبور کردن کاربر به کلیک روی دکمه نامرئی بهره ببرد.

همان‌گونه که گفته شد، ضعف امنیتی مرورگرها به اضافه ضعف امنیتی سرویس‌دهنده‌های اینترنتی دلیل اصلی استفاده نفوذگران از روش ClickJacking یا کلیک دزدی است اما کاربران نیز می‌توانند با اتخاذ رویه‌های امنیتی از افتادن در دام این کلیک دزدها در امان بمانند.

تا به امروز هیچ مرورگری به هیچ ابزاری برای جلوگیری از ClickJacking مجهز نشده است. اگر چه این نکته یکی از نگرانی‌های سازندگان مرورگرها است اما روش نفوذ به هر مرورگری متفاوت است و طبیعی است که مرورگرهای محبوب‌تر بیشتر در خطر قرار دارند. مرورگر فایرفاکس تنها مرورگری است که می‌تواند با استفاده از یک Add on در مقابل ClickJacking ایمن شود.

به گزارش مشرق، البته اگر این ابزار را روی فایرفاکس نصب نکنید، این مرورگر می‌تواند کاملا مورد علاقه نفوذگران باشد. NoScript نام این افزونه امنیتی است و در صورتی که یک سایت مورد حمله ClickJacking قرار گرفته باشد با نمایش عبارت redressed به کاربر اخطار می‌دهد. البته نگاه کردن به سایت و مطالعه متون آن بی‌خطر است اما کلیک کردن روی هر نقطه از یک سایت redressed شده یک ریسک واقعی است.

مایکروسافت برای حفاظت از مرورگر خود یک روش وب‌نویسی ایجاد کرده است که به کاربران IE در مورد ClickJacking اخطار می‌دهد اما این روش یک حفاظت نصفه و نیمه است و نمی‌توان همیشه به آن اعتماد کرد. اگر چه Safari و Chrome نیز از همین روش برای مقابله با ClickJacking استفاده می‌کنند.

پایگاه‌های اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شده‌اند کم‌تر مورد این گونه حملات قرار می‌گیرند. از همین‌رو استفاده از سایت‌های ناآشنا و یا مشکوک می‌تواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.

خودداری از کلیک روی هر لینک یا تصویر جذابی نیمی از امنیت است که نه تنها ClickJacking را کم اثر می‌کند بلکه شما را در برابر روش‌های مهندسی اجتماعی نیز ایمن خواهد کرد.