هر روز هزاران رايانه به بدافزار آلوده مي‌شود اما نه از يک راه. ClickJacking يکي از روش‌هايي است که نفوذگران و ويروس‌نويسان براي رسيدن به اهداف خود از آن بهره مي‌برند که در طي چند سال گذشته شيوع بيشتري يافته است.

کسری پاک نیت در شماره این هفته مجله بایت، به بررسی این روش از نفوذگری پرداخته است.

در روش ClickJacking کاربر از شاخه‌هاي Cross-site بهره مي‌گيرد.

در اين روش کاربر به ظاهر روي يک دکمه يا لينک کليک مي‌کند اما در نهايت عملي ديگر انجام مي‌پذيرد و يا کاربر به‌طور ناخواسته به سايت ديگري راهنمايي مي‌شود.

در روش ClickJacking کاربر با کليک روي دکمه‌هاي نامرئي، مجوزي صادر مي‌کند که خود از آن بي‌اطلاع است.

در اين روش، نفوذگر از ضعف مرورگر بهره مي‌برد چرا که هر سايتي مي‌تواند قرباني اين روش شود و لزومي ندارد که کاربر به آن سايت اعتماد داشته باشد يا خير.

صفحات وب به‌طور عمومي به‌وسيله کد HTML نوشته مي‌شوند. خود کدهاي HTML مخرب نيستند اما مي‌توانند شرايط را براي اجراي يک کد مخرب JavaScript ايجاد کنند. بدين ترتيب که پس از بارگزاري سايت و نمايش همه المان‌ها، صفحه نامرئي ديگري روي صفحه بارگزاري مي‌شود.

اين صفحه نامرئي باعث پاک شدن تصاوير صفحه اصلي نمي‌شود و مي‌تواند همه صفحه زيرين و يا بخشي از آن‌را بپوشاند.

اگر چه نفوذگران معمولا قسمت‌هاي جذاب را انتخاب مي‌کنند و بقيه صفحه را دست‌نخورده باقي مي‌گذارند اما نمي‌توان به‌درستي دريافت که از چه روشي براي اين‌کار استفاده مي‌کنند و کيفيت آن چگونه است.

مرسوم‌ترين و ساده‌ترين روش کليک‌دزدي، استفاده از نمايشگرهاي ويدئو در صفحات وب است.

بیشتر بدانید:   روش های بهبود ایندکس شدن صفحات وب سایت در گوگل

در بعضي از سايت‌ها يک Video بارگزاري مي‌شود و به ظاهر دکمه Play تنها به يک کليک کاربر نياز دارد تا فايل شروع به پخش شدن کند اما درست بعد از بارگزاري صفحه اصلي، يک صفحه نامرئي روي آن قرار مي‌گيرد و کاربر پس از کليک روي دکمه Play دکمه نامرئي را فشار مي‌دهد و دستورات ديگري را اجرا مي‌کند.

مرسوم‌ترين اتفاقي که پس از کليک کردن روي يکي از اين دکمه‌ها رخ مي‌دهد، هدايت شدن به يک صفحه ديگر از اينترنت است اما با همين روش مي‌توان حساب کاربري و يا بانکي کاربر را نيز سرقت کرد و يا به وب‌کم و ميکروفن او دسترسي يافت.

اين تنها نمونه‌اي از يک ClickJacking است اما بايد به اين نکته توجه کرد که ClickJacking با مهندسي اجتماعي گره خورده است و سعي مي‌کند از سوژه‌هاي جذاب و فريبنده براي مجبور کردن کاربر به کليک روي دکمه نامرئي بهره ببرد.

همان‌گونه که گفته شد، ضعف امنيتي مرورگرها به اضافه ضعف امنيتي سرويس‌دهنده‌هاي اينترنتي دليل اصلي استفاده نفوذگران از روش ClickJacking يا کليک‌دزدي است اما کاربران نيز مي‌توانند با اتخاذ رويه‌اي امنيتي از افتادن در دام اين کليک‌دزدها در امان بمانند.

تا به امروز هيچ مرورگري به هيچ ابزاري براي جلوگيري از ClickJacking مجهز نشده است. اگر چه اين نکته يکي از نگراني‌هاي سازندگان مرورگرهاست اما روش نفوذ به هر مرورگري متفاوت است و طبيعي است که مرورگرهاي محبوب‌تر بيشتر در خطر قرار دارند.

مرورگر فايرفاکس تنها مرورگري است که مي‌تواند با استفاده از يک Add on در مقابل ClickJacking ايمن باقي بماند. البته اگر اين ابزار را روي فايرفاکس نصب نکنيد، اين مرورگر مي‌تواند کاملا مورد علاقه نفوذگران باشد.

بیشتر بدانید:   دو پردازنده مجزا در نت‌بوك Swordfish Net

NoScript نام اين Add on امنيتي است و در صورتي‌که يک سايت مورد حمله ClickJacking قرار گرفته باشد، با نمايش عبارت redressed به کاربر اخطار مي‌دهد.

نگاه کردن به سايت و مطالعه متون آن بي‌خطر است اما کليک کردن روي هر نقطه از يک سايت redressed شده يک ريسک واقعي به‌شمار مي‌رود.

مايکروسافت براي حفاظت از مرورگر خود يک روش وب‌نويسي ايجاد کرده است که به کاربران IE در مورد ClickJacking اخطار مي‌دهد اما اين روش يک حفاظت نصفه و نيمه است و نمي‌توان هميشه به آن اعتماد کرد. اگر چه سافاري و Chrome نيز از همين روش براي مقابله با ClickJacking استفاده مي‌کنند.

سايت‌هاي مطرح که روي سرورهاي مشهور و ايمن بارگذاري شده‌اند کمتر مورد اين‌گونه حملات قرار مي‌گيرند؛ از همين‌رو استفاده از سايت‌هاي ناآشنا و يا مشکوک مي‌تواند ريسک گرفتار شدن به دام ClickJacking را افزايش دهد.

خودداري از کليک روي هر لينک يا تصوير جذابي، نيمي از امنيت است که نه تنها ClickJacking را کم‌اثر مي‌کند بلکه شما را در برابر روش‌هاي مهندسي اجتماعي نيز ايمن خواهد کرد.

نظر خود را بنویسید

لطفا نظر خود را بنویسید
لطفا نام خود را وارد کنید

This site uses Akismet to reduce spam. Learn how your comment data is processed.