ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

حمله «کلیک دزدی» چیست و چطور اطلاعات کاربران را به سرقت می‌برد؟

اینترت و تکنولوژی نه‌تنها انقلابی در زندگی روزمره ما به وجود آورده‌اند، بلکه زندگی مجرمان سایبری و هکرها را نیز دگرگون کرده‌اند. این متخصصین توانسته‌اند از تکنولوژی‌های جدید برای یافتن راهکارهای جدید و مبتکرانه در ...

شایان ضیایی
نوشته شده توسط شایان ضیایی | ۱۶ مهر ۱۳۹۹ | ۲۱:۰۰

اینترت و تکنولوژی نه‌تنها انقلابی در زندگی روزمره ما به وجود آورده‌اند، بلکه زندگی مجرمان سایبری و هکرها را نیز دگرگون کرده‌اند. این متخصصین توانسته‌اند از تکنولوژی‌های جدید برای یافتن راهکارهای جدید و مبتکرانه در هک، حملات بدخواهانه، رخنه‌های امنینی و چیزهایی از این دست اضافه کرد. و در لیست بلند بالای حملاتی که از سوی هکرها ترتیب داده می‌شوند، گذشته از تزریق SQL، حملات DDoS و فیشینگ، شاهد تکنیکی دیگر به نام Clickjacking نیز هستیم. بیایید به بررسی عمیق‌ کلیک‌جکینگ یا «کلیک دزدی» بپردازیم و ببینیم که به عنوان کلاینت، مشتری یا کاربر، چطور باید از خود در برابر آن محافظت کرد.

کلیک دزدی چیست؟

کلیک دزدی

اکثر ما با مفهوم «هایجک» آشنایی داریم، چه از طریق دنبال کردن اخبار و چه تماشای فیلم‌های سینمایی. قربانیان بخت‌برگشته سوار هواپیما می‌شوند تا در مقصد مد نظر خود فرود آیند. اما در میانه پرواز، مهاجمینی مسلح کنترل هواپیما را به دست گرفته یا آن را «هایجک» می‌کنند و با گروگان گرفتن مسافرین، قصد دارند مقاصد شرورانه خود را محقق کنند. کلیک‌جکینگ یا کلیک‌زدی هم درست مانند هایجک هواپیما است، اما با این فرق که این بار کلیک‌ها ربوده می‌شوند و مهاجمین هم مجرمانی سایبری هستند که می‌خواهند با سرقت کلیک، قربانی از همه‌جا بی‌خبر را به صفحه‌ای دیگر هدایت کرده و اطلاعات حساس (نظیر اطلاعات بانکی) او را به دست آورند.

اگر به صورت فنی به صحبت راجع به موضوع بپردازیم، کلیک‌دزدی تحت عنوان «UI Redress Attack» نیز شناخته می‌شود. در این نوع از حملات سایبری، مهاجم از آسیب‌پذیری‌های موجود در رابط کاربری یا صفحه وب سوء استفاده کرده و آن‌ها را به گونه‌ای ویرایش می‌کند که لایه‌هایی شفاف روی لایه‌های زیرین و اصلی سایت قرار می‌گیرند. اما در عین حال، ظاهر سایت عملا دست‌نخورده باقی می‌ماند و مثل یک صفحه قابل اعتماد جلوه می‌کند.

اما وقتی کاربر روی لینک‌ها یا دکمه‌های مشخصی در صفحه کلیک می‌کند، کلیک‌هایش به سرقت رفته و به گونه‌ای تصرف می‌شوند که کاربر عملا در حال تعامل با وب‌سایتی متفاوتی خواهد بود. کلیک‌دزدی در مجموع یکی از آسان‌ترین حملات سایبری جهان به حساب می‌آید که در عین حال می‌تواند آسیب فراوانی وارد کند.

برای مثال، یک مهاجم سایبری ممکن است دکمه‌ای با محوریت «دریافت آیفون رایگان» در انتهای یک صفحه وب قرار داده باشد و لایه‌ای از وب پیجی که از آن استفاده می‌کنید را رویش کشیده باشد. او سپس دکمه آیفون رایگان را به دکمه انتقال پول در حساب بانکی‌تان متصل کرده و هر بار که روی دکمه کلیک می‌کنید، اساسا در حال تایید انتقال پول به حساب هکر هستید، بدون اینکه خودتان خبردار باشید.

دلایل و انگیزه‌های پشت حملات کلیک‌دزدی

کلیک دزدی

حملات کلیک‌دزدی به صورت معمول با ۴ هدف اتفاق می‌افتند:

  1. ترغیب کاربران به دانلود یک بدافزار
  2. به دست آوردن کنترل یک کامپیوتر یا دستگاه موبایل
  3. دسترسی یافتن به سخت‌افزارهای جانبی
  4. ترغیب کاربر به پست کردن،‌ لایک کردن، بازنشر یا فالو کردن محتویات خاصی در یک شبکه اجتماعی، بدون اینکه خودش خبردار شود

شیوه کارکرد حملات کلیک‌دزدی

کلیک دزدی

استراتژی‌های رایجی که مجرمان سایبری برای پیاده‌سازی حملات کلیک‌دزدی به کار می‌گیرند، به شرح زیر است:

اپلیکیشن‌های آسیب‌پذیر: وقتی درون یک اپلیکیشن مانند پلاگین Adobe Flash Player آسیب‌پذیری وجود داشته باشد، هکر می‌تواند به سخت‌افزار متصل به سیستم حاوی آن اپلیکیشن، مثلا دوربین یا میکروفون، دسترسی پیدا کند.

صفحات شفاف:‌ همانطور که بالاتر اشاره کردیم، مجرمان سایبری از آسیب‌پذیری‌های مرورگر برای اتصال صفحه‌ای که از پیش اعتبارش تایید شده به صفحه آلوده مد نظر خودشان استفاده می‌کنند. بنابراین مهاجم می‌تواند به دلخواه بخش‌هایی از اپلیکیشن اورجینال را نامرئی کرده و به جای آن‌ها، عناصری کنترل شده مانند دکمه‌ها و تب‌هایی که می‌خواهد روی آن‌ها کلیک شوند را به نمایش درآورد.

دکمه جاوا اسکریپت: هنگامی که تنها از HTML استفاده می‌شود، برخی از کارکردهای رایج شاید در دسترس نباشند. بنابراین با استفاده از جاوا اسکریپت به جای تنها HTML، مجرمان سایبری می‌توانند رابط کاربری (UI) را به طرق مختلف دستکاری کنند. برای مثال با تعبیه یک وب پیچ بدخواهانه در مروگر، می‌توان همواره یک دکمه زیر نشانگر ماوس کاربر قرار داد تا او در نهایت محبور به کلیک روی لینک یا دکمه شود.

لایه iFrame: وب‌سایت آلوده مهاجمین، شامل دو بخش است: یک کد برای تولید رابط کاربری جعلی و یک لایه iFrame برای اینکه بخش‌های واقعی اپلیکیشن پنهان شوند. هکر می‌تواند با استفاده از لایه‌های iFrame، این باور را در ذهن کاربر به وجود آورد که در حال استفاده از یک اپلیکیشن مشروع است و به این ترتیب، او را فریب داده و وادار به انجام کارهای دلخواهش می‌کند.

چطور از حملات کلیک‌دزدی جلوگیری کنیم؟

کلیک دزدی

اگرچه کلیک‌دزدی در نگاه نخست آنقدرها آسیب‌رسان به نظر نمی‌رسد، اما حقیقت چیز دیگری است و این حملات با انگیزه‌های بدخواهانه و تاثیرات شگرف به انجام می‌رسند. بنابراین باید همواره در صدد جلوگیری از این حملات برآیید تا پول خود، مشتریان‌تان یا حتی ارزش برندتان از دست نرود.

متاسفانه هیچ تدابیر دفاعی تضمین شده‌ای برای مقابله کلیک‌دزدی وجود ندارد. اما با انجام برخی کارها، می‌توان ریسک چنین حملاتی را به حداقل رساند. در سمت کلاینت، غیر فعال کردن جاوا اسکریپت می‌تواند کاری موثر باشد، اما از آن‌جایی که بسیاری از سایت‌ها متکی بر جاوا اسکریپت هستند، غیر فعال‌سازی آن ممکن است کارکردهای کلی سایت را نیز از کار بیندازد.

از سوی دیگر، محصولاتی تجاری داریم که بدون تاثیرگذاری روی iFrame های واقعی، سعی می‌کنند از شما در برابر کلیک‌دزدی محافظت کنند. این محصولات بیشتر به درد سازمان‌هایی می‌خورند که می‌خواهند از کارمندان خود محافظت کنند و هیچ کاری برای محافظت از مشتریانی که به وب‌سایت سازمان سر می‌زنند انجام نمی‌دهند.

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی