گرداب- هر روز هزاران رايانه به بدافزار آلوده ميشود اما نه از يک راه. ClickJacking يکي از روشهايي است که نفوذگران و ويروسنويسان براي رسيدن به اهداف خود از آن بهره ميبرند که در طي چند سال گذشته شيوع بيشتري يافته است و در سال 2012 به يکي از روشهاي محبوب نفوذ تبديل شده است.
در روش ClickJacking کاربر از يکي از شاخههاي Cross-site بهره ميگيرد. در اين روش کاربر به ظاهر روي يک دکمه يا لينک کليک ميکند اما در نهايت عملي ديگر انجام ميپذيرد و يا کاربر بهطور ناخواسته به سايت ديگري هدايت ميشود. در روش ClickJacking کاربر با کليک روي دکمههاي نامرئي، مجوزي صادر ميکند که خود از آن بياطلاع است. در اين روش نفوذگر از ضعف مرورگر بهره ميبرد چرا که هر سايتي ميتواند قرباني اين روش شود و لزومي ندارد که کاربر به آن سايت اعتماد داشته باشد يا نه.
صفحات وب بهطور عمومي به وسيله کدهاي HTML نوشته ميشوند. کدهاي HTML خود مخرب نيستند اما ميتوانند شرايط را براي اجراي يک کد مخرب JavaScript ايجاد کنند. به اين ترتيب که پس از بارگذاري سايت و نمايش همه المانها، صفحه نامرئي ديگري روي صفحه بارگذاري ميشود. اين صفحه نامرئي باعث پاک شدن تصاوير صفحه اصلي نميشود و ميتواند همه صفحه زيرين و يا بخشي از آن را بپوشاند.
اگر چه نفوذگران معمولا قسمتهاي جذاب صفحه را انتخاب ميکنند و بقيه صفحه را دست نخورده باقي ميگذارند اما نميتوان به درستي دريافت که از چه روشي براي اين کار استفاده ميکنند و کيفيت آن چگونه است.
در بسياري از سايتها اين صفحه نامرئي با اولين کليک کاربر روي سايت فعاليت خود را انجام داده و بلافاصله حذف ميشود. يکي از دلايل مرسوم باز شدن صفحات تبليغاتي، کليک روي همين صفحه نامرئي است.
مرسومترين و سادهترين روش کليک دزدي، استفاده از نمايشگرهاي ويدئو در صفحات وب است. در بعضي از سايتها يک Video بارگذاري ميشود و به ظاهر دکمه Play تنها به يک کليک کاربر نياز دارد تا فايل شروع به پخش شدن کند اما درست بعد از بارگذاري صفحه اصلي، يک صفحه نامرئي روي آن قرار ميگيرد و کاربر پس از کليک روي دکمه Play دکمه نامرئي را فشار ميدهد و دستورات ديگري را اجرا ميکند.
مرسومترين اتفاقي که پس از کليک کردن روي يکي از اين دکمهها رخ ميدهد، هدايت شدن به يک صفحه ديگر در اينترنت است اما با همين روش ميتوان حساب کاربري و يا بانکي کاربر را نيز سرقت کرد و يا به وبکم و ميکروفون او دسترسي يافت. البته اين تنها نمونهاي از يک ClickJacking است اما بايد به اين نکته توجه کرد که ClickJacking با مهندسي اجتماعي گره خورده است و سعي ميکند از سوژههاي جذاب و فريبنده براي مجبور کردن کاربر به کليک روي دکمه نامرئي بهره ببرد.
همانگونه که گفته شد، ضعف امنيتي مرورگرها به اضافه ضعف امنيتي سرويسدهندههاي اينترنتي دليل اصلي استفاده نفوذگران از روش ClickJacking يا کليک دزدي است اما کاربران نيز ميتوانند با اتخاذ رويههاي امنيتي از افتادن در دام اين کليک دزدها در امان بمانند.
تا به امروز هيچ مرورگري به هيچ ابزاري براي جلوگيري از ClickJacking مجهز نشده است. اگر چه اين نکته يکي از نگرانيهاي سازندگان مرورگرها است اما روش نفوذ به هر مرورگري متفاوت است و طبيعي است که مرورگرهاي محبوبتر بيشتر در خطر قرار دارند. مرورگر فايرفاکس تنها مرورگري است که ميتواند با استفاده از يک Add on در مقابل ClickJacking ايمن شود.
البته اگر اين ابزار را روي فايرفاکس نصب نکنيد، اين مرورگر ميتواند کاملا مورد علاقه نفوذگران باشد. NoScript نام اين افزونه امنيتي است و در صورتي که يک سايت مورد حمله ClickJacking قرار گرفته باشد با نمايش عبارت redressed به کاربر اخطار ميدهد. البته نگاه کردن به سايت و مطالعه متون آن بيخطر است اما کليک کردن روي هر نقطه از يک سايت redressed شده يک ريسک واقعي است.
مايکروسافت براي حفاظت از مرورگر خود يک روش وبنويسي ايجاد کرده است که به کاربران IE در مورد ClickJacking اخطار ميدهد اما اين روش يک حفاظت نصفه و نيمه است و نميتوان هميشه به آن اعتماد کرد. اگر چه Safari و Chrome نيز از همين روش براي مقابله با ClickJacking استفاده ميکنند.
پايگاههاي اينترنتي مشهور که روي سرورهاي مشهور و ايمن بارگذاري شدهاند کمتر مورد اين گونه حملات قرار ميگيرند. از همينرو استفاده از سايتهاي ناآشنا و يا مشکوک ميتواند ريسک گرفتار شدن به دام ClickJacking را افزايش دهد.خودداري از کليک روي هر لينک يا تصوير جذابي نيمي از امنيت است که نه تنها ClickJacking را کم اثر ميکند بلکه شما را در برابر روشهاي مهندسي اجتماعي نيز ايمن خواهد کرد.
مشرق