Memahami Clickjacking: Serangan Berasaskan Pelayar Yang Boleh Melangkau Perlindungan untuk Mengambil Alih Akaun

Helah clickjacking yang tidak mengesyaki orang untuk mengklik pada pautan yang mereka fikir tidak berbahaya — tetapi kemudian memuat turun perisian hasad, menuai kelayakan log masuk dan mengambil alih akaun dalam talian. Malangnya, perisian hasad clickjacking boleh mengelak perlindungan keselamatan, tetapi ada cara anda boleh melindungi diri anda.

• Daripada kelemahan DNS kepada clickjacking

Apa itu Clickjacking?

Juga dikenali sebagai serangan pembetulan UI, clickjacking ialah satu bentuk serangan berasaskan antara muka yang memanipulasi pengguna untuk mengklik pada butang atau pautan yang menyamar sebagai sesuatu yang lain.

Tidak seperti spoofing laman web, di mana mangsa dibawa ke tapak web palsu yang direka untuk meniru tapak web syarikat yang sah, clickjacking membawa pengguna ke tapak web sebenar. Walau bagaimanapun, penyerang mencipta tindanan yang tidak kelihatan di atas tapak web yang sah menggunakan alat HTML seperti helaian gaya berlatarkan (CSS) dan iframe.

Lapisan halimunan dicipta menggunakan iframe, elemen HTML yang digunakan untuk membenamkan halaman web atau dokumen HTML ke halaman web lain. Ia telus, jadi ia masih kelihatan seperti anda berinteraksi dengan tapak web yang sah. Walau bagaimanapun, jika anda mengklik butang pada tapak web, bermain permainan atau melakukan tugas yang anda anggap tidak berbahaya, klik tersebut akan digunakan pada tapak web halimunan di bahagian atas. Klik ini memberi penggodam akses kepada akaun anda, membolehkan mereka memuat turun perisian hasad, mengawal peranti anda dan melakukan aktiviti jahat yang lain.

Kadangkala, penyerang menyamar sebagai pemasar untuk menipu pengguna agar menyukai halaman media sosial atau siaran. Serangan ini dipanggil likejacking. Penyerang menghantar video menarik atau "tawaran istimewa" kepada pengguna dan apabila mengklik "Main" atau berinteraksi dengan kandungan, pengguna akan mengklik butang suka tersembunyi secara tidak sengaja.

Satu lagi versi clickjacking, dipanggil cursor-jacking, menipu pengguna dengan kursor tersuai untuk mengklik pada pautan atau bahagian tapak web yang pengguna tidak berniat untuk berinteraksi dengannya.

Variasi clickjacking yang lebih maju yang dipanggil double clickjacking mengeksploitasi masa dan urutan klik dua kali pengguna.

Pintas perlindungan antivirus dan penyemak imbas

Apa yang membuatkan orang ramai bimbang tentang clickjacking ialah ia sering memintas perisian anti-virus dan anti-malware. Oleh kerana serangan ini berlaku pada tapak web yang bereputasi dan tidak selalu memuat turun apa-apa, perisian antivirus tradisional mungkin tidak mengesannya.

Kebanyakan penyemak imbas datang dengan perlindungan terbina dalam, tetapi seperti yang kita sedia maklum, penggodam sentiasa mencari cara baharu untuk mengeksploitasi pengguna dalam talian. Kebanyakan serangan clickjacking asas disekat dengan berkesan – tetapi bukan serangan double clickjacking.

Daripada sesuatu yang berniat jahat berlaku pada klik pertama anda, kod penyerang memasukkan tindanan yang dirampas sebelum menggesa anda mengklik untuk kali kedua. Ini boleh datang dalam bentuk klik dua kali mudah untuk mengesahkan tindakan atau CAPTCHA yang menjengkelkan. Pada klik kedua, anda mungkin memasang pemalam secara tidak sengaja dan memberikan penyerang akses ke akaun anda.

Pada masa ini, penyemak imbas mungkin tidak mengesan versi yang lebih kompleks ini kerana ia tidak menggunakan persediaan iframe yang biasa, meletakkan anda berisiko tinggi untuk menjadi mangsa rampasan klik. Ini bukan sahaja terhad kepada pelayar desktop; Pengguna mudah alih juga disasarkan dengan gesaan ketik dua kali.

Bagaimana Doublejacking Melangkau Perlindungan Clickjacking

Banyak pelayar web moden telah mengurangkan clickjacking dengan perlindungan keselamatan. Walau bagaimanapun, versi canggih yang dipanggil "double clickjacking" boleh memintas perlindungan tradisional dengan mengeksploitasi jujukan antara dua klik untuk mengambil alih akaun atau melakukan tindakan yang tidak dibenarkan.

Dalam serangan double clickjacking, unsur berniat jahat dimasukkan antara klik pertama dan kedua pengguna. Mula-mula, anda dibawa ke tapak web yang dikawal oleh penyerang dan diberi gesaan, seperti menyelesaikan CAPTCHA atau mengklik dua kali butang untuk membenarkan tindakan. Klik pertama akan menutup atau menukar tetingkap atas (tindih CAPTCHA), menyebabkan klik kedua pergi ke butang kebenaran atau pautan yang tersembunyi sebelum ini. Klik kedua membenarkan pemalam berniat jahat, menyebabkan apl OAuth menyambung ke akaun anda atau meluluskan gesaan pengesahan berbilang faktor.

Perkara yang boleh anda lakukan untuk melindungi diri anda

Teknik clickjacking adalah canggih dan direka bentuk untuk menipu dan mencuri klik anda, tetapi terdapat beberapa perkara yang boleh anda lakukan untuk melindungi diri anda.

• Sentiasa pastikan peranti dan penyemak imbas anda dikemas kini. Beri perhatian kepada patch keselamatan, serta kemas kini perisian, dan pasangkannya sebaik sahaja ia tersedia. Jurutera kerap mengeluarkan patch untuk menangani kelemahan keselamatan dan melindungi pengguna daripada serangan baharu.
• Bersikap curiga terhadap gesaan klik dua kali, terutamanya pada tapak web yang anda tidak biasa.
• Sentiasa semak semula URL tapak web yang anda lawati. Penyerang boleh menggunakan teknik typosquatting untuk membeli versi domain yang sah yang mempunyai perbezaan yang sangat kecil, seperti menambahkan "a" atau tanda sempang pada domain, seperti "ama-zon.com".
• Elakkan daripada mengklik pautan apabila anda tidak pasti sumbernya. Anda boleh menggunakan penyemak pautan tapak untuk melihat sama ada pautan itu selamat.

Penyerang sering mengambil kesempatan daripada kepercayaan anda terhadap tapak web yang sah dan tindakan asas yang sering kami lakukan tanpa berfikir, seperti mengklik dua kali. Sentiasa perlahan dan berfikir sebelum anda mengklik untuk melindungi diri anda.