معرفی
اینترنت مرکز منابع مختلف اعم از آموزشی، بازی ها، وب سایت های تجاری، برنامه های کاربردی بانکی و غیره است. در واقع، این لیست بی پایان است. علیرغم تمام این سایت های قانونی و صادقانه، خطری در اینترنت وجود دارد که در سال 2002 کشف شد. حمله کلیک جک یا جبران رابط کاربری به طور رسمی به عنوان یک حمله اینترنتی رایج در سال 2008 معرفی شد. امروزه بسیاری از کاربران اینترنت پول خود را از دست می دهند یا طعمه آن می شوند. سرقت هویت از طریق استفاده از Clickjacking. این مقاله شما را با کلیک جک و تاثیر آن در اینترنت آشنا می کند.
کلیک جک
همانطور که قبلا ذکر شد، از آن به عنوان یک حمله اصلاحی UI نیز یاد می شود و شامل استفاده از لایه های مات/نامرئی در یک صفحه وب برای فریب دادن کاربران به کلیک کردن بر روی دکمه یا هر عنصری در صفحه می شود و بنابراین هرگونه رفتار مخربی را که مهاجم می خواهد انجام می دهد. Clickjacking تنها از ماوس و صفحه وب به عنوان ابزاری برای حمله به کاربران ناآگاه در اینترنت استفاده می کند.
انواع مختلفی از Clickjacking وجود دارد و در این مقاله سعی میکنیم به برخی از رایجترین انواع و چگونگی و چرایی پیادهسازی آنها در تجربیات روزمره اینترنتی ما بپردازیم.
کلاسیک کلیک جک
این از مرورگر استفاده میکند و شامل لایههای غیر شفاف صفحات وب میشود تا کاربر را فریب دهد تا روی مواردی کلیک کند که نمیتواند ببیند و ممکن است از حساب خود پول منتقل کند یا خرید آنلاین انجام دهد. معمولاً این صفحات وب با متنی فریبنده مانند «برنده یک سفر رایگان به دبی»، «هدیه رایگان خود را در اینجا مطالبه کنید» یا هر چیز مشابهی ارائه میشوند تا کاربر را به کلیک کردن جلب کند. صفحه مخفی که به این دکمه فریبنده نگاشت می شود ممکن است دکمه ای داشته باشد که بدون اطلاع کاربر، پول را به نام مهاجمان یا خرید آنلاین انجام می دهد. ردیابی این شکل از حمله دشوار است زیرا بر خلاف سرقت هویت، در این مورد کاربر تراکنش را شخصاً بدون اطلاع انجام می دهد.
لایک جک کردن
در این تکنیک، مهاجم بدون اطلاع کاربر، یک صفحه رسانه اجتماعی را به کاربر صادق «لایک» یا «فالو» میکند. این معمولاً شامل «لایک» یا «دنبال کردن» توییتر در فیس بوک است.
تو در تو کلیک جک
در این تکنیک، مهاجم از گزینههای HTTP X-Frame برای جاسازی یک فریم وب مخرب بین دو فریم از یک صفحه وب قانونی استفاده میکند، بنابراین یکی از آنها پنهان است و دیگری که بسیار شبیه به کلیک جک کلاسیک به کاربر نمایش داده میشود.
جک فایل
این روش از قابلیت های ناوبری فایل مرورگر برای دسترسی به داده های حساس کاربران استفاده می کند. این کاربر را فریب می دهد تا با استفاده از گفتگوی فایل ها و پوشه های موجود در مرورگرها، یک سرور فایل فعال ایجاد کند. سپس مهاجمان میتوانند به فایلهای رایانههای کاربران دسترسی پیدا کرده و آنها را بدزدند.
ترک کوکی
با استفاده از این روش، مهاجم کاربر را فریب می دهد تا شیئی را که برای کاربر فریبنده است، بکشد. همانطور که ممکن است به نظر بی ضرر باشد، هنگامی که کاربر شیء را می کشد، تمام کوکی های خود را در اختیار مهاجمان قرار می دهد. مهاجم در نهایت کل محتوای کوکی کاربران و تمام داده های موجود در آن را در اختیار دارد.
مکان نما