کلیک جک که اغلب به عنوان «حمله اصلاح UI» شناخته میشود، یک حمله امنیتی سایبری است که با قرار دادن لایههای نامرئی بر روی محتوای وب ظاهراً بیضرر، کاربران را برای کلیک کردن روی پیوندهای پنهان دستکاری میکند.
پیدایش Clickjacking و اولین ظهور آن
اصطلاح "Clickjacking" اولین بار توسط Jeremiah Grossman و Robert Hansen در سال 2008 ابداع شد. این عبارت به عنوان یک بردار حمله جدید ظاهر شد که از اعتماد ذاتی کاربران در رابط های وب بصری استفاده می کند. اولین حادثه کلیک جک در سال 2008 زمانی رخ داد که پلاگین فلش ادوبی مورد هدف قرار گرفت و توجه جهانی را به این تهدید جدید امنیت سایبری جلب کرد.
رفع نقاب از Clickjacking: The Anatomy of the Threat
Clickjacking یک تکنیک فریبنده است که در آن مهاجم کاربر را فریب می دهد تا روی یک عنصر خاص از یک صفحه وب کلیک کند و تصور کند که چیز دیگری است. این امر با پوشاندن لایه های شفاف یا مات بر روی عناصر صفحه وب به دست می آید. برای مثال، یک کاربر ممکن است فکر کند که روی یک دکمه یا پیوند معمولی کلیک میکند، اما در واقعیت، با محتوای مخفی و مخرب تعامل دارد.
مهاجم میتواند از این روش برای فریب کاربر برای انجام اقداماتی استفاده کند که معمولاً با آنها موافقت نمیکند، مانند دانلود بدافزار، اشتراکگذاری ناخواسته اطلاعات خصوصی، یا حتی شروع تراکنشهای مالی.
رمزگشایی مکانیک Clickjacking
حمله کلیک جک شامل سه جزء اصلی است:
- قربانی: کاربری که با وب سایت مخرب تعامل دارد.
- حمله کننده: نهادی که وب سایت مخرب را ایجاد و کنترل می کند.
- رابط: صفحه وب فریبنده حاوی پیوند مخرب.
مهاجم یک صفحه وب حاوی iframe از یک سایت دیگر (هدف) طراحی می کند و این iframe را شفاف می کند. روی iframe نامرئی عناصری قرار گرفته اند که کاربر احتمالاً با آنها تعامل دارد، مانند دکمه هایی برای اقدامات محبوب یا پیوندهای قانع کننده. هنگامی که یک کاربر از سایت مهاجم بازدید می کند و روی محتوایی که فکر می کند ایمن است کلیک می کند، به طور ناآگاهانه با iframe پنهان در تعامل است و اقداماتی را در سایت هدف انجام می دهد.
ویژگی های کلیدی حملات Clickjacking
- نامرئی بودن: پیوندهای مخرب در زیر محتوای وب با ظاهر واقعی پنهان می شوند که اغلب برای کاربر قابل مشاهده نیستند.
- فریب: Clickjacking در گمراه كردن كاربران رشد میكند و باعث میشود آنها باور كنند كه یك عمل را انجام میدهند در حالی كه كار دیگری را انجام میدهند.
- اقدامات غیر توافقی: این حملات کاربران را فریب می دهد تا بدون اطلاع یا رضایت آنها اقداماتی را انجام دهند.
- تطبیق پذیری: Clickjacking می تواند برای طیف وسیعی از فعالیت های مضر، از انتشار بدافزار گرفته تا سرقت اطلاعات شخصی، استفاده شود.
انواع حملات Clickjacking
حملات Clickjacking را می توان بر اساس اجرا و آسیب مورد نظر طبقه بندی کرد. در اینجا سه نوع اصلی وجود دارد:
| تایپ کنید | شرح |
|---|---|
| مکان نما | ظاهر و مکان مکان نما را تغییر می دهد و کاربر را فریب می دهد تا روی مناطق غیرمنتظره کلیک کند. |
| لایک جک کردن | کاربر را فریب می دهد تا ناآگاهانه یک پست رسانه های اجتماعی را لایک کند، معمولاً برای گسترش کلاهبرداری یا افزایش دید. |
| جک فایل | کاربر را تحت عنوان یک لینک یا دکمه دانلود بی ضرر در دانلود یا اجرای یک فایل مخرب به دام می اندازد. |
استفاده از Clickjacking و راه حل ها برای مشکلات مرتبط
حملات Clickjacking می توانند طیف گسترده ای از مشکلات را ایجاد کنند، از مزاحمت های جزئی گرفته تا نقض های امنیتی بزرگ. آنها می توانند بدافزار را گسترش دهند، داده های حساس را سرقت کنند، اقدامات کاربر را دستکاری کنند و موارد دیگر.
خوشبختانه، چندین راه حل می تواند با کلیک جک مبارزه کند:
- با استفاده از هدر X-Frame-Options: به مرورگر دستور می دهد که آیا سایت می تواند قاب شود یا خیر. با رد کردن فریم، شما به طور موثر در برابر کلیک جک محافظت می کنید.
- اسکریپت های Framebusting: این اسکریپت ها از نمایش یک وب سایت در یک قاب جلوگیری می کنند.
- خط مشی امنیت محتوا (CSP): مرورگرهای مدرن از این سیاست پشتیبانی می کنند که از بارگیری صفحه در یک قاب جلوگیری می کند.
مقایسه با تهدیدات مشابه امنیت سایبری
| مدت، اصطلاح | شرح | شباهت ها | تفاوت |
|---|---|---|---|
| فیشینگ | مهاجمان هویت نهادهای قابل اعتماد را جعل می کنند تا کاربران را فریب دهند تا اطلاعات حساس را فاش کنند. | هر دو شامل فریب و دستکاری اعتماد کاربر هستند. | فیشینگ اغلب از ایمیل استفاده می کند و سبک بصری موجودیت های قابل اعتماد را تقلید می کند، در حالی که جک کلیک از محتوای وب مخرب استفاده می کند. |
| اسکریپت بین سایتی (XSS) | اسکریپت های مخرب به وب سایت های قابل اعتماد تزریق می شوند. | هر دو می توانند منجر به اقدامات غیرمجاز از طرف کاربر شوند. | XSS شامل تزریق کد به یک وب سایت است، در حالی که کلیک جک کاربر را فریب می دهد تا با محتوای همپوشانی تعامل داشته باشد. |
چشم اندازها و فناوری های آینده برای مقابله با کلیک جک
با نگاهی به آینده، توسعه دهندگان و متخصصان امنیتی باید از شیوه های امنیتی برای جلوگیری از حملات کلیک جک استفاده کنند. بهبود امنیت مرورگر، اسکریپتهای پیچیدهتر فریمبستر، و پذیرش گستردهتر سیاستهای امنیتی محتوا، برخی از دیدگاههای آینده برای مقابله با جک کلیک هستند.
علاوه بر این، تکنیکهای هوش مصنوعی و یادگیری ماشینی میتوانند برای شناسایی و جلوگیری از کلیک جک با شناسایی الگوها و ناهنجاریها در تعامل کاربر و ساختارهای وبسایت مورد استفاده قرار گیرند.
سرورهای پروکسی و اتصال آنها به کلیک جک
سرورهای پروکسی به عنوان واسطه بین کاربر و اینترنت عمل می کنند. در حالی که آنها مستقیماً از کلیک جک جلوگیری نمی کنند، می توانند با پوشاندن آدرس IP کاربر یک لایه امنیتی اضافی اضافه کنند و هدف قرار دادن کاربران خاص را برای مهاجمان دشوارتر می کند. علاوه بر این، برخی از سرورهای پروکسی پیشرفته میتوانند اطلاعات تهدید را ارائه کنند و فعالیتهای مشکوک را شناسایی کرده و به طور بالقوه تلاشهای جک کلیک را شناسایی و مسدود کنند.
