Close Menu
اعوجاج - پیشتاز در اخبار فناوری، آموزش و ترفندها !
آخرین اخبار در ایمیلتان
ترفندهای کامپیوتر

حمله مبتنی بر مرورگر: دور زدن امنیت و تسلط بر حساب کاربری شما

توسط
حمله مبتنی بر مرورگر: دور زدن امنیت و تسلط بر حساب کاربری شما

کلیک‌جکینگ: این حمله مبتنی بر مرورگر می‌تواند از حفاظت‌های امنیتی عبور کرده و حساب کاربری شما را تصاحب کند

کلیک‌جکینگ افراد بی‌خبر را فریب می‌دهد تا روی لینک‌هایی کلیک کنند که به نظر بی‌خطر می‌آیند، اما سپس بدافزار را دانلود کرده، اطلاعات ورود را جمع‌آوری کرده و حساب‌های آنلاین را تصاحب می‌کند. متاسفانه، بدافزارهای کلیک‌جکینگ می‌توانند از محافظت‌های امنیتی عبور کنند، اما راه‌هایی برای محافظت از خود وجود دارد.

کلیک‌جکینگ چیست؟

کلیک‌جکینگ که با نام‌های “حمله‌ی بازآرایی رابط کاربری” یا “حمله پوشش رابط کاربری (UI)” نیز شناخته می‌شود، نوعی حمله مبتنی بر رابط کاربری است که کاربران را فریب می‌دهد تا روی دکمه‌ها یا لینک‌هایی کلیک کنند که به شکل چیز دیگری ظاهر شده‌اند.

مقاله‌های مرتبط

برخلاف تقلب سایت (website spoofing) که در آن قربانیان به یک سایت جعلی هدایت می‌شوند که به‌طور دقیق سایت یک شرکت معتبر را شبیه‌سازی کرده است، کلیک‌جکینگ کاربران را به سایت واقعی هدایت می‌کند. با این حال، حمله‌کنندگان یک لایه نامرئی روی سایت واقعی ایجاد می‌کنند که از ابزارهای HTML مانند CSS و iframe استفاده می‌کند.

این لایه نامرئی با استفاده از iframe‌ها ساخته می‌شود که یک عنصر HTML است و برای گنجاندن یک صفحه وب یا سند HTML در صفحه‌ای دیگر استفاده می‌شود. این لایه شفاف است، بنابراین هنوز به نظر می‌رسد که شما در حال تعامل با یک صفحه وب معتبر هستید. اما اگر روی دکمه‌ای که در سایت معتبر وجود دارد کلیک کنید، بازی کنید یا عملی را انجام دهید که فکر می‌کنید بی‌خطر است، آن کلیک‌ها به سایت نامرئی بالای صفحه اعمال می‌شود. این کلیک‌ها به هکرها اجازه می‌دهند تا به حساب‌های شما دسترسی پیدا کنند، بدافزار دانلود کنند، دستگاه‌های شما را کنترل کنند و اقدامات مخرب دیگر انجام دهند.

گاهی اوقات، حمله‌کنندگان که خود را به‌عنوان بازاریاب‌ها جا زده‌اند، کاربران را فریب می‌دهند تا صفحه یا پست یک شبکه اجتماعی را لایک کنند. این حمله به نام likejacking شناخته می‌شود. حمله‌کنندگان یک ویدئوی جالب یا “پیشنهاد ویژه” به کاربران ارسال می‌کنند و کلیک بر روی دکمه “پخش” یا تعامل با محتوا باعث می‌شود که کاربر به طور ناخودآگاه روی دکمه لایک پنهان کلیک کند.

نسخه دیگری از کلیک‌جکینگ به نام cursor-jacking وجود دارد که کاربران را با استفاده از یک نشانگر سفارشی فریب می‌دهد تا روی لینک‌ها یا بخش‌هایی از یک وب‌سایت که کاربر قصد تعامل با آن‌ها را نداشته، کلیک کنند.

نوع پیشرفته‌تری از کلیک‌جکینگ به نام double clickjacking وجود دارد که از زمان‌بندی و توالی دوبار کلیک کاربر سوء استفاده می‌کند.

چگونه Doublejacking از محافظت‌های کلیک‌جکینگ عبور می‌کند؟

بسیاری از مرورگرهای وب مدرن با تدابیر امنیتی، از کلیک‌جکینگ جلوگیری کرده‌اند. با این حال، نسخه پیچیده‌تری از آن به نام double clickjacking وجود دارد که می‌تواند با سوء استفاده از توالی دو کلیک، از محافظت‌های سنتی عبور کرده و به حساب کاربری دسترسی پیدا کرده یا اقدامات غیرمجاز انجام دهد.

در حمله double clickjacking، عناصر مخرب بین اولین و دومین کلیک کاربر وارد می‌شوند. ابتدا شما به یک سایت تحت کنترل مهاجم هدایت می‌شوید و یک درخواست مانند حل یک CAPTCHA یا دوبار کلیک کردن روی یک دکمه برای مجاز کردن یک اقدام، به شما نشان داده می‌شود. کلیک اول پنجره بالایی (پوشش CAPTCHA) را می‌بندد یا تغییر می‌دهد، و باعث می‌شود کلیک دوم روی دکمه یا لینکی که قبلاً مخفی بود، فرود آید. کلیک دوم، پلاگین‌های مخرب را مجاز کرده و باعث اتصال یک برنامه OAuth به حساب شما یا تایید درخواست احراز هویت چند عاملی می‌شود.

چه کاری می‌توانید برای محافظت از خود انجام دهید

تکنیک‌های کلیک‌جکینگ پیچیده هستند و به‌گونه‌ای طراحی شده‌اند که شما را گیج کنند تا کلیک‌های شما را دزدیده و از آن سوء استفاده کنند، اما کارهایی وجود دارد که می‌توانید برای محافظت از خود انجام دهید.

  • دستگاه و مرورگر خود را به‌روز نگه دارید. به‌روزرسانی‌های امنیتی و نرم‌افزاری را پیگیری کنید و به محض انتشار آنها، آنها را نصب کنید. مهندسان به‌طور مرتب پچ‌هایی را برای رفع آسیب‌پذیری‌های امنیتی منتشر می‌کنند تا از کاربران در برابر حملات جدید محافظت کنند.
  • به پنجره‌های پاپ‌آپی که از شما درخواست دوبار کلیک می‌کنند مشکوک باشید، به‌ویژه در سایت‌هایی که آشنایی با آنها ندارید.
  • همیشه آدرس وب‌سایت‌هایی که بازدید می‌کنید را دوباره بررسی کنید. مهاجمان ممکن است از تکنیک تایپواسکواتینگ برای خرید نسخه‌ای از دامنه‌های معتبر با تفاوت‌های جزئی استفاده کنند، مانند اضافه کردن یک “a” اضافی یا خط تیره به دامنه، مثلاً “ama-zon.com“.
  • از کلیک بر روی لینک‌ها وقتی که مطمئن نیستید منبع آن چیست خودداری کنید. می‌توانید از چک‌کننده لینک‌های وب‌سایت استفاده کنید تا ببینید لینک امن است یا خیر.

مهاجمان اغلب از اعتمادی که شما به سایت‌های معتبر دارید و اقدامات پایه‌ای که معمولاً بدون فکر انجام می‌دهیم، مانند دوبار کلیک کردن، سوء استفاده می‌کنند. همیشه مهم است که آرام باشید و قبل از کلیک کردن فکر کنید تا از خودتان محافظت کنید.

منبع :
makeuseof
اشتراک گذاری.
Avatar

علاقمند به فناوری و تکنولوژی هستم و عاشق اینم که درباره جدیدترین تکنولوژی های روز دنیا بدونم. به خاطر همین هم کارشناسی مهندسی کامپیوتر خوندم.

پیشنهاد اعوجاج

دیدگاه‌ها و نظرات خود را بنویسید

جدیدترین ترفندها