کلیک دزدی چیست و چگونه اطلاعات کاربران را به سرقت می‌برد؟

کلیک دزدی چیست و چگونه اطلاعات کاربران را به سرقت می‌برد؟ 7

اینترت و تکنولوژی نه‌تنها انقلابی در زندگی روزمره ما به وجود آورده‌اند، بلکه زندگی مجرمان سایبری و هکرها را نیز دگرگون کرده‌اند. این متخصصین توانسته‌اند از تکنولوژی‌های جدید برای یافتن راهکارهای جدید و مبتکرانه در هک، حملات بدخواهانه، رخنه‌های امنینی و چیزهایی از این دست اضافه کرد. و در لیست بلند بالای حملاتی که از سوی هکرها ترتیب داده می‌شوند، گذشته از تزریق SQL، حملات DDoS و فیشینگ، شاهد تکنیکی دیگر به نام Clickjacking نیز هستیم. بیایید به بررسی عمیق‌ کلیک‌جکینگ یا «کلیک دزدی» بپردازیم و ببینیم که به عنوان کلاینت، مشتری یا کاربر، چطور باید از خود در برابر آن محافظت کرد.

کلیک دزدی چیست و چگونه اطلاعات کاربران را به سرقت می‌برد؟ 8

کلیک دزدی چیست؟

اکثر ما با مفهوم «هایجک» آشنایی داریم، چه از طریق دنبال کردن اخبار و چه تماشای فیلم‌های سینمایی. قربانیان بخت‌برگشته سوار هواپیما می‌شوند تا در مقصد مد نظر خود فرود آیند. اما در میانه پرواز، مهاجمینی مسلح کنترل هواپیما را به دست گرفته یا آن را «هایجک» می‌کنند و با گروگان گرفتن مسافرین، قصد دارند مقاصد شرورانه خود را محقق کنند. کلیک‌جکینگ یا کلیک‌زدی هم درست مانند هایجک هواپیما است، اما با این فرق که این بار کلیک‌ها ربوده می‌شوند و مهاجمین هم مجرمانی سایبری هستند که می‌خواهند با سرقت کلیک، قربانی از همه‌جا بی‌خبر را به صفحه‌ای دیگر هدایت کرده و اطلاعات حساس (نظیر اطلاعات بانکی) او را به دست آورند.

اگر به صورت فنی به صحبت راجع به موضوع بپردازیم، کلیک‌دزدی تحت عنوان «UI Redress Attack» نیز شناخته می‌شود. در این نوع از حملات سایبری، مهاجم از آسیب‌پذیری‌های موجود در رابط کاربری یا صفحه وب سوء استفاده کرده و آن‌ها را به گونه‌ای ویرایش می‌کند که لایه‌هایی شفاف روی لایه‌های زیرین و اصلی سایت قرار می‌گیرند. اما در عین حال، ظاهر سایت عملا دست‌نخورده باقی می‌ماند و مثل یک صفحه قابل اعتماد جلوه می‌کند.

اما وقتی کاربر روی لینک‌ها یا دکمه‌های مشخصی در صفحه کلیک می‌کند، کلیک‌هایش به سرقت رفته و به گونه‌ای تصرف می‌شوند که کاربر عملا در حال تعامل با وب‌سایتی متفاوتی خواهد بود. کلیک‌دزدی در مجموع یکی از آسان‌ترین حملات سایبری جهان به حساب می‌آید که در عین حال می‌تواند آسیب فراوانی وارد کند.

برای مثال، یک مهاجم سایبری ممکن است دکمه‌ای با محوریت «دریافت آیفون رایگان» در انتهای یک صفحه وب قرار داده باشد و لایه‌ای از وب پیجی که از آن استفاده می‌کنید را رویش کشیده باشد. او سپس دکمه آیفون رایگان را به دکمه انتقال پول در حساب بانکی‌تان متصل کرده و هر بار که روی دکمه کلیک می‌کنید، اساسا در حال تایید انتقال پول به حساب هکر هستید، بدون اینکه خودتان خبردار باشید.

 

دلایل و انگیزه‌های پشت حملات کلیک‌دزدی

حملات کلیک‌دزدی به صورت معمول با ۴ هدف اتفاق می‌افتند:

  1. ترغیب کاربران به دانلود یک بدافزار
  2. به دست آوردن کنترل یک کامپیوتر یا دستگاه موبایل
  3. دسترسی یافتن به سخت‌افزارهای جانبی
  4. ترغیب کاربر به پست کردن،‌ لایک کردن، بازنشر یا فالو کردن محتویات خاصی در یک شبکه اجتماعی، بدون اینکه خودش خبردار شود

کلیک دزدی چیست و چگونه اطلاعات کاربران را به سرقت می‌برد؟ 9

شیوه کارکرد حملات کلیک‌دزدی

استراتژی‌های رایجی که مجرمان سایبری برای پیاده‌سازی حملات کلیک‌دزدی به کار می‌گیرند، به شرح زیر است:

اپلیکیشن‌های آسیب‌پذیر: وقتی درون یک اپلیکیشن مانند پلاگین Adobe Flash Player آسیب‌پذیری وجود داشته باشد، هکر می‌تواند به سخت‌افزار متصل به سیستم حاوی آن اپلیکیشن، مثلا دوربین یا میکروفون، دسترسی پیدا کند.

صفحات شفاف:‌ همانطور که بالاتر اشاره کردیم، مجرمان سایبری از آسیب‌پذیری‌های مرورگر برای اتصال صفحه‌ای که از پیش اعتبارش تایید شده به صفحه آلوده مد نظر خودشان استفاده می‌کنند. بنابراین مهاجم می‌تواند به دلخواه بخش‌هایی از اپلیکیشن اورجینال را نامرئی کرده و به جای آن‌ها، عناصری کنترل شده مانند دکمه‌ها و تب‌هایی که می‌خواهد روی آن‌ها کلیک شوند را به نمایش درآورد.

دکمه جاوا اسکریپت: هنگامی که تنها از HTML استفاده می‌شود، برخی از کارکردهای رایج شاید در دسترس نباشند. بنابراین با استفاده از جاوا اسکریپت به جای تنها HTML، مجرمان سایبری می‌توانند رابط کاربری (UI) را به طرق مختلف دستکاری کنند. برای مثال با تعبیه یک وب پیچ بدخواهانه در مروگر، می‌توان همواره یک دکمه زیر نشانگر ماوس کاربر قرار داد تا او در نهایت محبور به کلیک روی لینک یا دکمه شود.

لایه iFrame: وب‌سایت آلوده مهاجمین، شامل دو بخش است: یک کد برای تولید رابط کاربری جعلی و یک لایه iFrame برای اینکه بخش‌های واقعی اپلیکیشن پنهان شوند. هکر می‌تواند با استفاده از لایه‌های iFrame، این باور را در ذهن کاربر به وجود آورد که در حال استفاده از یک اپلیکیشن مشروع است و به این ترتیب، او را فریب داده و وادار به انجام کارهای دلخواهش می‌کند.

کلیک دزدی چیست و چگونه اطلاعات کاربران را به سرقت می‌برد؟ 10

چطور از حملات کلیک‌دزدی جلوگیری کنیم؟

اگرچه کلیک‌دزدی در نگاه نخست آنقدرها آسیب‌رسان به نظر نمی‌رسد، اما حقیقت چیز دیگری است و این حملات با انگیزه‌های بدخواهانه و تاثیرات شگرف به انجام می‌رسند. بنابراین باید همواره در صدد جلوگیری از این حملات برآیید تا پول خود، مشتریان‌تان یا حتی ارزش برندتان از دست نرود.

متاسفانه هیچ تدابیر دفاعی تضمین شده‌ای برای مقابله کلیک‌دزدی وجود ندارد. اما با انجام برخی کارها، می‌توان ریسک چنین حملاتی را به حداقل رساند. در سمت کلاینت، غیر فعال کردن جاوا اسکریپت می‌تواند کاری موثر باشد، اما از آن‌جایی که بسیاری از سایت‌ها متکی بر جاوا اسکریپت هستند، غیر فعال‌سازی آن ممکن است کارکردهای کلی سایت را نیز از کار بیندازد.

از سوی دیگر، محصولاتی تجاری داریم که بدون تاثیرگذاری روی iFrame های واقعی، سعی می‌کنند از شما در برابر کلیک‌دزدی محافظت کنند. این محصولات بیشتر به درد سازمان‌هایی می‌خورند که می‌خواهند از کارمندان خود محافظت کنند و هیچ کاری برای محافظت از مشتریانی که به وب‌سایت سازمان سر می‌زنند انجام نمی‌دهند.

 

 

منبع: وبسایت دیجیتاتو

 

مطالب مرتبط

نقد و بررسی مخفی‌ساز وردپرس – برترین افزونه امنیتی برای وردپرس

درست مانند هک کردن نرم‌افزار که از این واقعیت بهره می‌برد که هر سایت وردپرسی با ساختاری ساده بنا شده است، مخفی‌ساز وردپرس برای امن کردن وردپرس و قدرتمند ساختن آن بنا شده است. این افزونه تمام شواهد و مدارکی که ثابت می‌کند سایت شما با وردپرس ساخته شده را از میان می‌برد و نه تنها کار را برای هکرها سخت می‌کند که در واقع حمله و نفوذ به سایت شما را برای آنها غیرممکن می‌سازد.

چطور ویدیوهای تلگرام را با نرم افزار مدیریت دانلود دریافت کنیم

حتما شما هم با این مشکل مواجه شده‌اید که برای دانلود ویدیویی که در یکی از کانال‌ها و گروه‌هایی که مشترک هستید و یا از طریق دوستان‌تان برای‌تان ارسال شده٬ زمانی که حجم فایل بالا باشد٬ دانلود فایل معمولا با مشکل مواجه می‌شود و یا این که باید زمان زیادی را جهت دانلود و نمایش ویدیو صبر کنید مخصوصا وقتی که سرعت اینترنت‌تان قوی نباشد. حال چقدر لذت‌بخش خواهد بود اگر بتوانید این فایل‌ها را مثل یک لینک دانلود مستقیم٬ از طریق دانلود منیجر خود دانلود کنید.

خوشبختانه برای این موضوع راهکار خوبی وجود دارد. اگر شما هم جزو آن دسته از کسانی هستید که این مشکل را داشته‌اید در این راهنما٬ به شما می‌آموزیم که چطور ویدیوهای تلگرام را به صورت مستقیم از طریق دانلود منیجر و با سرعت بالا و حتی قابل resume دانلود نمایید.

0 0 رای
امتیاز مطلب
مشترک شدن
اطلاع‌رسانی درباره
guest
0 نظرات
Inline Feedbacks
مشاهده تتمام نظرات
0
لطفا درباره این مطلب نظر بدهیدx
()
x