ทำความเข้าใจ Clickjacking: การโจมตีผ่านเบราว์เซอร์ที่สามารถหลีกเลี่ยงการป้องกันและเข้ายึดบัญชีได้

Clickjacking เป็นการหลอกให้ผู้คนที่ไม่สงสัยให้คลิกลิงก์ที่พวกเขาคิดว่าไม่เป็นอันตราย จากนั้นก็จะดาวน์โหลดมัลแวร์ รวบรวมข้อมูลการเข้าสู่ระบบ และเข้าควบคุมบัญชีออนไลน์ น่าเสียดายที่มัลแวร์ Clickjacking สามารถหลบเลี่ยงการป้องกันความปลอดภัยได้ แต่คุณสามารถป้องกันตัวเองได้หลายวิธี

• จากช่องโหว่ DNS ไปจนถึงการขโมยคลิก

Clickjacking คืออะไร?

Clickjacking หรือที่เรียกอีกอย่างว่าการโจมตีเพื่อแก้ไข UI เป็นรูปแบบหนึ่งของการโจมตีบนอินเทอร์เฟซที่หลอกล่อผู้ใช้ให้คลิกปุ่มหรือลิงก์ที่ปลอมตัวเป็นอย่างอื่น

ไม่เหมือนกับการปลอมแปลงเว็บไซต์ ซึ่งเหยื่อจะถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อเลียนแบบเว็บไซต์ของบริษัทที่ถูกกฎหมาย การคลิกแจ็คกิ้งจะนำผู้ใช้ไปยังเว็บไซต์จริง อย่างไรก็ตาม ผู้โจมตีจะสร้างโอเวอร์เลย์ที่มองไม่เห็นไว้ด้านบนเว็บไซต์ที่ถูกกฎหมายโดยใช้เครื่องมือ HTML เช่น Cascading Style Sheets (CSS) และ iframe

เลเยอร์ที่มองไม่เห็นจะถูกสร้างขึ้นโดยใช้ iframe ซึ่งเป็นองค์ประกอบ HTML ที่ใช้ฝังหน้าเว็บหรือเอกสาร HTML ลงในหน้าเว็บอื่น มีความโปร่งใส จึงทำให้ดูเหมือนว่าคุณกำลังโต้ตอบกับเว็บไซต์ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม หากคุณคลิกที่ปุ่มบนเว็บไซต์ เล่นเกม หรือดำเนินการใดๆ ที่คุณคิดว่าไม่เป็นอันตราย การคลิกเหล่านั้นจะถูกนำไปใช้กับเว็บไซต์ที่มองไม่เห็นที่ด้านบน การคลิกเหล่านี้ทำให้แฮกเกอร์เข้าถึงบัญชีของคุณ ทำให้พวกเขาสามารถดาวน์โหลดมัลแวร์ ควบคุมอุปกรณ์ของคุณ และดำเนินกิจกรรมชั่วร้ายอื่นๆ

บางครั้งผู้โจมตีจะปลอมตัวเป็นนักการตลาดเพื่อหลอกให้ผู้ใช้กดไล ค์เพจ หรือโพสต์บนโซเชียลมีเดียการโจมตีแบบนี้เรียกว่า likejacking ผู้โจมตีจะส่งวิดีโอที่น่าสนใจหรือ "ข้อเสนอพิเศษ" ให้กับผู้ใช้ และเมื่อคลิก "เล่น" หรือโต้ตอบกับเนื้อหา ผู้ใช้จะคลิกปุ่มไลค์ที่ซ่อนอยู่โดยไม่ได้ตั้งใจ

Clickjacking อีกรูปแบบหนึ่งที่เรียกว่า cursor-jacking หลอกให้ผู้ใช้ที่มีเคอร์เซอร์แบบกำหนดเองให้คลิกบนลิงก์หรือส่วนต่างๆ ของเว็บไซต์ที่ผู้ใช้ไม่ได้ตั้งใจจะโต้ตอบด้วย

การคลิกที่มีการเปลี่ยนแปลงขั้นสูงกว่าที่เรียกว่า double clickjacking ซึ่งใช้ประโยชน์จากเวลาและลำดับการดับเบิลคลิกของผู้ใช้

ข้ามการป้องกันโปรแกรมป้องกันไวรัสและเบราว์เซอร์

สิ่งที่ทำให้ผู้คนกังวลเกี่ยวกับการขโมยคลิกคือ การที่มักจะหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ เนื่องจากการโจมตีเหล่านี้เกิดขึ้นบนเว็บไซต์ที่มีชื่อเสียงและไม่ได้ดาวน์โหลดสิ่งใดเลย ดังนั้นซอฟต์แวร์ป้องกันไวรัสแบบดั้งเดิมจึงอาจไม่สามารถตรวจจับการโจมตีเหล่านี้ได้

เบราว์เซอร์ส่วนใหญ่มาพร้อมกับการป้องกันในตัว แต่เราก็รู้กันดีว่าแฮกเกอร์มักมองหาวิธีใหม่ๆ ในการแสวงหาผลประโยชน์จากผู้ใช้ทางออนไลน์อยู่เสมอ การโจมตีแบบ clickjacking พื้นฐานส่วนใหญ่จะถูกบล็อกอย่างมีประสิทธิผล – แต่ไม่ใช่การโจมตีแบบ double clickjacking

แทนที่สิ่งที่เป็นอันตรายจะเกิดขึ้นเมื่อคุณคลิกครั้งแรก โค้ดของผู้โจมตีจะแทรกโอเวอร์เลย์ที่ถูกแฮ็กเข้ามาก่อนที่จะแจ้งให้คุณคลิกครั้งที่สอง อาจมาในรูปแบบการดับเบิลคลิกง่ายๆ เพื่อยืนยันการดำเนินการ หรือ CAPTCHA ที่น่ารำคาญ เมื่อคลิกครั้งที่สอง คุณอาจติดตั้งปลั๊กอินโดยไม่ได้ตั้งใจ และทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของคุณได้

ในปัจจุบันเบราว์เซอร์อาจไม่ตรวจพบเวอร์ชันที่ซับซ้อนกว่านี้ เนื่องจากไม่ได้ใช้การตั้งค่า iframe ทั่วไป ซึ่งทำให้คุณมีความเสี่ยงสูงที่จะตกเป็นเหยื่อของ clickjacking สิ่งนี้ไม่เพียงแต่จำกัดอยู่แค่เบราว์เซอร์เดสก์ท็อปเท่านั้น ผู้ใช้มือถือยังเป็นเป้าหมายด้วยการเตือนด้วยการแตะสองครั้ง

การ Doublejacking หลีกเลี่ยงการป้องกัน Clickjacking ได้อย่างไร

เว็บเบราว์เซอร์สมัยใหม่หลายตัวได้ลดการคลิกแจ็คกิ้งด้วยการปกป้องความปลอดภัย อย่างไรก็ตาม เวอร์ชันที่ซับซ้อนที่เรียกว่า "การแจ็คคลิกสองครั้ง" สามารถหลีกเลี่ยงการป้องกันแบบดั้งเดิมได้โดยการใช้ประโยชน์จากลำดับระหว่างการคลิกสองครั้งเพื่อเข้าควบคุมบัญชีหรือดำเนินการที่ไม่ได้รับอนุญาต

ในการโจมตีแบบ Double Clickjacking องค์ประกอบที่เป็นอันตรายจะถูกแทรกระหว่างการคลิกครั้งแรกและครั้งที่สองของผู้ใช้ ขั้นแรก คุณจะถูกนำไปยังเว็บไซต์ที่ควบคุมโดยผู้โจมตี และได้รับคำแนะนำ เช่น การแก้ CAPTCHA หรือดับเบิลคลิกปุ่มเพื่ออนุญาตให้ดำเนินการบางอย่าง การคลิกครั้งแรกจะปิดหรือเปลี่ยนหน้าต่างบนสุด (ซ้อนทับ CAPTCHA) ส่งผลให้การคลิกครั้งที่สองจะไปที่ปุ่มหรือลิงก์อนุญาตที่ซ่อนอยู่ก่อนหน้านี้ การคลิกครั้งที่สองจะอนุญาตให้ปลั๊กอินที่เป็นอันตราย ส่งผลให้แอป OAuth เชื่อมต่อกับบัญชีของคุณหรืออนุมัติการแจ้งเตือนการตรวจสอบปัจจัยหลายประการ

สิ่งที่คุณสามารถทำได้เพื่อปกป้องตัวเอง

เทคนิคการ Clickjacking นั้นซับซ้อนและได้รับการออกแบบมาเพื่อหลอกลวงและขโมยคลิกของคุณ แต่มีบางสิ่งบางอย่างที่คุณสามารถทำได้เพื่อปกป้องตัวเอง

• อัปเดตอุปกรณ์และเบราว์เซอร์ของคุณอยู่เสมอ ให้ความสำคัญกับแพตช์ความปลอดภัย รวมถึงการอัปเดตซอฟต์แวร์ และติดตั้งทันทีที่มีให้ใช้งาน วิศวกรจะออกแพตช์เป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยและปกป้องผู้ใช้จากการโจมตีใหม่ๆ
• ระวังคำเตือนการดับเบิลคลิก โดยเฉพาะในเว็บไซต์ที่คุณไม่คุ้นเคย
• ตรวจสอบ URLของเว็บไซต์ที่คุณเยี่ยมชมอีกครั้งเสมอผู้โจมตีสามารถใช้เทคนิคการจดโดเมนแบบผิดลิขสิทธิ์เพื่อซื้อโดเมนเวอร์ชันถูกกฎหมายที่มีความแตกต่างเพียงเล็กน้อย เช่น การเพิ่ม "a" หรือเครื่องหมายขีดกลางลงในโดเมน เช่น "ama-zon.com"
• หลีกเลี่ยงการคลิกลิงก์เมื่อคุณไม่แน่ใจแหล่งที่มา คุณสามารถใช้เครื่องตรวจสอบลิงก์ไซต์เพื่อดูว่าลิงก์นั้นปลอดภัยหรือไม่

ผู้โจมตีมักจะใช้ประโยชน์จากความไว้วางใจของคุณในเว็บไซต์ที่ถูกกฎหมายและการกระทำพื้นฐานที่เราทำโดยไม่คิด เช่น การดับเบิลคลิก ให้ช้าลงและคิดก่อนคลิกเสมอเพื่อปกป้องตนเอง