Hình thức Clickjacking lừa nhấn vào liên kết chứa mã độc là gì và cách phòng tránh

Clickjacking lừa những người không nghi ngờ nhấp vào các liên kết mà họ nghĩ là vô hại - nhưng sau đó tải xuống phần mềm độc hại, thu thập thông tin đăng nhập và chiếm đoạt các tài khoản trực tuyến. Thật không may, phần mềm độc hại clickjacking có thể né tránh các biện pháp bảo vệ an ninh, nhưng có nhiều cách để bạn tự bảo vệ mình.

Clickjacking là gì?

Còn được gọi là UI redress attack, clickjacking là một hình thức tấn công dựa trên giao diện, thao túng người dùng nhấp vào các nút hoặc liên kết được ngụy trang thành thứ gì đó khác.

Không giống như trang web giả mạo, trong đó nạn nhân được đưa đến một trang web giả mạo được thiết kế để bắt chước trang web của một công ty hợp pháp, clickjacking đưa người dùng đến trang web thực. Tuy nhiên, kẻ tấn công tạo một overlay vô hình trên đầu trang web hợp pháp bằng các công cụ HTML như bảng định kiểu xếp tầng (CSS) và iframe.

Lớp vô hình được tạo bằng iframe, một thành phần HTML được sử dụng để nhúng trang web hoặc tài liệu HTML vào trang web khác. Nó trong suốt, vì vậy trông vẫn giống như bạn đang tương tác với một trang web hợp pháp. Tuy nhiên, nếu bạn nhấp vào nút trên trang web, chơi game hoặc thực hiện nhiệm vụ mà bạn cho là vô hại, thì những lần nhấp đó sẽ được áp dụng cho trang web vô hình ở trên cùng. Những lần nhấp này cho phép tin tặc truy cập vào tài khoản của bạn, cho phép chúng tải xuống phần mềm độc hại, chiếm quyền điều khiển thiết bị của bạn và thực hiện các hoạt động bất chính khác.

Đôi khi, kẻ tấn công cải trang thành nhà tiếp thị lừa người dùng thích một trang mạng xã hội hoặc bài đăng. Cuộc tấn công này được gọi là likejacking. Kẻ tấn công gửi cho người dùng một video thú vị hoặc "ưu đãi đặc biệt" và khi nhấp vào "Play" hoặc tương tác với nội dung, người dùng sẽ vô tình nhấp vào nút thích ẩn.

Một phiên bản khác của clickjacking, được gọi là cursor-jacking, lừa người dùng bằng một con trỏ tùy chỉnh nhấp vào các liên kết hoặc những phần của trang web mà người dùng không có ý định tương tác.

Một biến thể nâng cao hơn của clickjacking được gọi là double clickjacking khai thác thời gian và trình tự nhấp đúp của người dùng.

Cách Doublejacking vượt qua các biện pháp bảo vệ Clickjacking

Nhiều trình duyệt web hiện đại đã giảm thiểu tình trạng clickjacking bằng các biện pháp bảo vệ an ninh. Tuy nhiên, một phiên bản tinh vi có tên là "double clickjacking" có thể vượt qua các biện pháp bảo vệ truyền thống bằng cách khai thác trình tự giữa hai lần nhấp để chiếm đoạt tài khoản hoặc thực hiện những hành động trái phép.

Trong một cuộc tấn công double clickjacking, các phần tử độc hại được chèn vào giữa lần nhấp đầu tiên và lần nhấp thứ hai của người dùng. Đầu tiên, bạn được đưa đến một trang web do kẻ tấn công kiểm soát và được đưa ra lời nhắc, chẳng hạn như giải CAPTCHA hoặc nhấp đúp vào nút để ủy quyền cho một hành động. Lần nhấp đầu tiên sẽ đóng hoặc thay đổi cửa sổ trên cùng (overlay CAPTCHA), khiến lần nhấp thứ hai chuyển đến nút ủy quyền hoặc liên kết đã ẩn trước đó. Lần nhấp thứ hai sẽ ủy quyền cho các plugin độc hại, khiến ứng dụng OAuth kết nối với tài khoản của bạn hoặc chấp thuận lời nhắc xác thực đa yếu tố.

Những gì bạn có thể làm để tự bảo vệ mình

Các kỹ thuật Clickjacking rất tinh vi và được thiết kế để lừa và đánh cắp những lần nhấp của bạn, nhưng bạn có thể thực hiện một số điều để tự bảo vệ mình.

- Luôn cập nhật thiết bị và trình duyệt. Hãy chú ý đến các bản vá bảo mật, cũng như bản cập nhật phần mềm và cài đặt chúng ngay khi chúng có sẵn. Các kỹ sư thường xuyên phát hành những bản vá để giải quyết các lỗ hổng bảo mật và bảo vệ người dùng khỏi những cuộc tấn công mới.

- Hãy nghi ngờ các lời nhắc yêu cầu nhấp đúp, đặc biệt là trên các trang web mà bạn không quen thuộc.

- Luôn kiểm tra kỹ URL của các trang web mà bạn truy cập. Kẻ tấn công có thể sử dụng kỹ thuật typosquatting để mua phiên bản domain hợp pháp có những điểm khác biệt rất nhỏ, chẳng hạn như thêm chữ "a" hoặc dấu gạch nối vào domain, chẳng hạn như "ama-zon.com".

- Tránh nhấp vào các liên kết khi bạn không chắc chắn về nguồn. Bạn có thể sử dụng trình kiểm tra liên kết trang web để xem liên kết đó có an toàn không.

Kẻ tấn công thường lợi dụng lòng tin của bạn vào các trang web hợp pháp và các hành động cơ bản mà chúng ta thường làm mà không cần suy nghĩ, chẳng hạn như nhấp đúp. Hãy luôn hành động chậm lại và suy nghĩ trước khi nhấp để bảo vệ bản thân.