حتما تا به حال با واژه هایجک آشنا شده اید واژه ای که یک دزدی مسلحانه هواپیما را به یاد می آورد. در دنیای کامپیوتر به دزدی کلیک های کاربران کلیک جکینگ (Clickjacking)یا کلیک دزدی می گویند. کلیک جکینگ در واقع همان دزدی می باشد ولی با هدف دزدیدن کلیک ها برای اهدافی از قبیل سرقت حساب های بانکی و یا رمزهای عبور ایمیل و… .
کلیک جکینگ با نام UI redress attack هم شناخته می شود.
کلیک جکینگ چیست؟
در کلیک جکینگ زمانیکه مهاجم یک کاربر را از طریق کلیک روی دکمه به صفحه دلخواه خود می برد علاوه بر آلوده شدن وی باعث سرقت اطلاعات حساس کاربر از قبیل اطلاعات حسابهای بانکی می شود. در واقع با این کار مهاجم کلیک های کاربر را می دزدد و به صفحه دیگری هدایت می کند که می تواند یک اپلیکیشن و یا یک دامنه خاص باشد.
اصولا برای پیاده سازی اینگونه عملیات های نظیر کلیک جکینگ از stylesheet، iframe و یا textbox استفاده می شود که مهاجم بوسیله آن ها عملیات را به انجام می رساند. در واقع کاربر بی خبر از تله ی نامرئی مهاجم در حال وارد کردن رمز ایمیل خود و یا اطلاعات حساب بانکی خود است.
کلیک جکینگ در کجا انجام می شود؟
بسیاری از حملات کلیک جکینگ بر روی توییتر و فیس بوک اتفاق می افتد و کاربر ناخواسته صفحاتی را لایک می کند و یا توییت انجام می دهد. تصور کنید در یک وبسایت بنر یا آگهی مشاهده می کنید که “با کلیک در اینجا برنده لپ تاپ شوید!”. اصولا این تله ها اغواکننده و وسوسه انگیز می باشند. کاربر بی اطلاع از این تله نامرئی بر روی آن کلیک می کند. در اینجا مهاجم از متد iframe استفاده می نماید و آن را در حساب ایمیل شما آپلود می کند. پس از آن می تواند کنترل حساب ایمیل شما را در دست گرفته و شروع به خرابکاری نماید.
یکی دیگر از مقاصد حساس مهاجمان در حمله کلیک جکینگ، استفاده از دوربین و میکروفن می باشد که می تواند این کار را با تغییر در افزونه Flash انجام دهد.
منبع تصویر : kaspersky.com