در اینجا دلیلی است که ممکن است دوربین خود را با یک مهاجم سایبری به اشتراک بگذارید

ممکن است یک هکر از طریق وب کم و میکروفون شما از شما جاسوسی کند. و شما به آنها اجازه دسترسی دادید. در اینجا چگونگی آن است.

شما یک سایت برای تماشای یک ویدیو باز می کنید. به اندازه کافی بی گناه، درست است؟ اما با کلیک بر روی یک دکمه، یک مهاجم سایبری ممکن است به دوربین و میکروفون شما دسترسی پیدا کرده باشد. آنها می توانند شما را تماشا کنند بدون اینکه شما حتی در مورد آن بدانید. این یک شکل از حمله به نام کلیک جک است.

پس واقعاً به چه معناست؟ کلیک جک چگونه کار می کند؟ و چگونه می توانید از خود محافظت کنید؟

Clickjacking چیست؟

Clickjacking نوعی حمله مهندسی اجتماعی است که مجرمان سایبری می توانند از آن برای دسترسی به اطلاعات کاربران استفاده کنند.

هدف اصلی از کلیک جک، فریب دادن کاربر است تا او را وادار به کلیک بر روی مورد خاصی کند که مهاجم سایبری می‌خواهد. از این طریق آنها می توانند دستگاه شما را به ویژه هنگام استفاده از دوربین و میکروفون ضبط کنند. در اکثر مرورگرها، فقط باید روی یک دکمه کلیک کنید تا مجوز میکروفون و دوربین را بدهید. بنابراین، کاربران ممکن است ناآگاهانه دوربین های خود را با یک مهاجم سایبری به اشتراک بگذارند، که می تواند عواقب جدی، به ویژه برای حفظ حریم خصوصی داشته باشد.

چگونه Clickjacking با سایت های شفاف کار می کند

مهاجمان برای فریب کاربران محیط های جعلی ایجاد می کنند. وب سایت های جعلی می توانند به تعداد زیادی از افراد دسترسی پیدا کنند و بنابراین احتمال موفقیت حمله را افزایش می دهد. کلاهبرداران سایتی را طراحی می کنند که بی گناه به نظر می رسد، اما هدف واقعی آن دسترسی به دوربین و میکروفون شما یا ترغیب شما به دانلود بدافزار است.

به عنوان مثال، یک بازی کلیکی ساده را در نظر بگیرید که کاملاً در مرورگر شما کار می کند. هدف اصلی آن ارزیابی ظرفیت شما برای هماهنگی حرکات دست و چشم است. برای انجام این کار، بازی دکمه های رنگی را به شما نشان می دهد که در قسمت های مختلف صفحه ظاهر می شوند و از شما می خواهند که روی آنها کلیک کنید. هر چه سریعتر بتوانید این فعالیت را اجرا کنید، سطح موفقیت شما بیشتر خواهد بود.

اگرچه بی ضرر به نظر می رسد، مختصات دکمه هایی که روی صفحه ظاهر می شوند توسط مهاجم از پیش تعیین شده است. شما فکر می کنید روی یک دکمه کلیک می کنید و بازی را برنده می کنید، اما در واقع روی یک دکمه کاملا متفاوت در پس زمینه کلیک می کنید.

دسترسی به دوربین خود با کلیک جک

همین امر در مورد دسترسی به مجوزهای میکروفون و دوربین شما نیز صدق می کند. گاهی اوقات سایت ها به دوربین و میکروفون شما نیاز دارند. برای مثال، برنامه‌ای مانند زوم به این مجوزها نیاز دارد تا بتوانید صحبت کنید و تصویر شما در کنفرانس ویدیویی ظاهر شود. برای اعطای مجوزها، یک دکمه “مجاز” را در جایی از رابط مرورگر خود خواهید دید. البته همه پلتفرم ها به اندازه زوم امن نیستند.

بنابراین، هنگامی که برای تماشای یک برنامه تلویزیونی یا فیلم روی یک دکمه پخش بی‌گناه کلیک می‌کنید، ممکن است یک دکمه اجازه back-end ایجاد شده توسط هکر برای باز کردن دوربین شما باشد.

چگونه در برابر حملات Clickjacking محافظت می کنید؟

یک مهاجم مخرب از کدها و اسکریپت های مختلفی استفاده می کند تا شما را وادار کند دقیقاً در جایی که می خواهد کلیک کنید و صفحه شما را دستکاری کند. بسیاری از توسعه دهندگان با حتی کمی تجربه با HTML و CSS می توانند به راحتی این کار را انجام دهند: آنها فقط باید با مقادیر opacity دو صفحه ای که روی هم طراحی کرده اند بازی کنند و صفحه پشتی را به کاربر نهایی نشان ندهند.

برای جلوگیری از گرفتار شدن به یک ترفند به ظاهر ساده مبتنی بر اسکریپت، یکی از موثرترین روش ها غیرفعال کردن جاوا اسکریپت است. اکثر مرورگرهای وب یک ویژگی امنیتی ارائه می دهند که به شما امکان می دهد کد جاوا اسکریپت را که در پس زمینه وب سایت ها اجرا می شود خاموش کنید. برای مثال، در کروم، می‌توانید با تایپ کردن «chrome://settings/content/javascript» در نوار آدرس، به صفحه دسترسی پیدا کنید. با رسیدن به این صفحه با گزینه Don’t allow sites to use Javascript مواجه می شوید.

با این حال، هنگام انتخاب این گزینه باید احتیاط کنید زیرا همه کدهای موجود در هر وب سایت را مسدود می کند. فقط هنگام ورود به سایت هایی که به آنها اعتماد ندارید و ناامن می دانید، آن را فعال کنید. همیشه می‌توانید این تنظیم را بعداً معکوس کنید.

از طرف دیگر، می‌توانید از افزونه‌های بدون منبع باز و قابل اعتماد استفاده کنید تا جاوا اسکریپت را راحت‌تر فعال و غیرفعال کنید. NoScript Security Suite راه حل خوبی برای این است و از بسیاری از مرورگرهای مختلف پشتیبانی می کند. هدف این برنامه نه تنها از حملات clickjacking، بلکه از نرم افزارهای مخربی است که در هر سایتی که وارد می شوید وجود دارد.

مهاجمان مخرب همیشه سایت های خود را برای انجام یک حمله کلیک جک با استفاده از سایت های شفاف کدگذاری نمی کنند. آنها همچنین می توانند از آسیب پذیری های آنلاینی که در هنگام مرور اینترنت پیدا می کنند، استفاده کنند. به عنوان مثال، آنها می توانند با سوء استفاده از یک آسیب پذیری در بخش نظرات یک وبلاگ، کد را تزریق کنند. در چنین مواردی، باید به چیزی که واقعاً روی آن کلیک می‌کنید توجه کنید، حتی اگر انجام این کار کمی پارانوئید به نظر برسد.

چگونه متوجه می شوید که یک سایت قابل اعتماد است؟

چگونه می توانید تشخیص دهید که می توانید به یک سایت اعتماد کنید؟ مهاجمان اغلب وقت زیادی را برای طراحی و توسعه سایت نمی گذارند. هدر رفتن زمان و پول غیر ضروری است. این را می توانید از گواهینامه های امنیتی و طراحی سایت تشخیص دهید. به عنوان مثال، یک سایت سازمانی بزرگ و قابل اعتماد به احتمال زیاد دارای گواهینامه SSL خواهد بود. برای بررسی این موضوع، به URL نگاه کنید. اگر آدرس “https://” شروع شود، به این معنی است که سایت دارای گواهی SSL است. آن “S” اضافی بعد از “HTTP” به معنای “امن” است. با این حال، تنها به این موضوع تکیه نکنید.

همچنین باید نگاهی به طراحی و محتوای سایت بیندازید. اطلاعات صفحه تماس، سیاست های حفظ حریم خصوصی و حتی هشدار GDPR می تواند نشان دهد که آیا سایت قابل اعتماد است یا خیر. تو سایت هم تحقیق کن سایر کاربران در پلتفرم هایی مانند توییتر، فیس بوک و Trustpilot در مورد آن چه می گویند؟

اگر در مورد کدنویسی اطلاعاتی دارید می توانید کدهای منبع سایت را بررسی کنید. به این ترتیب، برخی از کارهای پس‌زمینه و سایر سایت‌ها را مشاهده خواهید کرد.

آیا باید نگران Clickjacking باشید؟

Clickjacking چیز ترسناکی است، به خصوص که مجرمان سایبری می توانند به وب کم شما دسترسی پیدا کنند و فعالانه از فعالیت های شما جاسوسی کنند. این یک تجاوز بزرگ به حریم خصوصی و امنیت است.

بنابراین بله، ممکن است کمی OTT به نظر برسد که مراقب باشید واقعاً کجا روی یک وب سایت کلیک می کنید. بسیاری از ما این کار را بدون لحظه ای انجام می دهیم. اما همچنین مهم است که مراقب باشید تا طعمه هکر نشوید.

منبع مقاله