کلیک جکینگ چیست؟
کلیک جکینگ چیست؟ کلیک جکینگ که آن را تحت عنوان کلید دزدی نیز می شناسند یک شیوه هوشمندانه به جهت تشویق یا وادار کردن مخاطب برای کلیک کردن بر روی فایلی است که از مضمون آن آگاهی ندارد.
کلیک دزدی به روش های مختلفی رخ می دهد که احتمال دارد هر کاربری فریب آن را بخورد؛ اما با کمی تمرکز و توجه می توان از صدمه این گونه حملات و تکنیک ها در امان ماند.
اگر تمایل دارید که درباره کلیک جکینگ به اطلاعات بیشتری برسید و آگاهی خود را در این زمینه بالا ببرید، حتما محتوای زیر را مطالعه نمایید.
آشنایی بیشتر با کلیک جکینگ
همان طور که در مقدمه هم گفتیم، کلیک جکینگ که به آن کلید دزدی نیز می گویند روشی به جهت راغب ساختن کاربران برای کلیک کردن روی لینک ها یا فایل هایی است که از محتوای آن ها آگاهی ندارند.
این حملات اغلب از طریق هکرها و مهاجمان انجام می گیرد که به شکل پنهان شده و مخفی به اجرا در می آیند و موجب می شوند که افراد به صورت ناخواسته فایل های آسیب زا و مخرب را دانلود نمایند و از این طریق به صفحات جعلی انتقال داده شوند تا اطلاعات و داده های حساسشان توسط نفوذگران به سرقت بروند.
اگر بخواهیم این موضوع را واضح تر بیان کنیم باید بگوییم در واقع کلیک جکینگ با نمایش یک صفحه HTMI مخفی شده در داخل iframe در قسمت فوقانی صفحات که مخاطبان آن را می بینند صورت می پذیرد و افراد تصور می کنند که بر روی چیزی که آن را به طور واضح نظاره می کنند کلیک می نمایند؛ اما در باطن چیز دیگری در انتظار آن ها است.
در این زمینه مثالی برایتان می زنیم تا بهتر کلیک جکینگ را درک کنید؛ در ابتدا یک نفوذگر یک صفحه زیبا را با وعده های فریبنده مانند بسته اینترنتی رایگان طراحی می کند و در پس زمینه، صفحه ای که بشود با آن پول را انتقال داد را مانند صفحات بانکی ایجاد می کمد و در پس آن یک صفحه جعلی فراهم می آورد.
صفحه جعلی بانک در قسمت فوقانی صفحه با عنوان بسته اینترنتی رایگان در یک iframe مخفی به نمایش در می آید که مخاطب با کلیک کردن بر روی بسته اینترنتی رایگان دقیقا بر روی تایید انتقال ضربه می زند و به این طریق خریدی را انجام می دهد که مورد تاییدش قرار نگرفته؛ اما به وسیله کلیک جکینگ روی دکمه دیگری ضربه زده است.
شایان به ذکر است که در این جور حملات شناسایی نفوذگران و هکرها به هیچ عنوان امکان پذیر نیست؛ چرا که مخاطب با میل و اراده خود بر روی فایل یا لینک ضربه زده است.
حالا که دانستید کلیک جکینگ چیست و چگونه اتفاق می افتد حتما برایتان این سوال پیش می آید که چگونه می توان از این اتفاق و حمله جلوگیری کرد؟ در جواب به این پرسش باید به شما بگوییم که از طریق دو شیوه شما قادر خواهید بود با حملات کلیک جکینگ مقابله کنید که در ادامه مطلب این دو روش را در اختیارتان قرار می دهیم.
- شیوه سمت کاربر: یکی از اقدامات لازمه برای مقابله با کلیک جکینگ، استفاده از شیوه های سمت کاربر می باشد که پرکاربردترین و موثرترین آن Frame Busting می باشد که این راهکار در اغلب موارد اثرگذار بوده؛ ولی هکران حرفه ای قادر هستند آن را به راحتی دور بزنند.
- شیوه سمت سرور: در شیوه سمت سرور برای مقابله با حملات کلیک جکینگ می توانید از X Frame Options استفاده کنید که توسط کارشناسان تایید شده و هیچ هکری نمی تواند آن را دور بزند.
X Frame Options تحت عنوان قسمتی از جواب HTTP یک صفحه وب است و نشانگر این می باشد که آیا یک مرورگر مجاز به رندر یک صفحه در داخل تگ FRAME یا IFRAME نیست؟
سه مقدار PENY, SAMEORIGIN و ALLOW FROM URI برای این شیوه وجود دارد که هر کدام یک امکانی را به کاربر می دهند و در کل X Frame Options به افرادی که محتواها را نشر می دهند این اجازه را می دهد تا محتواهای خود را در یک فرمت مخفی به کار بگیرند.
چگونه می توان فهمید سایت به حملات کلیک جکینگ آسیب پذیر است یا نه؟
یک راه برای تست آسیب پذیر بودن یا نبودن سایت در برابر حملات کلیک جکینگ وجود دارد و آن هم این است که یک صفحه HTML را فراهم آورید و تلاش نمایید که یک صفحه حساس و مهم وب سایت را در داخل یک iframe اضافه کنید و برای این کار می توانید کدهای زیر را هم به کار بگیرید.
<html> <head> <title>این صفحه برای Clickjacking آسیب پذیر است</title> </head> <body> <p>Website is vulnerable to Clickjacking!</p> <iframe src=”http://www.yoursite.com/sensitive-page” width=”500″ height=”500″></iframe> </body> </html>
پس از آن صفحه HTML را در یک مرورگر باز کنید؛ اگر پیام Website is Vulnerable ti Clickjacking را مشاهده کردید، این پیغام بیانگر این است که سایت در برابر حملات کلیک جکینگ آسیب پذیر می باشد.
سخن پایان
کلیک جکینگ چیست؟ این موضوعی بود که در مقاله مذکور به بررسی آن پرداختیم و اطلاعاتی را درباره کلیک دزدی و نحوه حمله نفوذگران با این شیوه در اختیارتان قرار دادیم.
امیدواریم که مطالعه این محتوا برایتان سودمند و لذت بخش بوده باشد؛ چنانچه در این باره نیاز به اطلاعات بیشتری داشتید یا در استفاده هر یک از روش های گفته شده به مشکلی برخوردید، اصلا نگران نباشید! کارشناسان قدس وب می توانند شما را به طور رایگان در این زمینه راهنمایی کنند، تنها کافیست که با شماره های زیر تماس بگیرید.
