Tìm hiểu về Clickjacking: Cuộc tấn công dựa trên trình duyệt có thể né tránh các biện pháp bảo vệ để chiếm đoạt tài khoản

Clickjacking lừa những người không nghi ngờ nhấp vào các liên kết mà họ nghĩ là vô hại - nhưng sau đó tải xuống phần mềm độc hại, thu thập thông tin đăng nhập và chiếm đoạt các tài khoản trực tuyến. Thật không may, phần mềm độc hại clickjacking có thể né tránh các biện pháp bảo vệ an ninh, nhưng có nhiều cách để bạn tự bảo vệ mình.

• Từ lỗ hổng DNS đến clickjacking

Clickjacking là gì?

Còn được gọi là UI redress attack, clickjacking là một hình thức tấn công dựa trên giao diện, thao túng người dùng nhấp vào các nút hoặc liên kết được ngụy trang thành thứ gì đó khác.

Không giống như trang web giả mạo, trong đó nạn nhân được đưa đến một trang web giả mạo được thiết kế để bắt chước trang web của một công ty hợp pháp, clickjacking đưa người dùng đến trang web thực. Tuy nhiên, kẻ tấn công tạo một overlay vô hình trên đầu trang web hợp pháp bằng các công cụ HTML như bảng định kiểu xếp tầng (CSS) và iframe.

Lớp vô hình được tạo bằng iframe, một thành phần HTML được sử dụng để nhúng trang web hoặc tài liệu HTML vào trang web khác. Nó trong suốt, vì vậy trông vẫn giống như bạn đang tương tác với một trang web hợp pháp. Tuy nhiên, nếu bạn nhấp vào nút trên trang web, chơi game hoặc thực hiện nhiệm vụ mà bạn cho là vô hại, thì những lần nhấp đó sẽ được áp dụng cho trang web vô hình ở trên cùng. Những lần nhấp này cho phép tin tặc truy cập vào tài khoản của bạn, cho phép chúng tải xuống phần mềm độc hại, chiếm quyền điều khiển thiết bị của bạn và thực hiện các hoạt động bất chính khác.

Đôi khi, kẻ tấn công cải trang thành nhà tiếp thị lừa người dùng thích một trang mạng xã hội hoặc bài đăng. Cuộc tấn công này được gọi là likejacking. Kẻ tấn công gửi cho người dùng một video thú vị hoặc "ưu đãi đặc biệt" và khi nhấp vào "Play" hoặc tương tác với nội dung, người dùng sẽ vô tình nhấp vào nút thích ẩn.

Một phiên bản khác của clickjacking, được gọi là cursor-jacking, lừa người dùng bằng một con trỏ tùy chỉnh nhấp vào các liên kết hoặc những phần của trang web mà người dùng không có ý định tương tác.

Một biến thể nâng cao hơn của clickjacking được gọi là double clickjacking khai thác thời gian và trình tự nhấp đúp của người dùng.

Vượt qua phần mềm diệt virus và bảo vệ trình duyệt

Điều khiến mọi người lo lắng về clickjacking là nó thường vượt qua được phần mềm diệt virus và phần mềm chống malware. Vì các cuộc tấn công này xảy ra trên những trang web uy tín và không phải lúc nào cũng tải xuống bất kỳ thứ gì, nên phần mềm diệt virus truyền thống có thể không phát hiện ra chúng.

Hầu hết các trình duyệt đều có những biện pháp bảo vệ tích hợp, nhưng như chúng ta đều biết, tin tặc luôn tìm kiếm những cách mới để khai thác người dùng trực tuyến. Hầu hết các cuộc tấn công clickjacking cơ bản đều bị chặn hiệu quả – nhưng không phải những cuộc tấn công double clickjacking.

Thay vì điều gì đó độc hại xảy ra trong lần nhấp đầu tiên của bạn, code của kẻ tấn công sẽ chèn overlay bị chiếm đoạt trước khi nhắc bạn nhấp lần thứ hai. Điều này có thể xuất hiện dưới dạng nhấp đúp đơn giản để xác nhận hành động hoặc CAPTCHA khó chịu. Khi nhấp lần thứ hai, bạn có thể vô tình cài đặt một plugin và cấp cho kẻ tấn công quyền truy cập vào tài khoản của bạn.

Hiện tại, các trình duyệt có thể không phát hiện ra phiên bản phức tạp hơn này vì nó không sử dụng thiết lập iframe thông thường, khiến bạn có nguy cơ cao trở thành nạn nhân của clickjacking. Điều này không chỉ giới hạn ở trình duyệt desktop; người dùng trên thiết bị di động cũng bị nhắm mục tiêu với lời nhắc nhấn đúp.

Cách Doublejacking vượt qua các biện pháp bảo vệ Clickjacking

Nhiều trình duyệt web hiện đại đã giảm thiểu tình trạng clickjacking bằng các biện pháp bảo vệ an ninh. Tuy nhiên, một phiên bản tinh vi có tên là "double clickjacking" có thể vượt qua các biện pháp bảo vệ truyền thống bằng cách khai thác trình tự giữa hai lần nhấp để chiếm đoạt tài khoản hoặc thực hiện những hành động trái phép.

Trong một cuộc tấn công double clickjacking, các phần tử độc hại được chèn vào giữa lần nhấp đầu tiên và lần nhấp thứ hai của người dùng. Đầu tiên, bạn được đưa đến một trang web do kẻ tấn công kiểm soát và được đưa ra lời nhắc, chẳng hạn như giải CAPTCHA hoặc nhấp đúp vào nút để ủy quyền cho một hành động. Lần nhấp đầu tiên sẽ đóng hoặc thay đổi cửa sổ trên cùng (overlay CAPTCHA), khiến lần nhấp thứ hai chuyển đến nút ủy quyền hoặc liên kết đã ẩn trước đó. Lần nhấp thứ hai sẽ ủy quyền cho các plugin độc hại, khiến ứng dụng OAuth kết nối với tài khoản của bạn hoặc chấp thuận lời nhắc xác thực đa yếu tố.

Những gì bạn có thể làm để tự bảo vệ mình

Các kỹ thuật Clickjacking rất tinh vi và được thiết kế để lừa và đánh cắp những lần nhấp của bạn, nhưng bạn có thể thực hiện một số điều để tự bảo vệ mình.

• Luôn cập nhật thiết bị và trình duyệt. Hãy chú ý đến các bản vá bảo mật, cũng như bản cập nhật phần mềm và cài đặt chúng ngay khi chúng có sẵn. Các kỹ sư thường xuyên phát hành những bản vá để giải quyết các lỗ hổng bảo mật và bảo vệ người dùng khỏi những cuộc tấn công mới.
• Hãy nghi ngờ các lời nhắc yêu cầu nhấp đúp, đặc biệt là trên các trang web mà bạn không quen thuộc.
• Luôn kiểm tra kỹ URL của các trang web mà bạn truy cập. Kẻ tấn công có thể sử dụng kỹ thuật typosquatting để mua phiên bản domain hợp pháp có những điểm khác biệt rất nhỏ, chẳng hạn như thêm chữ "a" hoặc dấu gạch nối vào domain, chẳng hạn như "ama-zon.com".
• Tránh nhấp vào các liên kết khi bạn không chắc chắn về nguồn. Bạn có thể sử dụng trình kiểm tra liên kết trang web để xem liên kết đó có an toàn không.

Kẻ tấn công thường lợi dụng lòng tin của bạn vào các trang web hợp pháp và các hành động cơ bản mà chúng ta thường làm mà không cần suy nghĩ, chẳng hạn như nhấp đúp. Hãy luôn hành động chậm lại và suy nghĩ trước khi nhấp để bảo vệ bản thân.