תוכן עניינים:
הגדרה - מה המשמעות של Clickjack Attack?
התקפת ג'ק קליק היא טכניקה זדונית המשמשת את התוקף לתיעוד הקליקים של המשתמש הנגוע באינטרנט. ניתן להשתמש בזה כדי להפנות תנועה לאתר ספציפי או לגרום למשתמש לאהוב או לקבל יישום פייסבוק. מטרות מטרידות יותר יכולות להיות איסוף מידע רגיש שנשמר בדפדפן, כגון סיסמאות, או התקנת תוכן זדוני.
סוג זה של התקפה ידוע גם בשם jackjacking או ממשק קריאת ממשק משתמש.
Techopedia מסביר את Clickjack Attack
בדרך כלל, ניצול קליקים מתבצע על ידי הנחת קישור מוסתר על כפתור תקף. עם זאת, הניצול עשוי לכלול גם את הדברים הבאים:
- להונות משתמשים להפעיל את המיקרופונים ואת מצלמות הרשת שלהם באמצעות Flash
- אילוץ משתמשים לפרסם את פרופיל המדיה החברתית שלהם
- גורם למשתמשים נגועים לעקוב אחר מישהו אחר בטוויטר
ניתן ליישם התקפת ג'ק קליק באמצעות IFRAME, שהם אלמנטים ב- HTML ששואבים תוכן ממקומות אחרים כמו אתרים אחרים. תוקפי קליקים יכולים להטביע IFRAME בכל אתר אינטרנט ולהכניס את ה- IFRAME הנעלם מעל לחצן לגיטימי. כאשר המשתמש לוחץ על הכפתור הלגיטימי, למעשה לוחצים על הכפתור או הקישור של התוקף.
מה שהופך את זה לדרך חזקה מאוד לתקוף הוא שזה נעשה למעשה בגבולות מפרט ה- HTML, מה שאומר שהאתר עובד כמצופה. התוקפים רק מנצלים תכונה זו לצורך התקפות זדוניות. ה- World Wide Web Consortium (W3C) מנסה להגדיר סטנדרט חדש שיאפשר לאתרים לא לאפשר הפרעה חיצונית.
מנהלי אתרים עשויים שלא לדעת שמשהו אינו כשורה עד שתגיעו תלונות מצד המשתמשים. קשה להצביע על התקפה שהתרחשה מכיוון שהכל באתר נראה אותו הדבר ואלמנט הלחיצה הוסווה כלא מזיק.
תוסף NoScript עבור מוזילה, דפדפן האינטרנט Gazelle, וקטע ה- JavaScript של Framekiller הם כמה אמצעים שניתן להשתמש בהם כדי להגן מפני התקפה של ג'אקט קליק.
