Tìm hiểu về Clickjacking

Clickjacking (còn được gọi là “UI redress attack”) là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ “trong sạch” trong các trang web, tuy nhiên qua cú click chuột đó hacker có thể lấy được các thông tin bí mật của người sử dụng hay kiểm soát máy tính của họ.

Kết quả của các cuộc tấn công clickjacking là người dùng có thể bị mất tài khoản, bị lừa thay đổi nội dung của một website (đặc biệt khi người đó có quyền admin), bị lừa click vào các quảng cáo cho hacker, bị chiếm quyền điều khiển máy tính,…

Vài nét về sự phát triển của Clickjacking

  • Clickjacking được Robert Hansen(nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (Whitehat Security) phát hiện vào năm 2008. Đặc biệt là công bố về khả năng bị clickjacking của Adobe Flash từ version 9 trở về trước.
  • Năm 2010 tại hội thảo BlackHat (Barcelona), Paul Stone – chuyên gia bảo mật người Anh đã có những khám phá mới hơn về Clickjacking.
  • Facebook cũng từng là nạn nhân của Clickjacking worm (được Sophos đặt tên là Troj/Iframe -ET) khi người sử dụng nhìn thấy một liên kết có dạng:

clickjackinghack

Khi họ click vào thì sẽ xuất hiện một trang có thông báo Click here to continue, khi click chuột vào bất kì điểm nào trong trang này, thì thực ra họ đang thao tác với một frame ẩn bên dưới có nhiệm vụ đánh dấu Like liên kết này trong facebook của họ. Và khi bạn bè họ sử dụng facebook nhìn thấy thì họ sẽ tiếp tục click và làm lây lan.

Các kiểu tấn công Clickjacking

Clickjacking là một kĩ thuật tương đối mới, và thực tế các nguy cơ bị clickjacking là khá đa dạng. Trong tương lai sẽ xuất hiện nhiều biến thể của clickjacking được hacker sử dụng.

Tương tác với một frame ẩn

Hacker sẽ tạo ra một trang web, trong đó có chứa một frame ẩn (trong suốt với người dùng) và nội dung hiển thị sẽ lừa người dùng click vào một hoặc một vài điểm nào đó trên website. Khi đó người dùng không hề biết là đang thao tác với một trang web độc hại nằm trong iframe. Và thông qua iframe đó hacker có thể lấy cắp thông tin của người dùng hoặc thực hiện các thao tác khác.

      • Iframe chứa trang web độc có thể nằm trên toàn bộ hoặc trong một phần website đó, tùy theo cách thức mà hacker đặt ra để lừa người dùng.
      • Iframe có thể được điều khiển bằng javascript hoặc nằm cố định nhờ CSS.
      • Iframe có thể nằm dưới hoặc nằm trên (Graphic overlaying) đối tượng lừa người sử dụng click vào.

hidden-iframe

Ví dụ về iframe ẩn

Sử dụng JavaScript

Thông qua JavaScript, Hacker có thể kiểm soát được vị trí con trỏ chuột và các thao tác click chuột của người dùng. Đồng thời có thể thay đổi vị trí của một object bất kì trên trang web, khiến người dùng bắt buộc phải click vào những vị trí chứa những liên kết độc hại nằm trên trang web đó mà không hề hay biết. Từ đó, hacker cũng có thể tạo ra một cuộc tấn công multi-click liền mạch, có nghĩa là sau một số lần click chuột, hacker sẽ ngừng tấn công và trả lạ quyền kiểm soát con trỏ cho người dùng, khiến người dùng không thể nhận ra được.

Tấn công qua lỗ hổng phần mềm

Từ phiên bản 10 của Flash, adobe đã fix lỗ hổng camera và microphone có thể khai thác được bằng clickjacking, tuy nhiên nếu người dùng chưa update thì vẫn có thể bị tấn công. Ngoài ra, các phần mềm khác như ActiveX hay MS SilverLight… vẫn còn tiềm ẩn những nguy cơ bị tấn công clickjacking.

Kết hợp các cách tấn công trên với các lỗi phổ biến như XSS, CSRF

Nếu một trang web bị lỗi XSS hay CSRF, hacker có thể sử dụng các cách tấn công trên để lừa người dùng click vào đúng vị trí bị XSS hay CSRF. Qua đó, ta có thể thấy được sự nguy hiểm của clickjacking.

Một số cách phòng chống Clickjacking

Thực sự thì chưa có một cách nào hiệu quả hoàn toàn để chống lại clickjacking. Tuy nhiên người dùng có thể tự bảo vệ mình bằng cách:Đối với FireFox có thể sử dụng add-on NoScript để tắt bỏ hoàn toàn Iframe và các embeded object khác.

noscript

  • Disable JavaScript, cách này đôi khi sẽ gây nhiều bất tiện khi duyệt web.
  • Cập nhật các phiên bản hoặc bản vá mới nhất cho các trình duyệt, phần mềm.
  • Sử dụng các hộp thoại, captcha để xác nhận thay vì các trang nhắc.
  • Fix các lỗi XSS hay CSRF  để tránh hacker kết hợp chúng với clickjacking.

 Theo tek.eten