Hacker luôn tìm kiếm những phương thức mới mẻ để ngụy trang cho các cuộc tấn công mạng của mình, và một trong số đó là ẩn mình bên dưới một trang web tưởng như vô hại, nhưng phía trên lại “phủ” một lớp áo vô hình chứa vô số đường link độc hại. Phương thức tấn công này gọi là clickjacking attack, và nó có khả năng khiến bạn vô tình kích hoạt webcam hay thậm chí là chuyển tiền từ tài khoản ngân hàng của chính mình!
Trong bài viết này, hãy cùng Z.com tìm hiểu về các loại clickjacking attack khác nhau, và làm sao để phòng tránh mối đe dọa bảo mật này.
Clickjacking attack là gì?
Clickjacking attack (hay click hijacking attack) là một loại hình tấn công mạng trong đó hacker đặt các đường link ẩn trên giao diện người dùng của một website, khiến khách truy cập website bấm nhầm vào link đó thay vì link gốc. Bởi quá trình đánh lừa này (gọi là clickjacking) diễn ra trên một lớp iframe vô hình phủ trên trang gốc, khách truy cập thường không thể biết được họ đang trở thành nạn nhân của hacker.
Có 2 nạn nhân của clickjacking attack: website gốc và khách ghé thăm website. Website gốc bị sử dụng làm nền tảng để thực hiện clickjacking attack, trong khi khách ghé thăm webste trở thành nạn nhân trực tiếp mà kẻ tấn công nhắm đến.
Một số loại clickjacking attack phổ biến bao gồm: đánh cắp thông tin đăng nhập, kích hoạt webcam hoặc microphone trên thiết bị, dụ dỗ tải malware, kích hoạt giao dịch chuyển tiền, thực hiện mua hàng ngoài ý muốn, định vị người dùng.
Tất nhiên, mục đích của clickjacking attack không chỉ giới hạn trong những điều nêu trên. Bởi giao diện người dùng của website có thể bị phủ lên bất kỳ loại link nào (gọi là UI redressing), hacker có vô số cách để gây thiệt hại cho các nạn nhân 
Ví dụ về clickjacking attack
Dưới đây là một số ví dụ về những loại clickjacking attack nguy hiểm nhất:
Lừa đảo chuyển tiền
Hacker đánh lừa bạn bấm vào một link trên một trang web mờ ám, từ đó kích hoạt lệnh chuyển tiền khỏi tài khoản ngân hàng của bạn.
Đầu tiên, nạn nhân bị đánh lừa bởi một website trông khá vô hại mà họ mở từ một link trong email. Những website này thường đưa ra một món hời khó lòng từ chối, như quà tặng miễn phí hoặc voucher nghỉ dưỡng.
Khi website nạp xong, nạn nhân bấm vào nút nhận quà miễn phí, nhưng trên thực tế là bấm vào link xác nhận chuyển tiền nằm trên một lớp ứng dụng web vô hình. Nếu nạn nhân đã đăng nhập vào tài khoản ngân hàng ở thời điểm bấm, tiền của họ sẽ ngay lập tức bị chuyển đến tài khoản hacker.
Trong khi tiền đang được chuyển, nạn nhân sẽ được đưa đến một trang khác với nhiều thông tin hơn về món quà miễn phí mà họ hi vọng nhận được!
Kích hoạt webcam và microphone
Ở loại clipjacking attack này, khi bấm vào link, người dùng sẽ vô tình thay đổi thiết lập của plugin Adobe Flash đã được nạp sẵn trên một link khác, từ đó trao quyền cho hacker truy cập webcam và microphone của họ.
Likejacking
Trong likejacking, người dùng bị lừa bấm vào nút like một Facebook Page khi họ bấm vào link hiện ra trên màn hình. Người dùng cần đăng nhập vào Facebook khi link này được bấm thì hacker mới thực hiện được cuộc tấn công.
Cursorjacking
Đây là một loại clickjacking attack trong đó hacker tạo ra một con trỏ chuột thứ hai, gắn liền với con trỏ thật. Tuy nhiên người dùng chỉ thấy được con trỏ chuột giả kia. Hacker sẽ đoán biết một khu vực nào đó trên màn hình mà người dùng nhiều khả năng bấm vào nhất, từ đó lên kế hoạch để khi con trỏ chuột giả được đưa vào khu vực này, người dùng sẽ vô tình bấm vào link chứa mã độc.
Download malware
Hacker kích hoạt quá trình tải malware khi người dùng bấm vào một link giả. Malware có thể phá hoại hệ thống hoặc tạo gateway để hacker tấn công về sau.
Ngăn chặn clickjacking attack
Việc ngăn chặn clickjacking attack có thể được thực hiện trên cả máy khách lẫn máy chủ.
Trên máy chủ
- Sử dụng X-Frame-Options Header: Sử dụng tiêu đề HTTP X-Frame-Options để chỉ định xem trình duyệt có được phép nhúng trang web vào một iframe hay không. Bạn có thể đặt giá trị của tiêu đề này thành "DENY" để ngăn chặn trang web khỏi việc nhúng bất kỳ nơi nào, hoặc "SAMEORIGIN" để chỉ cho phép trang web được nhúng từ cùng một nguồn.
- Sử dụng Content Security Policy (CSP): CSP là một cơ chế bảo vệ trình duyệt mà cho phép bạn xác định các nguồn nào được tin cậy để tải tài nguyên từ. Bằng cách chỉ định các nguồn đáng tin cậy cho các khối iframe và các tài nguyên khác, bạn có thể ngăn chặn clickjacking attack.
- Frame-Busting Code: Thêm mã JavaScript frame-busting vào trang web của bạn để ngăn chặn trang web của bạn khỏi được nhúng vào một iframe. Mã frame-busting thường sử dụng trong JavaScript như sau:
```javascript
if (top != self) {
top.location = self.location;
}
```
Điều này sẽ kiểm tra xem trang hiện tại có được nhúng trong một frame không, và nếu có, nó sẽ chuyển hướng trình duyệt đến trang hiện tại nằm trên cùng của cửa sổ trình duyệt.
- Kiểm Tra Referer Header: Kiểm tra tiêu đề HTTP Referer để xác định xem trang web hiện tại có được truy cập từ một trang web khác không. Nếu không, có thể là dấu hiệu của clickjacking attack.
- Hạn Chế Quyền Truy Cập: Hạn chế quyền truy cập vào trang web của bạn thông qua cơ chế xác thực và ủy quyền. Điều này có thể giúp giảm nguy cơ clickjacking attack bằng cách chỉ cho phép người dùng đã đăng nhập và được ủy quyền truy cập vào các chức năng quan trọng.
Kết hợp các biện pháp trên có thể giúp tăng cường bảo mật trang web của bạn và ngăn chặn clickjacking attack.
Trên máy khách
Phòng chống clickjacking attack từ phía máy khách (client-side) đòi hỏi sự chú ý từ người dùng và các biện pháp bảo mật cụ thể. Dưới đây là một số cách để người dùng bảo vệ mình khỏi clickjacking attack:
- Sử dụng Trình Duyệt Web An Toàn: Chọn trình duyệt web được cập nhật và có bảo mật tốt. Trình duyệt mới nhất thường cung cấp nhiều tính năng bảo mật hơn để ngăn chặn clickjacking attack và các loại tấn công khác.
- Tắt JavaScript: Một số trình duyệt cung cấp cài đặt cho phép người dùng tắt JavaScript. Clickjacking attack thường sử dụng JavaScript để che giấu các phần tử và thực hiện hành động không mong muốn, vì vậy việc tắt JavaScript có thể giúp ngăn chặn một số cuộc tấn công.
- Kiểm Tra Đường Dẫn URL: Kiểm tra URL trước khi nhấp vào liên kết hoặc nhập thông tin. Đảm bảo rằng URL hiển thị trên thanh địa chỉ trình duyệt phù hợp với trang web bạn đang truy cập. Nếu URL có vẻ không phù hợp hoặc đáng ngờ, hãy tránh nhấp vào liên kết đó.
- Sử Dụng Các Add-on hoặc Phần Mở Rộng: Có một số add-on hoặc phần mở rộng trình duyệt có thể giúp ngăn chặn clickjacking attack bằng cách cung cấp các tính năng bảo mật bổ sung. Ví dụ, NoScript cho Firefox là một phần mở rộng hữu ích cho việc ngăn chặn các cuộc tấn công dựa trên JavaScript.
- Sử Dụng Trình Duyệt InPrivate hoặc Incognito: Trình duyệt ẩn danh có thể giúp ngăn chặn một số loại tấn công bằng cách không lưu lịch sử duyệt web, cookie, hoặc dữ liệu web tạm thời.
- Thận Trọng với Các Ứng Dụng và Trò Chơi Trên Mạng Xã Hội: Các ứng dụng và trò chơi trên mạng xã hội có thể là mục tiêu của clickjacking attack. Thận trọng khi sử dụng và chia sẻ thông tin trên các nền tảng này có thể giúp ngăn chặn các cuộc tấn công.
- Thông Tin Phân Phối Hợp Lý: Đọc và hiểu rõ các thông tin phân phối trước khi chia sẻ hoặc làm theo các hướng dẫn. Hãy kiểm tra nguồn gốc của các thông tin và liên kết trước khi nhấp vào chúng.
Nhớ rằng mặc dù có thể thực hiện các biện pháp phía máy khách để ngăn chặn clickjacking attack, nhưng việc sử dụng các biện pháp bảo mật từ phía máy chủ và các công nghệ bảo vệ web phía máy chủ là quan trọng nhất.
Bài liên quan
- Từ A-Z về DNS 1.1.1.1, hướng dẫn cài đặt DNS 1.1.1.1 trên máy tính và điện thoại
- DNS là gì? Từ A-Z về DNS Google, DNS Server, DNS VNPT
- Flush DNS là gì? Cách xóa cache DNS trong Windows chi tiết nhất
- DNS Security là gì? Nên chọn DNS Security nào tốt nhất?
- Lỗi DNS_PROBE_FINISHED_NXDOMAIN là gì? Một số cách khắc phục nhanh, hiệu quả cao
- DDNS là gì? Các lợi ích mà DDNS mang lại bạn không nên bỏ lỡ
