Clickjacking attack là gì? Cách phát hiện và phòng tránh hiệu quả
Trong số những mối đe dọa an ninh mạng, clickjacking attack là một mối đe dọa có thủ đoạn tinh vi và người dùng dễ mắc phải. Vậy clickjacking attack là gì? Cách phát hiện và phòng tránh hiệu quả như thế nào? Hãy cùng tìm hiểu cùng với Bizfly Cloud nhé.
Clickjacking attack là gì?
Clickjacking attack là hình thức tấn công mạng thông qua việc lừa người dùng nhấp vào một đối tượng trên website mà họ không hề hay biết. Thông thường, kẻ tấn công sẽ sử dụng các khung iframe hoặc các phần tử HTML trong suốt để che giấu nội dung thật mà họ muốn người dùng nhấp vào. Qua cú click đó, hacker có thể lấy được thông tin của người dùng hoặc chiếm quyền kiểm soát máy tính của họ.
Lịch sử ra đời loại hình tấn công Clickjacking
Tấn công Clickjacking được phát hiện lần đầu tiên vào năm 2008 bởi hai chuyên gia bảo mật nổi tiếng là Robert Hansen và Jeremiah Grossman. Kể từ đó, Clickjacking đã trở thành một trong những mối đe dọa nguy hiểm nhất trên Internet. Bởi vì chúng không chỉ ảnh hưởng đến người dùng cá nhân mà còn có thể gây thiệt hại lớn cho các tổ chức và doanh nghiệp, làm mất danh tiếng và tổn thất tài chính nghiêm trọng.
Ví dụ minh họa về Clickjacking attack
Hacker gửi một email giả mạo quảng cáo về voucher, các chương trình khuyến mãi. Trong email sẽ có một link dẫn về website tưởng chừng như vô hại. Khi nạn nhân bấm vào nút nhận quà, nhận voucher nhưng thực tế là họ đang nhấp vào một iframe vô hình và đã bấm vào nút "Xác nhận chuyển tiền". Nếu nạn nhân đang đăng nhập vào tài khoản ngân hàng ở thời điểm bấm, tiền sẽ được lập tức chuyển về tài khoản của hacker.
Clickjacking attack là gì?
Làm thế nào để phát hiện ra Clickjacking attack?
Để phát hiện một website có bị Clickjacking attack không, bạn có thể làm như sau:
● Nhấn chuột phải lên trang web và chọn "Inspect" hoặc ấn phím F12 để mở công cụ phát triển
● Chuyển đến tab "Elements" hoặc "DOM" để xem mã nguồn HTML của trang web
● Nhấn tổ hợp phím Ctrl+F, tìm kiếm cụm từ "iframe" sau đó kiểm tra mã nguồn xem có trùng với website gốc hay không.
Ngoài cách kiểm tra mã nguồn, bạn có thể phát hiện Clickjacking bằng mắt thường như bố cục, màu sắc hoặc phông chữ của website khác với bình thường, các thành phần trên trang chồng chéo, không thẳng hàng hoặc thời gian tải trang chậm, cửa sổ chuyển hướng,... Những trang yêu cầu quyền truy cập máy ảnh hoặc mạng xã hội,... đều là dấu hiệu của clickjacking.
Cách phòng chống Clickjacking hiệu quả nhất
1. Phương pháp Frame Busting
Để ngăn website bị Clickjacking tấn công, bạn có thể sử dụng phương pháp Frame Busting. Với phương pháp này, bạn chỉ cần thêm một đoạn mã JavaScript vào trang web của mình để kiểm tra xem trang web có đang được hiển thị trong một khung iframe hay không. Nếu có, đoạn mã này sẽ khiến trang web thoát khỏi khung iframe đó. Đoạn mã sử dụng để chống Clickjacking attack như sau:
if (self !== top) { top.location = self.location; }
Các kỹ thuật Frame Busting đều có thể vượt qua bằng cách ngăn không cho chuyển hướng tới website cần bảo vệ, vì thế bạn cần cải tiến Frame Busting với đoạn mã như sau:
body{
display:none !important;
}
if (self === top) {
var antiClickjack =
document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack );
}
else {
top.location = self.location;
2. Phương pháp X-Frame-Options
Bên cạnh Frame Busting, bạn có thể áp dụng thêm X-Frame-Options để ngăn Clickjacking tấn công website của mình. X-Frame-Options là một phần của HTTP trang và chúng biểu thị liệu trình duyệt có được phép hiển thị trang bên trong thẻ <FRAME> hoặc <IFRAME> hay không. X-Frame-Options Header sẽ nhận các giá trị sau:
- Deny: Không cho phép bất kỳ tên miền nào hiển thị trang này trong một khung iframe
- SAMEORIGIN: Cho phép trang hiện tại được hiển thị trong một khung iframe trên một trang khác, nhưng chỉ trong phạm vi miền hiện tại
- ALLOW-FROM URI: Cho phép trang hiện tại được hiển thị trong khung iframe, nhưng chỉ trong một URI cụ thể, ví dụ: www.example.com/frame-page
Kết luận
Clickjacking attack là một trong những phương thức tấn công mạng tinh vi và khó nhận diện. Nhận thức rõ về nguy cơ và áp dụng các biện pháp bảo mật an toàn đúng, người dùng sẽ tránh được những tổn thất do clickjacking attack gây ra.
