क्लिकजैक हमला एक दुर्भावनापूर्ण तकनीक है जिसका उपयोग हमलावर द्वारा इंटरनेट पर संक्रमित उपयोगकर्ता के क्लिक को रिकॉर्ड करने के लिए किया जाता है। इसका उपयोग किसी विशिष्ट साइट पर ट्रैफ़िक को निर्देशित करने या उपयोगकर्ता को फेसबुक एप्लिकेशन को पसंद करने या स्वीकार करने के लिए किया जा सकता है। अधिक घृणित उद्देश्य ब्राउज़र पर सहेजी गई संवेदनशील जानकारी, जैसे पासवर्ड, एकत्र करना या दुर्भावनापूर्ण सामग्री इंस्टॉल करना हो सकता है।
इस प्रकार के हमले को क्लिकजैकिंग या यूआई रीडड्रेसिंग के रूप में भी जाना जाता है।
आम तौर पर, एक वैध बटन के ऊपर एक छिपा हुआ लिंक रखकर क्लिकजैक शोषण किया जाता है। हालाँकि, शोषण में निम्नलिखित भी शामिल हो सकते हैं:
- फ़्लैश के माध्यम से अपने माइक्रोफ़ोन और वेबकैम को सक्षम करने के लिए उपयोगकर्ताओं को धोखा देना
- उपयोगकर्ताओं को उनके सोशल मीडिया प्रोफाइल विवरण को सार्वजनिक करने के लिए बेवकूफ बनाना
- संक्रमित उपयोगकर्ताओं को अनजाने में ट्विटर पर किसी का अनुसरण करना
क्लिकजैक हमले को IFRAMEs का उपयोग करके कार्यान्वित किया जा सकता है, जो HTML तत्व हैं जो अन्य वेबसाइटों जैसे अन्य स्थानों से सामग्री खींचते हैं। क्लिकजैक हमलावर किसी भी वेबसाइट पर एक IFRAME एम्बेड कर सकते हैं और एक वैध बटन के शीर्ष पर अदृश्य IFRAME को ओवरले कर सकते हैं। जब उपयोगकर्ता वैध बटन पर क्लिक करता है, तो वास्तव में हमलावर का बटन या लिंक क्लिक किया जा रहा होता है।
जो चीज़ इसे हमला करने का बहुत शक्तिशाली तरीका बनाती है वह यह है कि यह वास्तव में HTML विनिर्देश की सीमा के भीतर किया जाता है, जिसका अर्थ है कि वेबसाइट उम्मीद के मुताबिक काम कर रही है। हमलावर केवल दुर्भावनापूर्ण हमलों के लिए इस सुविधा का फायदा उठा रहे हैं। वर्ल्ड वाइड वेब कंसोर्टियम (W3C) एक नए मानक को परिभाषित करने की कोशिश कर रहा है जो वेबसाइटों के लिए बाहरी हस्तक्षेप को अस्वीकार करना संभव बना देगा।
वेबसाइट प्रशासकों को तब तक पता नहीं चलेगा कि कुछ गलत है जब तक उपयोगकर्ताओं की ओर से शिकायतें नहीं आतीं। यह इंगित करना कठिन है कि कोई हमला हुआ है क्योंकि साइट पर सब कुछ एक जैसा दिखता है और क्लिकजैक तत्व को पूरी तरह से हानिरहित के रूप में छिपा दिया गया है।
मोज़िला के लिए नोस्क्रिप्ट ऐड-ऑन, गज़ेल वेब ब्राउज़र और फ़्रेमकिलर जावास्क्रिप्ट स्निपेट कुछ उपाय हैं जिनका उपयोग क्लिकजैक हमले से बचाने के लिए किया जा सकता है।
0 Comments