Đây là lý do tại sao bạn có thể chia sẻ máy ảnh của mình với kẻ tấn công mạng
Bạn mở một trang web để xem video. Đủ ngây thơ, phải không? Nhưng chỉ cần nhấp vào một nút, kẻ tấn công mạng có thể đã có quyền truy cập vào máy ảnh và micrô của bạn. Họ có thể đang theo dõi bạn mà bạn không hề biết về điều đó. Đây là một hình thức tấn công được gọi là clickjacking.
Vì vậy, điều đó thực sự có nghĩa là gì? Clickjacking hoạt động như thế nào? Và làm thế nào bạn có thể tự bảo vệ mình?
Mục Lục
Clickjacking là gì?
Clickjacking là một loại tấn công kỹ thuật xã hội mà tội phạm mạng có thể sử dụng để giành quyền truy cập vào thông tin của người dùng.
Mục đích chính của clickjacking là lừa người dùng để khiến họ nhấp vào thứ gì đó cụ thể mà kẻ tấn công mạng muốn họ nhấp vào. Thông qua đó, họ có thể thu giữ thiết bị của bạn, đặc biệt là khi sử dụng máy ảnh và micrô. Trong hầu hết các trình duyệt, bạn chỉ cần nhấp vào một nút duy nhất để cấp quyền cho micrô và máy ảnh; sau đó, người dùng có thể vô tình chia sẻ máy ảnh của họ với kẻ tấn công mạng, điều này có thể gây ra hậu quả nghiêm trọng, đặc biệt là đối với quyền riêng tư.
Cách Clickjacking hoạt động với các trang web trong suốt
Kẻ tấn công tạo môi trường giả để lừa người dùng. Các trang web giả mạo có thể tiếp cận một số lượng lớn người và do đó làm tăng khả năng thành công của cuộc tấn công. Những kẻ lừa đảo thiết kế một trang web trông có vẻ bình thường nhưng có mục đích thực sự là truy cập máy ảnh và micrô của bạn hoặc khiến bạn tải xuống phần mềm độc hại.
Chẳng hạn, hãy xem xét một trò chơi nhấp chuột đơn giản hoạt động hoàn toàn trong trình duyệt của bạn. Mục đích chính của nó là đánh giá khả năng phối hợp cử động tay và mắt của bạn. Để thực hiện điều này, trò chơi đưa ra cho bạn các nút màu xuất hiện ở các phần khác nhau của màn hình và nhắc bạn nhấp vào chúng. Bạn có thể thực hiện hoạt động này càng nhanh thì mức độ thành tích của bạn càng cao.
Mặc dù có vẻ vô hại nhưng tọa độ của các nút sẽ xuất hiện trên màn hình đã được kẻ tấn công định trước. Bạn nghĩ rằng bạn nhấp vào một nút và giành chiến thắng trong trò chơi, nhưng thực tế là bạn nhấp vào một nút hoàn toàn khác ở chế độ nền.
Truy cập máy ảnh của bạn bằng Clickjacking
Điều tương tự cũng xảy ra đối với quyền truy cập micrô và máy ảnh của bạn. Đôi khi các trang web cần máy ảnh và micrô của bạn. Ví dụ: một ứng dụng như Thu phóng yêu cầu các quyền này để bạn có thể nói và để hình ảnh của bạn xuất hiện trong hội nghị truyền hình. Để cấp quyền, bạn sẽ thấy nút “cho phép” ở đâu đó trên giao diện trình duyệt của mình. Tất nhiên, không phải nền tảng nào cũng an toàn như Zoom.
Vì vậy, khi bạn nhấp vào nút phát trông có vẻ ngây thơ để xem chương trình truyền hình hoặc phim, đó có thể là nút cho phép phía sau do tin tặc tạo ra để mở máy ảnh của bạn.
Làm thế nào để bạn bảo vệ chống lại các cuộc tấn công Clickjacking?
Kẻ tấn công nguy hiểm sử dụng nhiều mã và tập lệnh khác nhau để khiến bạn nhấp vào chính xác nơi chúng muốn và thao túng màn hình của bạn. Nhiều nhà phát triển thậm chí có ít kinh nghiệm về HTML và CSS có thể dễ dàng làm điều này: họ chỉ cần thử với các giá trị độ mờ của hai trang mà họ thiết kế chồng lên nhau và không hiển thị trang sau cho người dùng cuối.
Để tránh trở thành con mồi của thủ thuật dựa trên tập lệnh có vẻ đơn giản, một trong những cách tiếp cận hiệu quả nhất là tắt JavaScript. Hầu hết các trình duyệt web đều cung cấp tính năng bảo mật cho phép bạn tắt mã JavaScript chạy trong nền của trang web. Chẳng hạn, trong Chrome, bạn có thể truy cập trang bằng cách nhập “chrome://settings/content/javascript” vào thanh địa chỉ. Khi truy cập trang này, bạn sẽ bắt gặp Không cho phép các trang web sử dụng Javascript lựa chọn.
Tuy nhiên, bạn cần thận trọng khi chọn tùy chọn này vì tùy chọn này sẽ chặn tất cả các mã hiện có trên mọi trang web. Chỉ kích hoạt nó khi đăng nhập vào các trang web mà bạn không tin tưởng và cho là không an toàn. Bạn luôn có thể đảo ngược cài đặt này sau.
Ngoài ra, bạn có thể sử dụng các plugin đáng tin cậy và không có mã nguồn mở để bật và tắt JavaScript dễ dàng hơn. NoScript Security Suite là một giải pháp tốt cho việc này và cung cấp hỗ trợ cho nhiều trình duyệt khác nhau. Nó nhằm mục đích ngăn chặn không chỉ các cuộc tấn công clickjacking mà còn cả phần mềm độc hại tồn tại trên bất kỳ trang web nào bạn truy cập.
Những kẻ tấn công độc hại không phải lúc nào cũng mã hóa trang web của họ để thực hiện tấn công clickjacking bằng cách sử dụng các trang web minh bạch. Họ cũng có thể lợi dụng các lỗ hổng trực tuyến mà họ tìm thấy khi duyệt internet. Ví dụ: họ có thể tiêm mã bằng cách khai thác lỗ hổng trong phần bình luận của blog. Trong những trường hợp như vậy, bạn cần chú ý đến những gì bạn thực sự nhấp vào, ngay cả khi làm như vậy nghe có vẻ hơi hoang tưởng.
Làm thế nào để bạn biết nếu một trang web đáng tin cậy?
Làm thế nào bạn có thể biết nếu bạn có thể tin tưởng một trang web? Những kẻ tấn công thường không dành quá nhiều thời gian vào việc thiết kế và phát triển một trang web; đó là thời gian và tiền bạc không cần thiết lãng phí. Bạn có thể biết điều này từ thiết kế và chứng chỉ bảo mật của trang web. Ví dụ: một trang web tổ chức lớn và đáng tin cậy rất có thể sẽ có chứng chỉ SSL. Để kiểm tra điều này, hãy nhìn vào URL. Nếu địa chỉ bắt đầu bằng “https://”, điều đó có nghĩa là trang web đó có chứng chỉ SSL. Chữ “S” thêm sau “HTTP” có nghĩa là “An toàn”. Đừng chỉ dựa vào điều này, mặc dù.
Bạn cũng nên xem qua thiết kế và nội dung của trang web. Thông tin trên trang liên hệ, chính sách quyền riêng tư và thậm chí cả cảnh báo GDPR có thể cho biết liệu một trang web có đáng tin cậy hay không. Nghiên cứu trang web quá. Những người dùng khác trên các nền tảng như Twitter, Facebook và Trustpilot nói gì về điều đó?
Nếu bạn có bất kỳ kiến thức nào về mã hóa, bạn có thể kiểm tra mã nguồn của trang web. Bằng cách đó, bạn sẽ thấy một số hoạt động nền và những trang web khác mà nó liên kết đến.
Bạn có nên lo lắng về Clickjacking?
Clickjacking là một điều đáng sợ, đặc biệt là khi tội phạm mạng có thể truy cập vào webcam của bạn và tích cực theo dõi các hoạt động của bạn. Đó là một cuộc xâm lược lớn về quyền riêng tư và bảo mật.
Vì vậy, vâng, có vẻ hơi OTT khi cẩn thận khi bạn thực sự nhấp vào một trang web. Hầu hết chúng ta làm điều này mà không cần suy nghĩ một giây. Nhưng điều quan trọng nữa là bạn luôn cảnh giác để không trở thành con mồi của tin tặc.