کلیک دزدی چیست؟

کلیک جکینگ (کلیک دزدی) یک روش هوشمندانه است برای ترغیب یا مجبور کردن کاربران به کلیک کردن روی چیزی، بدون اینکه از آن آگاه باشند. این تکنیک به شکل های مختلفی اتفاق میفتد و ممکن است هر کاربری را فریب دهد، اما با کمی دقت و استفاده از ابزارهایی خاص، می‌توان از آسیب‌های این روش در امان ماند.

برای مثال با استفاده از CSS لایه‌ای شفاف روی صفحه وب قرار می‌گیرد که باعث می‌شود تمام صفحه به یک لینک تبدیل بشود و با کلیک کردن روی قسمت‌های خالی صفحه به مکان مورد نظر هکر منتقل بشوید. بعضی اوقات هکر ها از روش‌های مهندسی اجتماعی استفاده می کنند. برای مثال لینکی ارسال می‌کنند با عنوان: روی من کلیک نکنید! تا کاربران را ترغیب کنند که روی آن لینک کلیک کنند.

البته از این روش برای نشان دادن تبلیغات و صفحات فروش یک محصول هم استفاده می‌شود، اما نکته مهم اینجا است که باید دقت کنیم که چه لینکی مناسب، بی خطر و سالم است و کدام لینک نامعتبر و حتی خطرناک. چرا که ممکن است از کلیک جکینگ برای مقاصدی مانند اسپوفینگ یا اجرای کدهای مخرب روی کامپیوتر کاربر استفاده گردد و در این صورت ممکن است اطلاعات مهمتری را از دست بدهیم.

چطور متوجه یک صفحه مشکوک شویم؟
اینگونه صفحات، معمولاً کاربر را به کلیک بر روی لینکهایی ترغیب می کند که با توضیحاتی اغوا کننده دربرگرفته شده اند و کلیدهایی با ظاهر زیبا و جذاب دارند. هنگامی که کاربر بر روی کلید مربوطه کلیک می‌کند، عملیات اصلی در صفحه پنهانی که لینک آن به کاربر نمایش داده نمی‌شده، انجام می‌شود. صفحه مخفی ممکن است ظاهر یک صفحه معتبر را داشته باشد ولی بعد از آن، حمله کنندگان می توانند کاربر را ترغیب به چیزهایی که تا به حال انجام نداده کنند تا اینکه او را به صفحات دیگر منتقل کنند.

مثالهایی از این دسته وجود دارند که به آنها اشاره می‌کنیم:

شما ایمیلی دریافت می‌کنید که ظاهراً لینکی به ویدئوی مهمترین خبر روز در آن وجود دارد. اما لینک در واقع صفحه فروش محصولی در سایتی غیر معتبر است. با فشار دادن کلید Play در ایمیل به جای اجرای ویدئو، شما با صفحه فروش محصول مواجه می‌شوید.

از Click jacking در مواردی از جمله موارد زیر هم استفاده می شود:
اجازه گرفتن از کاربر برای فعال کردن وبکم و میکروفون
ترغیب کاربر به فعال کردن پروفایلش برای بازدید عموم
فالوشدن در توئیتر
داغ کردن لینک ها در شبکه های اجتماعی
و …

چه باید کرد؟
برای اینکه در دام این تکنیک گرفتار نشویم، استفاده از افرونه NoScript در فایرفاکس پیشنهاد می‌شود. چرا که این افزونه در مواردی که از اسکریپت های مخرب برای این روش استفاده شده باشد، از حملات کلیک دزدی جلوگیری می‌کند.

اما باید بدانید که Clickjacking بیشتر تحت CSS اعمال می‌شود و این مورد باعث می‌شود که NoScript و ابزارهای مشابه نتوانند این تکنیک را در چنین صفحاتی تشخیص دهند‫.‬ اینجا است که فقط هوشیاری خودتان است که می‌تواند بهتر از هر ابزاری در جلوگیری از به دام افتادن شما را یاری کند‫.‬

پس هنگامی‌که مشغول گشت و گذار در وب هستید مراقب لینک ها و کلیدهای مشکوک باشید و اگر فکر می‌کنید لینک یا کلیدی مشکل دارد، حتی‌المقدور از کلیک بر روی آن دست بکشید‫.‬

نکته مهمی که در بسیاری موارد به کاربر کمک می‌کند که از دزدیده شدن کلیک‌ها و خطرات احتمالی بعدی در امان بماند، دقت در آدرس URL هر لینک است. حتماً دقت کرده‌اید که اگر نشانگر موس خود را بر روی یک لینک مانند نگهبان بیاورید، قبل از اینکه کلیک کنید، آدرسی که لینک مربوطه شما را به آن هدایت می‌کند، در پایین مرورگر خود مشاهده می‌کنید(در اینجا “http://www.negahbaan.com”). بدین ترتیب از بسیاری از کلیک دزدی هایی که ممکن است برای شما اتفاق بیفتد در امان هستید. چرا که با تطبیق توضیحات لینک و آدرس URL مربوطه که در پایین مرورگر مشاهده می‌کنید، می‌توانید در موارد زیادی تشخیص دهید که این لینک معتبر هست یا نه. البته این هم به طور کامل نمی‌تواند مانع کلیک جکینگ شود، اما دقت در آدرس واقعی لینک‌ها قبل از کلیک شدیداً توصیه می‌شود.

منبع: itc.itmavara.com