Clickjacking ถ้าแปลตรงตัวก็คือ การจี้ให้กดคลิก เป็นเทคนิคการโจมตีทางไซเบอร์ที่หลอกให้เราคลิกองค์ประกอบบนหน้าเว็บ (เช่น ปุ่ม ลิงก์ รูปภาพ) โดยที่เราไม่รู้ตัวว่ากำลังถูกหลอก พูดง่ายๆ คือ เราคิดว่าเราคลิกอย่างหนึ่ง แต่จริงๆ แล้วเรากำลังคลิกอีกอย่างหนึ่งที่เรามองไม่เห็น
ตัวอย่างเช่น
– เราอาจจะเจอหน้าเว็บที่บอกว่าเราถูกหวยนะ สามารถกดคลิกที่ปุ่มรับรางวัลได้เลย แต่จริงๆ แล้วปุ่มนั้น อาจถูกวางทับไว้บนปุ่มโอนเงินของหน้าเว็บธนาคารที่เราล็อกอินค้างไว้
– เราอาจจะเห็นโฆษณาที่บอกให้คลิกเพื่อปิด แต่จริงๆ แล้วปุ่ม “ปิด” อาจนั้นถูกวางทับไว้บนปุ่ม “Like” ของ Facebook Page ที่แฮกเกอร์ต้องการเพิ่มยอดไลก์
จริง ๆ Clickjacking นั้นมีมานานมากแล้ว เรียกได้ว่าเป็นรุ่นเก๋าของวงการไซเบอร์เลย แต่ตอนนี้มีมุขใหม่ที่พัฒนา ให้ขั้นสูงขึ้นคือ Double-Click Jacking
Double-Click Jacking หลอกให้เหยื่อคลิก สองครั้ง
– การคลิกครั้งแรกอาจดูไม่มีอะไร เหมือนเป็นการคลิกเพื่อปิดโฆษณา หรือคลิกเพื่อเล่นวิดีโอ
– แต่การคลิกครั้งที่สองต่างหากที่เป็นอันตราย เพราะมันจะถูกส่งไปยังเว็บไซต์อื่น (ที่ซ่อนอยู่) เพื่อดำเนินการบางอย่างตามที่แฮกเกอร์ต้องการ
– ความใหม่และความร้ายกาจของมันคือ การใช้ Double-Click สามารถหลบเลี่ยงการป้องกันของเบราว์เซอร์ที่ไม่อนุญาตให้ส่งคุกกี้ข้ามเว็บไซต์ได้ ทำให้ Clickjacking ที่เคยเกือบจะหายไปแล้ว กลับมาอันตรายอีกครั้ง
เรื่องนี้ถูกเปิดเผยโดย Paulos Yibelo วิศวกรด้านความปลอดภัยของ Amazon ที่ออกมาแฉกลโกงแบบใหม่นี้บนเว็บ Cybernews ซึ่งแฮกเกอร์สามารถใช้มันเพื่อปิดการตั้งค่าความปลอดภัย ลบข้อมูลไอดี หรือแม้แต่ยึดไอดีของเราไปเลย
หากเปรียบเทียบให้ชัดเจน
Clickjacking รุ่นเก่า จะเหมือนหลอกให้เราเซ็นเอกสารเปล่าโดยที่เราไม่รู้ตัว
Double-Click Jacking จะให้เราเซ็นเอกสารเปล่า สองใบ ใบแรกอาจเป็นแค่กระดาษธรรมดาที่ดูไม่มีพิษมีภัย แต่ใบที่สองคือสัญญาที่ทำให้เราเสียผลประโยชน์ แล้วเอาใบที่สองไปใช้ครับ
ที่มา
tomsguide
