การโจมตีแบบ Clickjacking คืออะไร ?

การโจมตีแบบ Clickjacking คืออะไร ?

สำหรับคนที่ใช้งานอินเทอร์เน็ตเป็นประจำ โดยเฉพาะผู้ที่เคยดาวน์โหลดไฟล์จากเว็บไซต์ที่ให้บริการฝากไฟล์ต่าง ๆ น่าจะเคยเผชิญกับการโจมตีที่เรากำลังจะมาอธิบายในบทความนี้กันมาบ้างอย่างแน่นอน

Clickjacking หรือที่เรียกว่าการปรับหน้าต่างส่วนติดต่อผู้ใช้งาน "UI Redressing" เป็นหนึ่งในเทคนิคการโจมตีทางไซเบอร์อันตรายที่แฮกเกอร์ใช้หลอกล่อผู้ใช้งานให้ "คลิก" บน "สิ่งที่ดูเหมือนปกติ" แต่แท้จริงแล้วซ่อนเจตนาร้ายเอาไว้ สามารถทำให้ข้อมูล, อุปกรณ์ หรือแม้กระทั่งบัญชีออนไลน์ของคุณ อาจตกอยู่ในอันตรายได้โดยไม่ทันรู้ตัว

ความซับซ้อน และความแพร่หลายของการโจมตีประเภทนี้ ทำให้ Clickjacking เป็นหัวข้อที่ควรทำความเข้าใจอย่างละเอียด เพื่อให้คุณผู้อ่านสามารถปกป้องตัวเองจากอันตรายในโลกดิจิทัลได้อย่างมีประสิทธิภาพ

บทความนี้เราจะมาอธิบายว่า Clickjacking คืออะไร ? มีรูปแบบการโจมตีอย่างไร ? และแนวทางในการป้องกัน

คลิกแจ็คกิ้ง คืออะไร ? (What is Clickjacking ?)

หากเว็บไซต์มีช่องโหว่ จนเปิดช่องให้แฮกเกอร์สามารถเข้าควบคุม ลิงก์ (Link), ปุ่ม (Button) หรือส่วนที่คลิกได้บนเว็บไซต์ การโจมตีนี้ถูกเรียกว่า "Clickjacking" หรือการโจมตีแบบ "User Interface Redress Attack" โดยผู้โจมตีมักจะสร้าง "ชั้น" (Layer) โปร่งใสไปวางซ้อนบนจุดที่คลิกได้บนหน้าเว็บไซต์ ทำให้เมื่อผู้ใช้คลิกที่ลิงก์ จะไปโดนชั้นดังกล่าวที่พาไปยังลิงก์ปลอมที่เป็นอันตราย แทนลิงก์ที่ตั้งใจจะคลิก

ข้อมูลเพิ่มเติม : UI คืออะไร ? (What is User Interface ?)

ตัวอย่างเช่น ผู้ใช้ต้องการดาวน์โหลด หนังสืออิเล็กทรอนิกส์ (eBook) ฟรี แต่กลับมีโอเวอร์เลย์ (Overlay) บนลิงก์นั้นซึ่งเป็นลิงก์ที่ดาวน์โหลด มัลแวร์ (Malware) หรือ ตัวดักจับข้อมูล (Keylogger) แทน กระบวนการนี้เกี่ยวข้องกับการเปลี่ยนแปลง ภาษา HTML ของเว็บไซต์ รวมถึง iframe และ ภาษา CSS เพื่อหลอกล่อ และสร้างความเสียหายต่อระบบของผู้ใช้งานที่ถูกโจมตี

ภาพจาก : https://www.clickcease.com/blog/what-is-clickjacking-and-how-does-it-affect-ppc-ads/

คลิกแจ็คกิ้ง ทำงานอย่างไร ? (How does Clickjacking work ?)

สิ่งที่ทำให้ Clickjacking เป็นภัยคุกคามที่ร้ายแรงคือ เลเยอร์ที่ซ่อนอยู่นั้นเกิดขึ้นบนเว็บไซต์จริง ไม่ใช่เวอร์ชันปลอม ส่งผลให้ผู้ใช้งานอาจมีความไว้วางใจ และลดการป้องกันตัวเองลง เมื่อเข้าใช้งานเว็บไซต์ที่มีชื่อเสียง หรือใช้งานเป็นประจำอยู่แล้ว

ทั้งที่ในความเป็นจริง ลิงก์ที่คุณคลิก อาจเปิดโอกาสให้แฮกเกอร์เข้าถึงบัญชีข้อมูลส่วนตัว หรือแม้กระทั่งรีโมตเข้ามาควบคุมอุปกรณ์ของเหยื่อได้เลย

Clickjacking มีการโจมตีอยู่หลายรูปแบบ เช่น

• เป็นเลเยอร์โปร่งใส หรือซ่อนอยู่
• หลอกลวงด้วยเหตุการณ์คลิก ทำให้ดูเหมือนเราคลิกไม่ติด แต่ความจริงคือ คุณกำลังคลิกลิงก์ที่ถูกซ่อนเอาไว้
• เปลี่ยนตำแหน่งของเมนู
• การเลื่อนหน้าเว็บไซต์ไป พร้อมกับ ป๊อปอัป (Pop-Up) อันตราย 
• ครอบ (Cropping) เฉพาะบางส่วนของหน้าเว็บไซต์ เพื่อโจมตีเฉพาะส่วนที่ควบคุมได้บนหน้าเว็บเท่านั้น

ในบางกรณี การโจมตี Clickjacking อาจไม่ร้ายแรงมากนัก เว็บไซต์ที่มีชื่อเสียงบางแห่งก็นิยมทำ เช่น การหลอกให้กด Like บนโซเชียลมีเดีย คุณอาจคลิกปุ่ม หรือลิงก์ ที่แท้จริงคือ ปุ่ม like ของเพจ ซึ่งรูปแบบนี้บางครั้งก็จะเรียกว่า "Likejacking" นอกจากนี้ ยังมีการโจมตีเวอร์ชันอื่น ๆ ด้วย เช่น Cookiejacking, Filejacking และ Cursorjacking อีกด้วย

ประเภทของ คลิกแจ็คกิ้ง (Clickjacking Categories)

Clickjacking สามารถแบ่งออกเป็นประเภทต่าง ๆ ตามเทคนิคที่ใช้ และเป้าหมายของการโจมตี โดยที่สามารถพบได้บ่อยก็จะมีดังต่อไปนี้

ดั้งเดิม (Classic)

Clickjacking แบบดั้งเดิม หมายถึงสถานการณ์ที่แฮกเกอร์ใช้เลเยอร์ที่ซ่อนอยู่บนหน้าเว็บ เพื่อสร้างผลกระทบให้ผู้ใช้เข้าใจผิดเกี่ยวกับสิ่งที่คลิกจริง ๆ

ตัวอย่างสมมติ เช่น ผู้ใช้อาจได้รับอีเมลที่มีลิงก์ไปยังวิดีโอข่าวบน YouXXXX แต่มีการซ่อนหน้าโปรโมตสินค้าใน LXXPXX เอาไว้ที่ด้านบน หรือด้านล่าง ของปุ่ม "PLAY" ของวิดีโอข่าวนั้น เมื่อผู้ใช้พยายามคลิกเพื่อเล่นวิดีโอ แต่สิ่งที่เกิดขึ้นกลับกลายเป็นการกด "ซื้อ" สินค้าบน LXXPXX แทน

หลอกให้กดไลก์ (Likejacking)

Likejacking เป็นเทคนิคที่หลอกลวงผู้ใช้ที่กำลังดูเว็บไซต์ให้กด "ไลก์" เพจ Facebook หรือโพสต์ / บัญชีในโซเชียลมีเดีย โดยที่ผู้ใช้ไม่ได้ตั้งใจจะ "ไลก์" ให้จากใจจริง

คำว่า "Likejacking" มาจากความคิดเห็นที่ Corey Ballou ได้เขียนไว้ในบทความเรื่อง "How to "Like" Anything on the Web (Safely)" ซึ่งเป็นบทความแรก ๆ ที่อธิบายถึงความเป็นไปได้ที่อันตราย ที่เกี่ยวข้องกับ "ปุ่ม Like" ของ Facebook

ซ้อนกัน (Nested)

เมื่อเปรียบเทียบ Nested กับ Clickjacking แบบดั้งเดิม จะทำงานโดยการฝัง Web Frame ที่อันตราย ไว้ระหว่างสองเฟรมของหน้าเว็บต้นฉบับที่ปลอดภัย เทคนิคนี้อาศัยช่องโหว่ใน HTTP header ชื่อ X-Frame-Options ซึ่งเมื่อองค์ประกอบนี้มีค่าเป็น "SAMEORIGIN" ตัวเว็บเบราว์เซอร์จะตรวจสอบเฉพาะ 2 เลเยอร์ ดังกล่าวเท่านั้น ส่วนเฟรมเพิ่มเติมที่ถูกเพิ่มเข้าไประหว่าง 2 เลเยอร์ นี้ จะไม่ถูกตรวจจับ ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้

ในอดีต มีการค้นพบว่า Google+ เคยมี บัคคอมพิวเตอร์ (Computer Bug) ของ X-Frame-Options แฮกเกอร์สามารถแทรกเฟรมที่พวกเขาสร้างขึ้นมาโดยใช้ช่องโหว่ที่มีอยู่ในระบบค้นหารูปภาพของ Google ทำให้แฮกเกอร์สามารถหลอกลวงผู้ใช้ให้เข้าไปยังหน้าเฟรมที่ต้องการได้

เคอร์เซอร์แจ็คกิ้ง (CursorJacking)

CursorJacking เป็นเทคนิค UI Redressing โดยการเปลี่ยนตำแหน่ง เคอร์เซอร์ (Cursor) ที่ผู้ใช้มองเห็น เทคนิคนี้ถูกค้นพบในปี ค.ศ. 2010 (พ.ศ. 2553) โดย Eddy Bordi นักวิจัยจาก "vulnerability.fr" ต่อมา Marcus Niemietz ได้สาธิตเทคนิคนี้ โดยใช้ไอคอนเคอร์เซอร์แบบกำหนดเอง และในปี ค.ศ. 2012 (พ.ศ. 2555) Mario Heiderich ก็สาธิตเทคนิคนี้อีกครั้ง แต่เปลี่ยนไปใช้การซ่อนเคอร์เซอร์

Jordi Chancel นักวิจัยจาก "Alternativ-Testing.fr" พบช่องโหว่ CursorJacking โดยการใช้โค้ด Flash, HTML และ JavaScript บนเว็บเบราว์เซอร์ Mozilla Firefox ใน Mac OS X (ช่องโหว่นี้ได้รับการแก้ไขใน Firefox เวอร์ชัน 30.0) ซึ่งสามารถนำไปสู่การรันโค้ดที่ไม่ได้รับอนุญาต และการสอดแนมผ่านกล้องเว็บแคม

เมาส์แจ็ก (MouseJack)

เทคนิคนี้มีความแตกต่างจากเทคนิค Clickjacking อื่น ๆ ที่มุ่งเป้าไปที่การปรับเปลี่ยนส่วนติดต่อผู้ใช้งาน (UI) โดย MouseJack เป็นช่องโหว่ของฮาร์ดแวร์แบบไร้สาย ที่ถูกรายงานเป็นครั้งแรกโดย Marc Newlin จาก "Bastille.net" ในปี ค.ศ. 2016 (พ.ศ. 2559) ช่องโหว่นี้อนุญาตให้สามารถแฮกเกอร์ป้อนข้อมูลจากแป้นพิมพ์ภายนอก (External Keyboard) เข้าไปใน ดองเกิล (Dongle) ที่มีช่องโหว่ได้

เบราว์เซอร์เลส (Browserless)

Browserless Clickjacking เป็นการโจมตีที่ผู้โจมตีใช้ช่องโหว่ในโปรแกรมเพื่อลอกเลียนแบบ Clickjacking แบบดั้งเดิม แต่ไม่จำเป็นต้องทำผ่านเว็บเบราว์เซอร์

วิธีการโจมตีนี้พบได้บ่อยในอุปกรณ์เคลื่อนที่ โดยเฉพาะในอุปกรณ์ที่เป็นระบบปฏิบัติการ Android ซึ่งส่วนหนึ่งเป็นผลมาจากการทำงานของการแจ้งเตือนแบบ Toast เนื่องจากการแจ้งเตือนแบบ Toast จะมีความล่าช้าระหว่างเวลาที่มีการร้องขอการแจ้งเตือน และเวลาที่การแจ้งเตือนปรากฏบนหน้าจอ ผู้โจมตีสามารถใช้ช่องว่างนี้สร้างปุ่มหลอกที่ซ่อนอยู่ใต้การแจ้งเตือน และปุ่มนั้นสามารถถูกคลิกได้

ภาพจาก : https://www.thepolyglotdeveloper.com/2017/01/display-toast-notifications-nativescript-angular-application/

คุกกี้แจ็กกิ้ง (CookieJacking)

CookieJacking เป็นอีกรูปแบบหนึ่งของ Clickjacking ที่เกี่ยวข้องกับการขโมย คุกกี้ (Cookie) จากเว็บเบราว์เซอร์ของเหยื่อ เทคนิคนี้ดำเนินการโดยการหลอกให้ผู้ใช้ "ลาก" วัตถุที่ดูบนหน้าจอที่ดูไม่มีพิษภัย แต่แท้จริงแล้วเป็นการทำให้ผู้ใช้เลือกเนื้อหาทั้งหมดของคุกกี้เป้าหมาย จากนั้น ผู้โจมตีจะสามารถเข้าถึงคุกกี้ และข้อมูลทั้งหมดที่คุกกี้นั้นมีได้

ไฟล์แจ็กกิ้ง (FileJacking)

เป็นเทคนิคที่แฮกเกอร์ใช้ความสามารถของเว็บเบราว์เซอร์ ในการนำทางผ่านระบบคอมพิวเตอร์ และเข้าถึงไฟล์ในคอมพิวเตอร์ เพื่อขโมยข้อมูลส่วนบุคคล วิธีการนี้เกิดขึ้นโดยหลอกลวงผู้ใช้ให้สร้างเซิร์ฟเวอร์ไฟล์ที่ทำงานอยู่ ผ่านหน้าต่างการเลือกไฟล์ และโฟลเดอร์ที่เบราว์เซอร์ใช้ เมื่อเซิร์ฟเวอร์ไฟล์ถูกสร้างขึ้น ผู้โจมตีจะสามารถเข้าถึง และขโมยไฟล์จากคอมพิวเตอร์ของเหยื่อได้

การโจมตีโปรแกรมจัดการรหัสผ่าน (Password Manager Attack)

งานวิจัยในปี ค.ศ. 2014 (พ.ศ. 2557) จากนักวิจัยของมหาวิทยาลัย Carnegie Mellon พบว่า เว็บเบราว์เซอร์จะปฏิเสธการกรอกข้อมูลรหัสผ่านอัตโนมัติ ถ้าหาก โปรโตคอล (Protocol) ในหน้าเข้าสู่ระบบปัจจุบัน แตกต่างจากโปรโตคอลที่ใช้เมื่อมีการบันทึกรหัสผ่าน แต่ โปรแกรมจัดการรหัสผ่าน (Password Manager) บางตัว กลับยังคงกรอกรหัสผ่านอย่างไม่ปลอดภัยไปยังสำหรับเว็บไซต์ที่ใช้โปรโตคอล HTTP แม้ว่ารหัสผ่านจะถูกบันทึกไว้บนเว็บไซต์ที่ใช้โปรโตคอล HTTPS ก็ตาม

อันตรายของ คลิกแจ็คกิ้ง (The Dangers of Clickjacking)

สิ่งที่ทำให้ Clickjacking มีความน่ากังวลคือ มันมักจะหลีกเลี่ยงการตรวจจับของ โปรแกรมป้องกันไวรัส (Antivirus) และ โปรแกรมป้องกันมัลแวร์ (Antimalware) ได้ เนื่องจากการโจมตีเหล่านี้เกิดขึ้นบนเว็บไซต์ที่น่าเชื่อถือ และอาจไม่จำเป็นต้องดาวน์โหลดไฟล์ใด ๆ โปรแกรมป้องกันไวรัสทั่วไปจึงอาจไม่สามารถตรวจจับได้

เบราว์เซอร์ส่วนใหญ่มีระบบป้องกันในตัว แต่ดังที่เราทราบกันดีว่าแฮกเกอร์มักหาวิธีใหม่ ๆ เพื่อโจมตีผู้ใช้ การโจมตีแบบ Clickjacking ขั้นพื้นฐานส่วนใหญ่จึงมักจะถูกป้องกันได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม การโจมตีแบบ Double Clickjacking อาจไม่สามารถป้องกันได้

แทนที่การโจมตีจะเกิดขึ้นในครั้งแรกที่คลิก โค้ดของผู้โจมตีจะใส่โอเวอร์เลย์ที่ถูกแฮกเข้ามาก่อน แล้วจึงกระตุ้นให้ผู้ใช้คลิกครั้งที่สอง ซึ่งอาจปรากฏเป็นการคลิกสองครั้งเพื่อยืนยันการกระทำหรือ CAPTCHA ที่น่ารำคาญ เมื่อผู้ใช้คลิกครั้งที่สอง อาจเป็นการติดตั้งปลั๊กอิน และเปิดโอกาสให้ผู้โจมตีเข้าถึงบัญชีของผู้ใช้งานได้โดยไม่รู้ตัว

ปัจจุบัน เบราว์เซอร์อาจไม่สามารถตรวจจับรูปแบบที่ซับซ้อนกว่าได้ เนื่องจากไม่ได้ใช้การตั้งค่า iframe แบบทั่วไป ซึ่งเพิ่มความเสี่ยงให้ผู้ใช้งานตกเป็นเหยื่อของ Cickjacking ไม่เพียงแค่เบราว์เซอร์บน คอมพิวเตอร์ (PC) เท่านั้นที่ได้รับผลกระทบ แต่ผู้ใช้งานบนสมาร์ทโฟนก็ถูกโจมตีด้วยเทคนิค Double-Tap Prompts เช่นกัน โดยการโจมตีรูปแบบนี้ทำให้ผู้ใช้เข้าใจผิด และอาจนำไปสู่การกระทำที่เป็นอันตรายโดยไม่รู้ตัว

การป้องกันตัวเองจาก คลิกแจ็คกิ้ง (Protecting yourself from Clickjacking)

หนึ่งในวิธีที่ง่ายที่สุดในการปกป้องตัวเองจากการโจมตีแบบ Clickjacking ทั่วไปคือ การอัปเดตเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ ถึงแม้ว่าการ Clickjacking สองชั้นจะเป็นเรื่องใหม่ แต่ผู้พัฒนาเบราว์เซอร์ก็ทำงานกันหนักเพื่อหากทางแก้ไขปัญหาด้านความปลอดภัยเพื่อปกป้องผู้ใช้

นอกจากนี้ เรายังจำเป็นต้องอัปเดต ปลั๊กอิน หรือส่วนขยาย (Extension) ต่างๆ ให้เป็นเวอร์ชันใหม่อยู่เสมอเช่นกัน เนื่องจากแฮกเกอร์มักใช้ช่องโหว่ในปลั๊กอิน เพื่อซ้อนโค้ดที่เป็นอันตรายที่ตนเองพัฒนาขึ้นมา

อีกสิ่งที่ช่วยได้คือ ใส่ใจในการคลิก และคำร้องของเว็บไซต์ หากเว็บไซต์โปรดของคุณจู่ ๆ มีคำร้องเพื่อยืนยันการดำเนินการ ทั้งๆ ที่ไม่เคยมีมาก่อน อาจเป็นกรณี Clickjacking ถึงแม้ว่าการยืนยันจะเป็นเรื่องปกติของเว็บไซต์ แต่ควรสังเกตว่าเป็นสัญญาณอันตรายหากเว็บไซต์นั้นไม่เคยมีการยืนยันมาก่อน ลองทดสอบโดยการคลิกปุ่ม หรือลิงก์อื่น ๆ เพื่อดูว่ามีคำยืนยันในทุกปุ่มหรือไม่ ?

สังเกตว่าเวลาที่คลิกลิงก์ ลิงก์ทำงานปกติหรือไม่ ? หากว่าไม่ไปไหนอยู่หน้าเดิม ให้หลีกเลี่ยงการคลิกซ้ำ ข้อยกเว้นคือ กรณีที่มีตัวบล็อกโฆษณาที่เชื่อมโยงไปยังป๊อปอัป เช่น การกรอกแบบฟอร์ม ตัวบล็อกโฆษณาของคุณอาจบล็อกป๊อปอัปของลิงก์ไว้ ให้ตรวจสอบตัวบล็อกโฆษณาก่อนคลิกลิงก์นั้นเป็นครั้งที่สอง

สำหรับเว็บไซต์ใหม่ ๆ ที่ไม่เคยเข้าเยี่ยมชมมาก่อน เว็บไซต์ที่ดูเหมือนเป็นสแปม หรือแม้แต่เว็บไซต์ที่มีความน่าเชื่อถือ แต่ดูมีพฤติกรรมที่น่าสงสัย อาจลองใช้บริการเว็บไซต์ที่สามารถตรวจสอบความปลอดภัยได้ ซึ่งก็มีอยู่หลายแห่ง เช่น

• URL Avoid
• VirusTotal (เหมาะสำหรับลิงก์ดาวน์โหลดเป็นพิเศษ)
• urlscan.io
• Google Transparency Report
• Hybrid Analysis

แอปพลิเคชันป้องกันไวรัสบางตัวมีส่วนขยายเบราว์เซอร์ ที่สามารถแจ้งเตือนผู้ใช้ หากว่าเว็บไซต์นั้นมีชื่อเสียงด้านความปลอดภัยที่ไม่น่าไว้วางใจ

ทั้งนี้ Clickjacking แม้ส่วนใหญ่แล้วจะเกิดขึ้นบนเว็บไซต์จริง แต่ก็เป็นปัญหาที่สามารถพบบนเว็บไซต์ปลอมได้เช่นกัน แล้วก็อย่าลืมตรวจสอบให้แน่ใจว่าคุณพิมพ์ URL ถูกต้องทุกตัวอักษร

สุดท้าย ควรหลีกเลี่ยงการคลิกหน้าต่างป๊อปอัปที่พยายามล่อลวงคุณด้วยของรางวัล เช่น คุณเป็นผู้โชคดีชนะ iPhone มันดูน่าสนใจน่าคลิกมาก แต่เชื่อเถอะ อย่าคลิก เพราะโอกาสที่มันจะเป็น Clickjacking หรือการหลอกลวงแบบ ฟิชชิ่ง (Phishing) ซึ่งไม่ว่าจะเป็นในกรณีใดก็ตาม ก็ไม่ควรคลิกอยู่ดี

ความเป็นมาของ คลิกแจ็คกิ้ง (History of Clickjaking)

ในปี ค.ศ. 2002 (พ.ศ. 2545) มีการตั้งข้อสังเกตว่า มีความเป็นไปได้ที่จะสร้างชั้นโปร่งใสซ้อนอยู่บนหน้าเว็บ และส่งผลต่อการปฏิสัมพันธ์ของผู้ใช้ได้โดยที่ผู้ใช้ไม่ทันสังเกต อย่างไรก็ตาม มันยังไม่ได้รับการยอมรับว่าเป็นปัญหาใหญ่จนกระทั่งปี ค.ศ. 2008 (พ.ศ. 2551)

โดยในปี ค.ศ. 2008 (พ.ศ. 2551) Jeremiah Grossman และ Robert Hansen จากบริษัท SecTheory ได้ค้นพบว่า Adobe Flash Player สามารถถูกโจมตีด้วยเทคนิค Clickjacking ได้ ทำให้ผู้ไม่หวังดีสามารถเข้าถึงคอมพิวเตอร์ของผู้ใช้ได้โดยที่เหยื่อไม่รู้ตัว ซึ่งทาง Grossman และ Hansen ได้บัญญัติคำว่า "Clickjacking" ขึ้นมาซึ่งเป็นคำผสมระหว่างคำว่า "Click" และ "Hijacking" (ปล้นจี้)

ต่อมา เมื่อมีการค้นพบการโจมตีในลักษณะเดียวกันนี้เพิ่มมากขึ้น ก็เลยเริ่มมีการใช้คำว่า "UI Redressing" ในการอธิบายกลุ่มการโจมตีเหล่านี้ แทนที่จะใช้คำว่า Clickjacking ที่ค่อนข้างเจาะจง