Clickjacking là một trong những kỹ thuật tấn công lừa đảo phổ biến nhất mà bất kỳ người quản trị website hay nhà phát triển nào cũng cần biết để chủ động phòng tránh. Bài viết này, InterData sẽ giúp bạn hiểu rõ bản chất của Clickjacking attack là gì, cách thức nó hoạt động, các tác hại do tấn công Clickjacking gây ra và những biện pháp phòng chống Clickjacking hiệu quả nhất. Tìm hiểu ngay!
Clickjacking là gì?
Clickjacking (hay click hijacking attack) là một kỹ thuật tấn công lừa đảo tinh vi. Thay vì đánh cắp thông tin trực tiếp bằng các trang web giả mạo (như trong Phishing), kẻ tấn công lại lừa người dùng click vào một nội dung vô hại, nhưng thực chất lại kích hoạt một hành động nguy hiểm trên một trang web khác.
Về bản chất, kẻ tấn công tạo ra một giao diện “ảo”, đặt lên trên một giao diện “thật”, giao diện ảo này hoàn toàn trong suốt hoặc được ngụy trang một cách khéo léo, khiến người dùng không thể nhận ra.
Khi người dùng click vào một nút bấm tưởng chừng vô hại trên giao diện ảo (ví dụ: “Tải xuống tài liệu”), hành động đó lại được chuyển hướng đến một nút bấm khác trên giao diện thật bị che lấp (ví dụ: “Chuyển tiền”, “Xác nhận đăng xuất”).
Mục tiêu cuối cùng của kẻ tấn công là chiếm quyền kiểm soát một phần hoặc toàn bộ tài khoản người dùng, thực hiện các hành động độc hại mà người dùng không hề hay biết. Để làm được điều này, kẻ tấn công thường lợi dụng các lỗ hổng bảo mật trên website, đặc biệt là việc cho phép nhúng trang vào iframe.
Việc tìm hiểu Clickjacking attack là gì và cách phòng tránh là điều kiện tiên quyết để bảo vệ an toàn cho website và người dùng.
Tác hại của Clickjacking Attack
Clickjacking attack không chỉ là một lỗ hổng lý thuyết mà đã gây ra nhiều thiệt hại thực tế cho cả cá nhân, doanh nghiệp và website. Các hậu quả thường gặp của một cuộc tấn công Clickjacking bao gồm:
Đối với cá nhân và người dùng
- Mất kiểm soát tài khoản: Kẻ tấn công có thể lừa người dùng click vào nút “Đổi mật khẩu” hoặc “Xác nhận” trên các trang mạng xã hội, diễn đàn, khiến họ mất quyền truy cập.
- Thực hiện hành vi lừa đảo: Người dùng có thể bị lừa click vào nút “Chuyển tiền” hoặc “Thanh toán” trên các trang ngân hàng trực tuyến, dẫn đến mất mát tài chính.
- Phát tán nội dung độc hại: Các vụ tấn công Likejacking (một dạng Clickjacking) lừa người dùng “thích” các trang, bài viết độc hại trên mạng xã hội, làm lây lan thông tin sai lệch hoặc mã độc cho bạn bè của họ. Năm 2010, một vụ tấn công như vậy đã lừa hàng triệu người dùng Facebook “thích” một trang web, gây ra làn sóng lo ngại về an toàn thông tin.
Đối với doanh nghiệp và Website
- Thiệt hại uy tín: Khi website của bạn trở thành nạn nhân của Clickjacking, người dùng sẽ mất lòng tin. Sự việc này có thể gây tổn hại nghiêm trọng đến thương hiệu và uy tín của doanh nghiệp.
- Mất dữ liệu: Kẻ tấn công có thể lừa người dùng tiết lộ các thông tin nhạy cảm, làm rò rỉ dữ liệu quan trọng của doanh nghiệp.
- Giảm doanh thu: Các cuộc tấn công có thể làm gián đoạn các giao dịch trực tuyến, gây thất thoát doanh thu cho các trang web thương mại điện tử.
Cơ chế hoạt động của một cuộc tấn công Clickjacking
Cơ chế hoạt động của Clickjacking dựa trên một kỹ thuật đơn giản nhưng rất hiệu quả: che giấu giao diện. Để làm được điều này, kẻ tấn công thường sử dụng thẻ <iframe> của HTML.
Bước 1: Chuẩn bị một trang web độc hại
Kẻ tấn công tạo ra một trang web “mồi” (ví dụ: một trang web chứa video hấp dẫn hoặc một trò chơi đơn giản). Mục đích của trang này là thu hút người dùng truy cập và tương tác.
Bước 2: Nhúng trang đích hợp pháp
Kẻ tấn công sẽ nhúng trang web hợp pháp (ví dụ: trang cá nhân trên mạng xã hội, trang ngân hàng) vào trang web độc hại của mình thông qua thẻ <iframe>.
Bước 3: Làm trong suốt giao diện đích
Sử dụng CSS, kẻ tấn công làm cho trang web được nhúng (bên trong iframe) trở nên trong suốt hoặc làm mờ đi, đồng thời đặt nó ở một vị trí chính xác để các nút bấm quan trọng (như “Xác nhận”, “Thích”) trùng khớp với các nút bấm “vô hại” trên trang web độc hại.
Bước 4: Lừa người dùng click
Người dùng, khi truy cập vào trang web độc hại, thấy một nút “vô hại” (ví dụ: “Nhận quà miễn phí”). Khi họ click vào nút này, thực chất họ đang click xuyên qua lớp giao diện trong suốt để tác động vào nút của trang web hợp pháp bên dưới. Hành động này được thực hiện hoàn toàn không theo ý muốn của người dùng.
Các kịch bản tấn công Clickjacking phổ biến thực tế
Một trong những ví dụ điển hình là Likejacking trên Facebook. Hacker tạo một trang web với nội dung giật gân, ví dụ “Xem video ca sĩ X lộ clip nóng”. Trang này có một nút “Play” lớn. Khi người dùng click vào nút đó, họ thực chất đã click vào nút “Like” của một trang Fanpage hoặc một bài viết nào đó bị ẩn bên dưới.
Kết quả là, người dùng đã “thích” một nội dung không mong muốn, và hành động này được hiển thị trên tường cá nhân của họ, lan truyền nội dung độc hại đến bạn bè.
Việc hiểu được Clickjacking attack là gì và cách nó hoạt động qua các kịch bản thực tế sẽ giúp bạn nhận diện và phòng tránh tốt hơn.
Mô phỏng tấn công bằng iframe ẩn
Hãy tưởng tượng một kẻ tấn công tạo ra một trang web với nội dung “Xem video miễn phí”. Trang này chứa một nút bấm lớn với dòng chữ “Click vào đây để xem”. Bên dưới lớp giao diện của nút này, kẻ tấn công đã nhúng một trang chuyển khoản ngân hàng qua iframe và làm nó trong suốt.
Nút “Chuyển tiền” trên trang ngân hàng được căn chỉnh chính xác để nằm ngay dưới nút “Click để xem video”. Khi người dùng click, giao dịch chuyển tiền được thực hiện mà họ không hề biết.
Các kỹ thuật tấn công Clickjacking phổ biến
Kể từ khi xuất hiện, các kỹ thuật tấn công Clickjacking đã phát triển đa dạng. Dưới đây là một số hình thức phổ biến mà hacker thường sử dụng:
Likejacking (Facebook like button)
Đây là một trong những kỹ thuật Clickjacking lâu đời và nổi tiếng nhất, mục tiêu là lừa người dùng “thích” một trang Fanpage, một bài viết hoặc một sản phẩm mà họ không hề có ý định, hậu quả là làm giảm uy tín của mạng xã hội và lan truyền thông tin rác.
Cursorjacking
Kỹ thuật này tinh vi hơn bằng cách làm sai lệch vị trí con trỏ chuột. Kẻ tấn công tạo ra một con trỏ chuột “giả”, di chuyển nó lệch khỏi con trỏ thật, bằng cách này, người dùng nghĩ họ đang click vào một vị trí an toàn nhưng thực tế lại click vào một điểm khác, kích hoạt hành động độc hại.
File download Clickjacking
Kỹ thuật này lợi dụng sự thiếu cảnh giác của người dùng khi tải file. Kẻ tấn công tạo một trang web chứa một nút “Tải tài liệu” hấp dẫn, nút này được đặt trùng với nút “Cho phép” để cấp quyền truy cập vào một thư mục hoặc cho phép tải một file độc hại.
Video play Clickjacking
Tương tự như Likejacking, kẻ tấn công ngụy trang nút “Play” của video để lừa người dùng thực hiện một hành động khác. Khi người dùng click để xem video, họ lại kích hoạt một thao tác không mong muốn, ví dụ như “Theo dõi kênh” hoặc “Đăng ký nhận thông báo”.
Password/Sensitive Information Hijacking
Đây là một trong những hình thức nguy hiểm nhất. Kẻ tấn công tạo một lớp trong suốt trên trang đăng nhập, căn chỉnh chính xác các trường nhập liệu và nút “Đăng nhập”, khi người dùng gõ mật khẩu và click, thông tin của họ có thể bị đánh cắp.
Tất cả các kỹ thuật trên đều dựa trên cùng một nguyên tắc cốt lõi của Clickjacking: lừa người dùng tương tác với một giao diện bị che giấu. Do đó, việc hiểu rõ tấn công Clickjacking và các biến thể của nó là rất quan trọng.
Cách kiểm tra website có lỗ hổng Clickjacking hay không
Để biết site của mình có bị tấn công clickjacking hay không, có thể áp dụng các phương pháp sau:
Mã nguồn HTML
Kiểm tra mã nguồn HTML của trang web, đặc biệt là yếu tố iframe. Nếu trang web bị tải bên trong iframe của một trang khác mà không có biện pháp bảo vệ, rất có thể bị clickjacking. Có thể mở tab “Elements” hoặc “DOM” trong công cụ phát triển trình duyệt để tìm kiếm thẻ iframe có trùng với website gốc hay không.
Quan sát bằng mắt
Quan sát bằng mắt thường: Nếu bố cục, màu sắc, font chữ trang web khác thường, các thành phần chồng chéo hoặc không thẳng hàng, thời gian tải trang lâu hơn bình thường, có các cửa sổ chuyển hướng lạ hoặc các trang yêu cầu quyền truy cập máy ảnh, mạng xã hội,… có thể là dấu hiệu của clickjacking.
Tạo một trang thử nghiệm
Có thể thử tạo một trang thử nghiệm với iframe chứa URL trang web của mình. Nếu trang web của mình hiển thị bình thường trong iframe mà không bị chặn, trang đó dễ bị tấn công clickjacking.
Một số kỹ thuật check nâng cao có thể sử dụng đoạn mã JavaScript để phát hiện xem trang web có bị nhúng trong iframe hay không.
Sử dụng công cụ kiểm tra bảo mật
Ngoài ra, có thể dùng công cụ kiểm tra bảo mật: Các công cụ trực tuyến cung cấp cách tiếp cận nhanh chóng mà không cần cài đặt phần mềm. Những nền tảng này hoạt động bằng cách gửi yêu cầu đến URL và phân tích các tham số bảo mật được trả về từ máy chủ.
- SecurityHeaders.com: Đây là một trong những công cụ phổ biến nhất để phân tích mức độ an toàn của các HTTP Header. Người dùng chỉ cần nhập địa chỉ website, hệ thống sẽ trả về bảng đánh giá từ A+ đến F. Nếu thiếu cấu hình X-Frame-Options hoặc CSP frame-ancestors, công cụ sẽ hiển thị cảnh báo đỏ ngay lập tức.
- Clickjacker.io: Một công cụ chuyên biệt chỉ dành cho việc thử nghiệm Clickjacking. Giao diện này sẽ cố gắng nhúng URL của bạn vào một khung Iframe ẩn. Nếu website hiển thị được bên trong khung đó, điều này đồng nghĩa với việc hệ thống đang tồn tại lỗ hổng UI Redressing.
- Geekflare Online Test: Cung cấp báo cáo chi tiết về cách thức các trình duyệt hiện đại xử lý khung hình đối với website của bạn, giúp xác định các điểm yếu trong cấu trúc phản hồi của máy chủ.
Tiện ích mở rộng trên trình duyệt (Browser Add-ons)
Đối với các chuyên gia bảo mật và lập trình viên cần kiểm tra sâu hơn trong quá trình phát triển (Staging), các tiện ích mở rộng cung cấp khả năng quan sát trực tiếp biến động của Header trên từng phiên làm việc.
- HackerBar (Chrome/Firefox): Một công cụ hỗ trợ kiểm thử xâm nhập (Penetration Testing) mạnh mẽ. Tiện ích này cho phép người dùng kiểm tra nhanh khả năng nhúng Iframe của một trang web ngay trên thanh công cụ trình duyệt.
- Wappalyzer: Mặc dù chuyên về phân tích công nghệ, Wappalyzer cũng hiển thị các thông tin về tiêu đề bảo mật mà website đang sử dụng. Điều này giúp người quản trị nhanh chóng nhận diện lớp bảo vệ đang thiếu sót.
- HTTP Header Spy: Tiện ích này giúp theo dõi tất cả các phản hồi HTTP theo thời gian thực. Khi truy cập website, bạn có thể kiểm tra xem dòng lệnh X-Frame-Options: SAMEORIGIN có xuất hiện hay không.
Cách phổ biến nhất để biết website có bị clickjacking là kiểm tra iframe nhúng trang web mình vào các trang khác và quan sát các dấu hiệu bất thường trên giao diện và hành vi trang web khi truy cập.
So sánh Clickjacking với CSRF, Phishing, XSS
Trong thế giới bảo mật web, người mới bắt đầu thường nhầm lẫn giữa Clickjacking và các hình thức tấn công khác. Để hiểu rõ hơn về Clickjacking attack, hãy cùng phân biệt nó với CSRF, Phishing và XSS.
Clickjacking với CSRF (Cross-Site Request Forgery)
- Clickjacking: Tấn công vào giao diện người dùng (UI). Kẻ tấn công lừa người dùng click vào một phần tử trên giao diện bị che lấp.
- CSRF: Tấn công vào yêu cầu của người dùng (request). Kẻ tấn công lợi dụng phiên làm việc đã xác thực của người dùng để gửi một yêu cầu độc hại từ trang web của họ đến máy chủ của trang web hợp pháp. Người dùng không cần phải click hay tương tác trực tiếp với giao diện.
Clickjacking với Phishing
- Clickjacking: Kẻ tấn công lợi dụng giao diện của trang web hợp pháp nhưng bị ẩn, người dùng vẫn tương tác với trang web thật.
- Phishing: Kẻ tấn công tạo ra một trang web giả mạo có giao diện giống hệt trang web thật. Mục đích là lừa người dùng nhập thông tin nhạy cảm (tên đăng nhập, mật khẩu) vào trang giả mạo.
Clickjacking với XSS (Cross-Site Scripting)
- Clickjacking: Tấn công dựa trên sự tương tác của người dùng với giao diện.
- XSS: Tấn công bằng cách chèn mã độc (thường là JavaScript) vào trang web. Khi người dùng truy cập, mã độc này sẽ được thực thi trên trình duyệt của họ, cho phép kẻ tấn công đánh cắp phiên làm việc, dữ liệu hoặc chiếm quyền kiểm soát.
Mỗi hình thức tấn công đều có một cơ chế riêng, tuy nhiên, tất cả đều hướng đến mục đích cuối cùng là lợi dụng người dùng để thực hiện các hành động độc hại.
5 Giải pháp phòng chống Clickjacking hiệu quả nhất
Có nhiều biện pháp phòng chống hiệu quả Clickjacking Attack, trong đó quan trọng nhất là các biện pháp thực hiện phía máy chủ và trình duyệt:
- Sử dụng Header HTTP X-Frame-Options với giá trị “DENY” (cấm nhúng trang web vào iframe bất kỳ đâu) hoặc “SAMEORIGIN” (chỉ cho phép nhúng từ cùng nguồn). Đây là cách phổ biến và hiệu quả để chặn clickjacking trên trình duyệt hiện đại.
- Áp dụng Content Security Policy (CSP) với chỉ thị frame-ancestors để kiểm soát chính xác hơn các trang nào được phép nhúng iframe, ví dụ frame-ancestors ‘none’ để cấm hoàn toàn.
- Hạn chế quyền truy cập hoặc tăng cường xác thực để giảm nguy cơ lạm dụng các chức năng quan trọng.
- Cập nhật trình duyệt và phần mềm bảo mật để giảm thiểu các lỗ hổng bị lợi dụng.
- Ngoài ra, có thể sử dụng thêm các addon trình duyệt hoặc phần mở rộng bảo vệ người dùng khỏi các cuộc tấn công clickjacking phía máy khách.
Kết hợp các biện pháp trên sẽ giúp bảo vệ website khỏi clickjacking một cách hiệu quả nhất hiện nay.
Hiểu rõ Clickjacking attack là gì, cách thức hoạt động và các biện pháp phòng chống là điều kiện tiên quyết để xây dựng một website an toàn. Với những giải pháp như X-Frame-Options và Content Security Policy, bạn có thể dễ dàng bảo vệ trang web của mình khỏi lỗ hổng nguy hiểm này.
