security: ClickJacking คืออะไร?

[เอ.อาร์.ไอ.พี, www.arip.co.th] ถาม: สองวันก่อนอ่านบทความพบศัพท์แปลกๆ คำว่า "ClickJacking" ซึ่งผมไม่เคยได้ยินมาก่อน เนื้อหาบอกว่า มันอันตรายมาก เพราะผู้ใช้จะเป็นคนเปิดโอกาสให้ถูกโจมตีจากผู้ไม่หวังดี โดยไม่รู้ตัว อยากทราบว่า มันทำได้อย่างไร? แล้วทำไมผู้ที่ถูกโจมตีถึงไม่รู้ตัวล่ะครับ?

ตอบ: ความจริงคำนี้มีการพูดถึงมานอนพอสมควรแล้ว โดยความร้ายกาจของมันระดับมัลแวร์ สแปม ฟิชชิ่ง หรือแม้แต่ไวรัสยังต้องยกนิ้วให้ เพราะมันเป็นภัยคุกคามที่ผู้ใช้ไม่มีทางรู้ตัวเลยว่า โดนหลอกให้เปิดช่องซะแล้ว โดยพื้นฐานการทำงานของ ClickJacking จะหลอกให้คุณคลิ้กลิงค์บนเว็บ ซึ่งผลจากการคลิ้กนั้นจะทำให้ผู้ไม่หวังดีสามารถผ่านเข้าไปควบคุมการทำงานในเครื่องคอมพิวเตอร์ของเหยื่อได้ (ชื่อ ClickJacking น่าจะหมายถึง การ"ขโมยคลิ้ก"ของผู้ใช้ด้วยการซ่อนหน้าเว็บ หรือการทำงานที่แท้จริงไว้เบื้องหลัง)

ยกตัวอย่างที่คลาสสิกมากๆ อย่างเช่น ผู้ใช้หลายรายถูกหลอกให้เล่นเกมส์คลิ้กให้โดนปุ่มที่วิ่งหนีไปเรื่อยๆ บนหน้าจอ โดยหลังจากคลิ้กไปคลิ้กมา จู่ๆ เว็บแคมก็ถูกเปิดขึ้นทำงาน หรือติดตั้งมัลแวร์(หรือ โทรจัน) เข้าไปในเครื่อง เพื่อให้ผู้ไม่หวังดีสามารถผ่านเข้าไปควบคุมการทำงานของระบบได้ ความจริงก็คือ ขณะที่คุณมองเห็นปุ่มที่วิ่งไปวิ่งมาให้คลิ้กเล่นอยู่นั้น เบื้องหลังเป็นไดอะล็อกบ๊อกซ์ที่มีปุ่มอนุญาตให้เปิดเว็บแคมทำงานได้ แล้วคุณก็คลิ้กอนุญาตโดยไม่รู้ตัว ซึ่งภัยคุกคามลักษณะนี้จะเกิดขึ้นได้ในแทบทุกบราวเซอร์ ไม่ว่าจะเป็น IE หรือ Firefox

ขณะที่คุณกำลังเพลิดเพลินกับเกมฝึกสมอง แต่สิ่งที่อยู่เบื้องหลัง ซึ่งคุณจะมองไม่เห็นก็คือ แบบฟอร์มเพิ่มบัญชีล็อกออนเข้าสู่ eBanking ของคุณ(ภาพ: ThreatExpert Ltd. 2008)

สำหรับการโจมตีด้วยวิธีนี้ ผู้บุกรุกจะหลอกล่อให้คุณเข้าไปในเว็บไซต์ที่ได้รับการดัดแปลงโดยแฮคเกอร์ ซึ่งคอนเท็นต์ในเว็บไซต์จะพยายามหลอกล่อให้คุณคลิกบนลิงค์ หรือปุ่มต่างๆ โดยที่คุณไม่ทราบเลยว่า ผลลัพธ์ที่คลิ้กตรงหน้าจอนั้นจะเป็นการเปิดประตูให้โจรย่องเข้ามาในเครื่องได้โดยง่าย ดังตัวอย่างคลิปเกมส์ในเว็บไซต์ที่ปรากฎข้างล่างนี้ กลโกงด้วยวิธีนี้ส่วนใหญ่จะอาศัยเทคโนโลยี JavaScript และ flash ซึ่งเป็นที่นิยมใช้ในเว็บไซต์ทั่วไป อย่างไรก็ตาม การป้องกันด้วยวิธียกเลิกการทำงานทั้งสองส่วนจะทำให้ประสบการณ์ในการรับชมเว็บแย่ลง การระมัดระวังในการเยี่ยมชมเว็บไซต์ต่างๆ ตลอดจนการติดตั้ง และอัพเดตโปรแกรมแอนตี้ไวรัส สปายแวร์ ดูจะเป็นทางออกที่ช่วยให้ปลอดภัยได้ในระดับหนึ่ง