ClickJacking Nedir?

Clickjacking diye adlandırılan yöntem, günümüzde sürekli karşımıza çıkan biz kullanıcılara ilgi çekici link, görsel olarak gösteren bizi yemlemek amacıyla düzenlenen zararlı bir yönlendirme mantığıyla çalışan bir yöntemdir.

Bize gösterilenin arkasında kaynak kodunda gizlenen hedef yönlendirme olarak işliyen, tıklandığında kimlik bilgilerimize erişen, para aktarımına onay vermemizi sağlıyan şeyler içerebilir.

Clickjacking Saldırısını Örneklendirelim

Saldırgan önce hedeflediği kullanıcıya çok çekici gelebilecek bir sayfa hazırlar. Kullanıcıya ücretsiz bir yolculuk ve tatil yapma imkanına sahip olabileceğine inanırsa Clickjacking tam olarak gerçekleşmiş olur.

Herhangi para transferi yapan bir kullanıcı yem olarak, hedef banka sayfasına erişim sağladığında saldırgan tarafından kullanıcının kendisine bankanın sağlayacağı transfer ekranı yansıtılır.

Banka havalesi yaptığınızı varsayın, iframe içersinde gizlenmiş bir banka transferini onaylayan buton var ve bu size halihazırda masum görünen bir “Hediyeni Al” gibi bir yöntemle sunulur. Aslında siz buraya tıkladığınızda para aktarımını onaylamış olacaksınız.

Ücretsiz seyahat araması yapmak istiyorsanız ve karşınıza ücretsiz rezervasyon yapmanıza olanak sağlayacak bir buton geldiyse yem olabilirsiniz.

“Ücretsiz Hediye Al” adı altında size bir fırsat doğrultulmuştur ve bu durumda içeriği gözden geçirip detaylıca bilgi almak için o anda herhangi bir isteğinize onay verecek bir gizli iframe yönlendirmesinin saldırısına uğruyorsunuzdur.

Likejacking Nedir ?

Bu teknik beğeni butonlarını kullanarak sizin yada bir başkasının istemeden farklı sayfaları beğenmesine yol açan bir yöntemdir.

Cursorjacking Nedir ?

Bu teknik UI redressing olarak anlamlandırdığımız kullanıcının sayfalarda gezerken, sayfa arayüzünde fare imlecini izleyen bir yöntemdir. Siz A noktasına fokuslanırken, sizi aslında B noktasına çoktan yönlendirmiştir. Sizi istediği yönle etkileşime girmeye zorlayan bir sistemdir. Mozilla Firefox üzerinde bulunan FLASH destekli bir açıktı ve düzeltildi.

Sonraki yazımızda korunma yöntemleri ile devam edeceğiz.

@ykslkrkci tarafından Persona Non Grata için yazılmıştır . Telegram grubumuza katılın.

+ Adam doğru söylüyor Sabri Bey yeni trend bu sado mazo diyolar buna sado mazo.

- Aaa eyvallah doğru doğru, Emrullah abi benim bir arkadaşım var, tencere imalatçısı...