หนึ่งคลิกพลิกชีวิต: ภัยซ่อนเร้นของ Clickjacking ที่ต้องระวัง
เคยไหมที่คิดว่ากำลังจะกดปุ่มสมัครรับข่าวสาร หรือยืนยันการทำธุรกรรมบางอย่าง แต่กลับกลายเป็นว่าไปอนุมัติการโอนเงินจำนวนมาก หรืออนุญาตให้เข้าถึงกล้องและไมโครโฟนไปเสียอย่างนั้น? นี่ไม่ใช่เรื่องบังเอิญ แต่คือภัยคุกคามทางไซเบอร์ที่เรียกว่า Clickjacking หรือที่รู้จักในชื่อ UI Redress Attack
มันคือการโจมตีที่ซ่อนเร้นและอาศัยความเข้าใจผิดของคนเรา ทำให้ผู้ใช้งานตกเป็นเหยื่อได้อย่างง่ายดาย เพียงแค่ปลายนิ้วสัมผัส
เบื้องหลังการหลอกลวง: Clickjacking ทำงานอย่างไร?
ภัย Clickjacking อาศัยเทคนิคที่แยบยล โดยผู้โจมตีจะสร้างหน้าเว็บที่อันตรายขึ้นมา
แล้วนำไป ซ้อนทับ อยู่บนหน้าเว็บที่เรากำลังเข้าชม ซึ่งเป็นหน้าเว็บที่ถูกต้องและเป็นที่ไว้วางใจ
สิ่งที่เกิดขึ้นคือ หน้าเว็บอันตรายนั้นจะถูกทำให้ โปร่งใส มองไม่เห็น ด้วยเทคนิคทาง CSS เช่น การปรับค่า opacity และการจัดลำดับชั้นด้วย z-index
ทำให้ผู้ใช้งานเห็นแต่หน้าเว็บจริง แต่เมื่อเลื่อนเมาส์ไปคลิกที่ตำแหน่งใดๆ บนหน้าจอ การคลิกนั้นกลับไป กระทำกับหน้าเว็บปลอมที่มองไม่เห็น ซึ่งซ้อนอยู่ด้านล่างแทน
เปรียบเสมือนมีกระจกใสๆ มาบังปุ่มที่เราต้องการกดอยู่ แต่กระจกนั้นมีปุ่มซ่อนอยู่แทนที่
การโจมตีมักใช้ iframe ซึ่งเป็นแท็ก HTML ที่ช่วยให้สามารถฝังหน้าเว็บหนึ่งเข้าไปในอีกหน้าเว็บหนึ่งได้
ผู้โจมตีจะฝังเว็บไซต์เป้าหมายที่ต้องการหลอกลวงเข้ามาใน iframe นี้ จากนั้นก็จัดการปรับตำแหน่งและทำให้มันโปร่งใส เพื่อให้ปุ่มสำคัญบนเว็บเป้าหมาย ไปตรงกับตำแหน่งที่ผู้ใช้คาดหวังจะคลิกบนหน้าเว็บที่มองเห็นได้จริง
อันตรายที่มองไม่เห็น: คุณอาจถูกโจมตีแบบไม่รู้ตัว
ผลลัพธ์จาก Clickjacking มีได้หลากหลาย และล้วนแต่สร้างความเสียหายร้ายแรง
การคลิกเพียงครั้งเดียว อาจนำไปสู่การ โอนเงิน หรือ ทำธุรกรรมการเงิน โดยไม่ตั้งใจ
อาจเป็นการอนุมัติให้เข้าถึง กล้องและไมโครโฟน บนอุปกรณ์ของเราได้
หรืออาจถูกใช้เพื่อกดปุ่ม Like ให้เพจ Facebook บางเพจแบบที่เราไม่รู้ตัว ซื้อสินค้าบางอย่าง หรือแม้แต่เปลี่ยนการตั้งค่าความปลอดภัยของบัญชีเรา
ที่น่าตกใจยิ่งกว่านั้น คือการคลิกเหล่านั้นอาจนำไปสู่การ ติดตั้งมัลแวร์ หรือซอฟต์แวร์อันตรายลงบนคอมพิวเตอร์ได้
โดยที่ผู้ใช้งานไม่ได้เห็นคำเตือนใดๆ หรือไม่ได้ตั้งใจที่จะทำเช่นนั้นเลย ทั้งหมดนี้เกิดขึ้นจากการหลอกให้คลิกในตำแหน่งที่คิดว่าปลอดภัย
การป้องกันตัว: ทั้งผู้ใช้งานและผู้พัฒนาเว็บไซต์
เพื่อปกป้องตัวเองจากภัย Clickjacking
สำหรับ ผู้ใช้งานทั่วไป สิ่งสำคัญคือการมีสติและระมัดระวัง
ควรระมัดระวังลิงก์ที่น่าสงสัย หรือเว็บไซต์ที่มีพฤติกรรมแปลกๆ
การใช้งานส่วนเสริมบนเบราว์เซอร์อย่าง Ad-blockers บางตัวก็สามารถช่วยป้องกันการโจมตีประเภทนี้ได้ในระดับหนึ่ง และไม่ควรละเลยการ อัปเดตเบราว์เซอร์ และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ
สำหรับ ผู้พัฒนาเว็บไซต์ การป้องกันเชิงรุกเป็นสิ่งจำเป็นยิ่ง
วิธีที่ได้รับความนิยมและมีประสิทธิภาพคือการใช้ HTTP Header หนึ่งในนั้นคือ X-Frame-Options ซึ่งช่วยจำกัดว่าเว็บเพจนั้นๆ สามารถถูกฝังใน iframe ได้หรือไม่
หากกำหนดเป็น DENY หมายถึงหน้าเว็บนั้นห้ามถูกฝังใน iframe โดยเด็ดขาด หรือหากกำหนดเป็น SAMEORIGIN หมายถึงอนุญาตให้ฝังได้เฉพาะเว็บไซต์ที่มีโดเมนเดียวกันเท่านั้น
อีกวิธีที่ทันสมัยและยืดหยุ่นกว่าคือการใช้ Content Security Policy (CSP) โดยเฉพาะคำสั่ง frame-ancestors ซึ่งสามารถกำหนดได้อย่างละเอียดว่าเว็บไซต์ใดบ้างที่ได้รับอนุญาตให้ฝังเพจของเราได้
เช่น Content-Security-Policy: frame-ancestors 'none'; เพื่อป้องกันการฝังทั้งหมด หรือ Content-Security-Policy: frame-ancestors 'self' example.com; เพื่ออนุญาตเฉพาะโดเมนของตัวเองและโดเมนที่ระบุ
นอกจากนี้ ยังมีเทคนิคการป้องกันด้วย JavaScript (Frame Busting) แม้จะมีความน่าเชื่อถือน้อยกว่าเพราะอาจถูกหลีกเลี่ยงได้
และการใช้ CAPTCHA หรือ Token สำหรับการยืนยันการทำรายการสำคัญๆ ก็เป็นอีกชั้นของการป้องกันที่ดี
การตระหนักถึงภัยและมีมาตรการป้องกันที่เหมาะสม จะช่วยให้เว็บไซต์ปลอดภัยและผู้ใช้งานมั่นใจได้