قد يتجسس عليك أحد المتسللين عبر كاميرا الويب والميكروفون. وأنت سمحت لهم بهذا الوصول. إليك الطريقة.

تفتح موقعًا لمشاهدة مقطع فيديو. أبرياء بما فيه الكفاية ، أليس كذلك؟ ولكن بمجرد النقر فوق زر ، قد يكون المهاجم الإلكتروني قد تمكن من الوصول إلى الكاميرا والميكروفون. يمكن أن يكونوا يراقبونك دون أن تعلم بذلك. هذا شكل من أشكال الهجوم يسمى بالقرصنة.

إذن ماذا يعني ذلك في الواقع؟ كيف يعمل الاختراق؟ وكيف تحمي نفسك؟

ما هو الاختراق؟

Clickjacking هو نوع من هجمات الهندسة الاجتماعية التي يمكن لمجرمي الإنترنت استخدامها للوصول إلى معلومات المستخدمين.

الغرض الرئيسي من اختراق النقر هو خداع المستخدم لحمله على النقر على شيء محدد يريده المهاجم الإلكتروني. من خلال هذا ، يمكنهم الاستيلاء على جهازك ، خاصة عند استخدام الكاميرا والميكروفون. في معظم المتصفحات ، ما عليك سوى النقر فوق زر واحد لمنح أذونات الميكروفون والكاميرا ؛ بعد ذلك ، قد يشارك المستخدمون كاميراتهم دون قصد مع مهاجم إلكتروني ، مما قد يكون له عواقب وخيمة ، خاصة على الخصوصية.

كيف يعمل Clickjacking مع المواقع الشفافة

ينشئ المهاجمون بيئات وهمية لخداع المستخدمين. يمكن أن تصل المواقع المزيفة إلى عدد كبير من الأشخاص ، وبالتالي تزيد من احتمالية نجاح الهجوم. يقوم المحتالون بتصميم موقع يبدو بريئًا ، لكن الغرض الحقيقي منه هو الوصول إلى الكاميرا والميكروفون أو حملك على تنزيل برامج ضارة.

instagram viewer

على سبيل المثال ، ضع في اعتبارك لعبة نقر بسيطة تعمل بالكامل داخل متصفحك. هدفه الرئيسي هو تقييم قدرتك على تنسيق حركات يدك وعينيك. لتحقيق ذلك ، تقدم لك اللعبة أزرارًا ملونة تظهر في أجزاء مختلفة من الشاشة وتطالبك بالضغط عليها. كلما تمكنت من تنفيذ هذا النشاط بشكل أسرع ، زاد مستوى إنجازك.

على الرغم من أنها تبدو غير ضارة ، إلا أن إحداثيات الأزرار التي ستظهر على الشاشة يحددها المهاجم مسبقًا. تعتقد أنك تنقر على زر وتربح اللعبة ، لكنك في الواقع تنقر على زر مختلف تمامًا في الخلفية.

الوصول إلى الكاميرا الخاصة بك مع Clickjacking

الشيء نفسه ينطبق على الوصول إلى الخاص بك أذونات الميكروفون والكاميرا. تحتاج المواقع أحيانًا إلى الكاميرا والميكروفون. على سبيل المثال ، يتطلب تطبيق مثل Zoom هذه الأذونات حتى تتمكن من التحدث وظهور صورتك في مؤتمرات الفيديو. لمنح الأذونات ، سترى زر "السماح" في مكان ما على واجهة المتصفح. بالطبع ، ليست كل المنصات آمنة مثل Zoom.

لذلك ، عندما تنقر على زر تشغيل يبدو بريئًا لمشاهدة عرض تلفزيوني أو فيلم ، فقد يكون زر السماح الخلفي الذي أنشأه المتسلل لفتح الكاميرا.

كيف تحمي من هجمات الاختراق؟

يستخدم المهاجم الضار أكوادًا ونصوصًا متعددة ليحثك على النقر فوق المكان الذي يريده بالضبط والتعامل مع شاشتك. العديد من المطورين حتى مع القليل تجربة مع HTML ويمكن لـ CSS القيام بذلك بسهولة: عليهم فقط اللعب بقيم عتامة الصفحتين اللتين صمموهما فوق بعضهما البعض وعدم إظهار الصفحة الخلفية للمستخدم النهائي.

لتجنب الوقوع فريسة لخدعة تبدو بسيطة قائمة على النص ، فإن أحد الأساليب الأكثر فاعلية هو تعطيل JavaScript. توفر معظم متصفحات الويب ميزة أمان تمكنك من ذلك قم بإيقاف تشغيل JavaScript الكود الذي يعمل في خلفية مواقع الويب. على سبيل المثال ، في Chrome ، يمكنك الوصول إلى الصفحة عن طريق كتابة "chrome: // settings / content / javascript" في شريط العناوين. عند الوصول إلى هذه الصفحة ، ستصادف ملف لا تسمح للمواقع باستخدام جافا سكريبت خيار.

ومع ذلك ، تحتاج إلى توخي الحذر عند تحديد هذا الخيار لأنه سيحظر جميع الرموز الموجودة في كل موقع ويب. قم بتنشيطه فقط عند تسجيل الدخول إلى المواقع التي لا تثق بها وتعتبرها غير آمنة. يمكنك دائمًا عكس هذا الإعداد لاحقًا.

بدلاً من ذلك ، يمكنك استخدام مكونات إضافية موثوقة وخالية من المصدر لتمكين JavaScript وتعطيله بسهولة أكبر. مجموعة أمان NoScript هو حل جيد لهذا ويقدم دعمًا للعديد من المتصفحات المختلفة. إنه لا يهدف فقط إلى منع هجمات الاختراق ، ولكن أيضًا منع البرامج الضارة الموجودة على أي موقع تدخله.

لا يقوم المهاجمون الضارون دائمًا بتشفير مواقعهم لتنفيذ هجوم الاختراق باستخدام مواقع شفافة. يمكنهم أيضًا الاستفادة من نقاط الضعف عبر الإنترنت التي يجدونها أثناء تصفح الإنترنت. على سبيل المثال ، يمكنهم حقن التعليمات البرمجية عن طريق استغلال ثغرة أمنية في قسم التعليقات بالمدونة. في مثل هذه الحالات ، تحتاج إلى الانتباه إلى ما تنقر عليه بالفعل ، حتى لو كان ذلك يبدو مروعًا بعض الشيء.

كيف تعرف ما إذا كان الموقع جديرًا بالثقة؟

كيف يمكنك معرفة ما إذا كان يمكنك الوثوق بموقع ما؟ غالبًا لا يخصص المهاجمون وقتًا طويلاً في تصميم الموقع وتطويره ؛ إنه وقت ومال غير ضروريين يضيعان. يمكنك معرفة ذلك من خلال شهادات الأمان والتصميم الخاص بالموقع. على سبيل المثال ، من المرجح أن يكون لموقع تنظيمي كبير وموثوق به شهادة SSL. للتحقق من ذلك ، انظر إلى عنوان URL. إذا بدأ العنوان " https://", هذا يعني أن الموقع لديه شهادة SSL. تعني "S" الإضافية بعد "HTTP" "آمنة". لا تعتمد على هذا فقط.

يجب عليك أيضًا إلقاء نظرة على تصميم ومحتوى الموقع. المعلومات الموجودة على صفحة الاتصال وسياسات الخصوصية وحتى يمكن أن يشير تحذير القانون العام لحماية البيانات (GDPR) إلى ما إذا كان الموقع جديرًا بالثقة. ابحث في الموقع أيضًا. ماذا يقول المستخدمون الآخرون على منصات مثل Twitter و Facebook و Trustpilot عن ذلك؟

إذا كان لديك أي معرفة حول الترميز ، فيمكنك فحص أكواد المصدر الخاصة بالموقع. بهذه الطريقة ، سترى بعض أعمال الخلفية والمواقع الأخرى التي ترتبط بها.

هل يجب أن تقلق بشأن لعبة Clickjacking؟

يعد Clickjacking أمرًا مخيفًا ، خاصة وأن مجرمي الإنترنت يمكنهم الوصول إلى كاميرا الويب الخاصة بك والتجسس بنشاط على أنشطتك. هذا انتهاك كبير للخصوصية والأمان.

لذا ، نعم ، قد يبدو القليل من OTT أن تكون حريصًا في المكان الذي تنقر فيه بالفعل على أحد مواقع الويب. معظمنا يفعل ذلك دون تفكير. ولكن من المهم أيضًا أن تظل يقظًا حتى لا تقع فريسة لأحد المتسللين.