Bir bilgisayar korsanı, web kameranız ve mikrofonunuz aracılığıyla sizi gözetliyor olabilir. Ve onlara bu erişime izin verdin. İşte nasıl.
Video izlemek için bir site açıyorsunuz. Yeterince masum, değil mi? Ancak bir siber saldırgan, yalnızca bir düğmeyi tıklatarak kameranıza ve mikrofonunuza erişim sağlamış olabilir. Siz farkında bile olmadan sizi izliyor olabilirler. Bu, clickjacking adı verilen bir saldırı şeklidir.
Peki bu aslında ne anlama geliyor? Clickjacking nasıl çalışır? Ve kendinizi nasıl koruyabilirsiniz?
Clickjacking Nedir?
Clickjacking, siber suçluların kullanıcıların bilgilerine erişmek için kullanabilecekleri bir tür sosyal mühendislik saldırısıdır.
Clickjacking'in asıl amacı, kullanıcıyı siber saldırganın istediği belirli bir şeye tıklaması için kandırmaktır. Bu sayede, özellikle kamera ve mikrofon kullanırken cihazınızı ele geçirebilirler. Çoğu tarayıcıda, mikrofon ve kamera izinleri vermek için tek bir düğmeyi tıklamanız yeterlidir; Bu durumda kullanıcılar, kameralarını bilmeden bir siber saldırganla paylaşabilir ve bu, özellikle gizlilik açısından ciddi sonuçlar doğurabilir.
Clickjacking Şeffaf Sitelerde Nasıl Çalışır?
Saldırganlar, kullanıcıları kandırmak için sahte ortamlar oluşturur. Sahte web siteleri çok sayıda kişiye ulaşabilir ve böylece saldırının başarı olasılığını artırır. Dolandırıcılar, masum görünen, ancak asıl amacı kameranıza ve mikrofonunuza erişmek veya kötü amaçlı yazılım indirmenizi sağlamak olan bir site tasarlar.
Örneğin, tamamen tarayıcınızda çalışan basit bir tıklama oyunu düşünün. Temel amacı, el ve göz hareketlerinizi koordine etme kapasitenizi değerlendirmektir. Bunu başarmak için oyun size ekranın farklı yerlerinde görünen renkli düğmeler sunar ve bunlara tıklamanızı ister. Bu aktiviteyi ne kadar hızlı yürütürseniz, başarı seviyeniz o kadar yüksek olacaktır.
Zararsız gibi görünse de ekrana gelecek butonların koordinatları saldırgan tarafından önceden belirlenir. Bir butona tıklayıp oyunu kazandığınızı sanıyorsunuz ama aslında arka planda bambaşka bir butona tıklıyorsunuz.
Clickjacking ile Kameranıza Erişme
Aynı şey, mikrofon ve kamera izinleri. Bazen siteler kameranıza ve mikrofonunuza ihtiyaç duyar. Örneğin, Zoom gibi bir uygulama, konuşabilmeniz ve görüntünüzün video konferansta görünebilmesi için bu izinlere ihtiyaç duyar. İzin vermek için, tarayıcı arayüzünüzün bir yerinde bir "izin ver" düğmesi göreceksiniz. Elbette tüm platformlar Zoom kadar güvenli değil.
Yani, bir dizi veya film izlemek için masum görünen bir oynat düğmesine tıkladığınızda, bilgisayar korsanı tarafından kameranızı açmak için oluşturulmuş bir arka uç izin düğmesi olabilir.
Clickjacking Saldırılarına Karşı Nasıl Korunursunuz?
Kötü niyetli bir saldırgan, tam olarak istedikleri yere tıklamanızı ve ekranınızı değiştirmenizi sağlamak için çeşitli kodlar ve komut dosyaları kullanır. Az bile olsa birçok geliştirici HTML ile deneyim ve CSS bunu kolayca yapabilir: Sadece üst üste tasarladıkları iki sayfanın opaklık değerleriyle oynamaları ve arka sayfayı son kullanıcıya göstermemeleri yeterlidir.
Görünüşte basit bir komut dosyası tabanlı numaraya düşmekten kaçınmak için en etkili yaklaşımlardan biri JavaScript'i devre dışı bırakmaktır. Çoğu web tarayıcısı, aşağıdakileri yapmanızı sağlayan bir güvenlik özelliği sunar: JavaScript'i kapat web sitelerinin arka planında çalışan kod. Örneğin, Chrome'da adres çubuğuna "chrome://settings/content/javascript" yazarak sayfaya erişebilirsiniz. Bu sayfaya ulaştığınızda karşınıza Sitelerin Javascript kullanmasına izin verme seçenek.
Ancak, her web sitesindeki mevcut tüm kodları engelleyeceğinden, bu seçeneği belirlerken dikkatli olmanız gerekir. Yalnızca güvenmediğiniz ve güvenli olmadığını düşündüğünüz sitelere giriş yaparken etkinleştirin. Bu ayarı daha sonra istediğiniz zaman tersine çevirebilirsiniz.
Alternatif olarak, JavaScript'i daha kolay etkinleştirmek ve devre dışı bırakmak için açık kaynak içermeyen ve güvenilir eklentiler kullanabilirsiniz. NoScript Güvenlik Paketi bunun için iyi bir çözümdür ve birçok farklı tarayıcı için destek sunar. Yalnızca clickjacking saldırılarını değil, girdiğiniz herhangi bir sitede bulunan kötü amaçlı yazılımları da engellemeyi amaçlar.
Kötü niyetli saldırganlar, şeffaf siteleri kullanarak tıklama hırsızlığı saldırısı gerçekleştirmek için sitelerini her zaman kodlamazlar. Ayrıca internette gezinirken buldukları çevrimiçi güvenlik açıklarından da yararlanabilirler. Örneğin, bir blogun yorum bölümündeki bir güvenlik açığından yararlanarak kod enjekte edebilirler. Bu gibi durumlarda biraz paranoyak gibi görünse de asıl tıkladığınız şeye dikkat etmeniz gerekiyor.
Bir Sitenin Güvenilir Olduğunu Nasıl Anlarsınız?
Bir siteye güvenip güvenemeyeceğinizi nasıl anlarsınız? Saldırganlar genellikle bir siteyi tasarlamak ve geliştirmek için çok fazla zaman harcamazlar; gereksiz zaman ve para kaybıdır. Bunu bir sitenin güvenlik sertifikalarından ve tasarımından anlayabilirsiniz. Örneğin, büyük ve güvenilir bir kurumsal site büyük olasılıkla bir SSL sertifikasına sahip olacaktır. Bunu kontrol etmek için URL'ye bakın. Adres başlıyorsa " https://", sitenin SSL sertifikasına sahip olduğu anlamına gelir. "HTTP"den sonra gelen fazladan "S", "Güvenli" anlamına gelir. Yine de yalnızca buna güvenmeyin.
Ayrıca sitenin tasarımına ve içeriğine de göz atmalısınız. İletişim sayfasındaki bilgiler, gizlilik politikaları ve hatta GDPR uyarısı, bir sitenin güvenilir olup olmadığını gösterebilir. Siteyi de araştırın. Twitter, Facebook ve Trustpilot gibi platformlardaki diğer kullanıcılar bu konuda ne diyor?
Kodlama hakkında bilginiz varsa sitenin kaynak kodlarını inceleyebilirsiniz. Bu şekilde, bazı arka plan çalışmalarının çalıştığını ve başka hangi sitelere bağlandığını göreceksiniz.
Clickjacking Konusunda Endişelenmeli misiniz?
Tıklama hırsızlığı, özellikle siber suçlular web kameranıza erişebileceği ve faaliyetlerinizi aktif olarak gözetleyebileceği için korkutucu bir şeydir. Bu, mahremiyet ve güvenliğin büyük bir ihlalidir.
Yani evet, bir web sitesinde gerçekte nereye tıkladığınıza dikkat etmek biraz OTT gibi görünebilir. Çoğumuz bunu bir an bile düşünmeden yaparız. Ancak, bir bilgisayar korsanının tuzağına düşmemek için tetikte olmanız da önemlidir.