了解點擊劫持：一種基於瀏覽器的攻擊，可繞過保護措施並接管帳戶

點擊劫持會誘騙毫無戒心的人點擊他們認為無害的鏈接，但隨後會下載惡意軟體、獲取登入憑證並接管線上帳戶。不幸的是，點擊劫持惡意軟體可以逃避安全保護，但您可以透過一些方法來保護自己。

• 從 DNS 漏洞到點擊劫持

什麼是點擊劫持？

點擊劫持也稱為 UI 偽裝攻擊，是一種基於介面的攻擊，它操縱用戶點擊偽裝成其他內容的按鈕或連結。

與網站欺騙不同，網站欺騙會將受害者帶到模仿合法公司網站的虛假網站，而點擊劫持則會將用戶帶到真實的網站。然而，攻擊者使用層疊樣式表 (CSS) 和 iframe 等 HTML 工具在合法網站上建立一個不可見的覆蓋層。

不可見圖層是使用 iframe 建立的，iframe 是一種用於將網頁或 HTML 文件嵌入到另一個網頁的 HTML 元素。它是透明的，因此看起來您仍然在與合法網站進行互動。但是，如果您點擊網站上的按鈕、玩遊戲或執行您認為無害的任務，這些點擊將應用於頂部不可見的網站。這些點擊會讓駭客存取您的帳戶，從而下載惡意軟體、控制您的裝置並執行其他惡意活動。

有時，攻擊者會偽裝成行銷人員，誘騙用戶喜歡社群媒體頁面或貼文。這種攻擊稱為likejacking。攻擊者向用戶發送有趣的影片或“特別優惠”，當用戶點擊“播放”或與內容互動時，用戶會意外點擊隱藏的“讚”按鈕。

點擊劫持的另一個版本稱為遊標劫持，它使用自訂遊標誘騙用戶點擊用戶不想與之互動的連結或網站部分。

點擊劫持的更高級變體稱為雙擊劫持，它利用用戶雙擊的時間和順序。

繞過防毒和瀏覽器保護

讓人們擔心點擊劫持的原因是它經常繞過防毒和反惡意軟體。由於這些攻擊發生在信譽良好的網站上，並且並不總是下載任何東西，因此傳統的防毒軟體可能無法偵測到它們。

大多數瀏覽器都帶有內建保護功能，但眾所周知，駭客總是在尋找新的方法來在線上攻擊用戶。大多數基本的點擊劫持攻擊都能被有效阻止 - 但雙重點擊劫持攻擊卻無法被阻止。

第一次點擊時不會發生惡意事件，攻擊者的程式碼會在提示您第二次點擊之前插入一個被劫持的覆蓋層。這可以是簡單的雙擊確認操作，也可以是煩人的驗證碼。第二次點擊時，您可能會意外安裝外掛程式並讓攻擊者存取您的帳戶。

目前，瀏覽器可能無法檢測到這個更複雜的版本，因為它不使用通常的 iframe 設置，這使您面臨成為點擊劫持受害者的​​高風險。這不僅限於桌面瀏覽器；行動用戶也成為雙擊提示的目標。

雙重劫持如何繞過點擊劫持保護

許多現代網頁瀏覽器都已透過安全保護措施減輕點擊劫持的威脅。然而，一種名為「雙擊劫持」的複雜版本可以利用兩次點擊之間的序列來繞過傳統的保護措施，從而接管帳戶或執行未經授權的操作。

在雙重點擊劫持攻擊中，惡意元素會被插入到使用者第一次和第二次點擊之間。首先，您會被帶到一個攻擊者控制的網站並獲得提示，例如解決驗證碼或雙擊按鈕以授權操作。第一次點擊將關閉或更改頂部視窗（覆蓋 CAPTCHA），導致第二次點擊轉到先前隱藏的授權按鈕或連結。第二次點擊授權惡意插件，導致 OAuth 應用程式連接到您的帳戶或批准多因素身份驗證提示。

您可以採取哪些措施來保護自己

點擊劫持技術非常複雜，旨在欺騙和竊取您的點擊，但您可以採取一些措施來保護自己。

• 始終保持您的裝置和瀏覽器為最新版本。注意安全性修補程式和軟體更新，並在它們可用時立即安裝。工程師定期發布修補程式來修復安全漏洞並保護用戶免受新的攻擊。
• 對雙擊提示保持警惕，尤其是在您不熟悉的網站上。
• 務必仔細檢查您造訪的網站的URL 。攻擊者可以使用網域搶注技術購買具有細微差別的網域的合法版本，例如在網域名稱中新增「a」或連字符，例如「ama-zon.com」。
• 當您不確定來源時，請避免點擊連結。您可以使用網站連結檢查器來查看該連結是否安全。

攻擊者經常利用您對合法網站的信任以及我們經常不假思索地進行的基本操作（例如雙擊）。為了保護自己，在點擊之前一定要放慢速度並思考。