ถ้าคุณคิดว่าตัวเองมีสติพอเวลาท่องเน็ต ไม่น่าจะพลาดไปคลิกหรือป้อนข้อมูลอะไรที่เสี่ยงต่อความปลอดภัยแล้ว แสดงว่าคุณยังไม่รู้จักการโจมตีที่เรียกว่า ClickJacking ดีพอ พอที่จะตระหนักว่าหน้าตาเว็บไซต์หรือแบบฟอร์มที่คุณเห็นนั้น เบื้องหลังไม่ได้เป็นอย่างที่คุณเข้าใจ
การโจมตีแบบ ClickJacking แปลตรงตัวคือการหลอกให้คลิก ตั้งแต่ปี 2551 เป็นต้นมานั้นเหล่าแฮ็กเกอร์ต่างรู้ตัวว่าการทำโฆษณาหรือล่อหลอกทางจิตวิทยาเพื่อให้เหยื่อคลิกโหลดมัลแวร์นั้นไม่ค่อยได้ผลอย่างเคย จึงมีการใช้ฟีเจอร์ที่หลากหลาย ทั้งจากฝั่งไคลเอนต์บนเครื่องเหยื่อ และบนฝั่งเซิร์ฟเวอร์ เพื่อสร้างหน้าเว็บหลอกที่ไม่ตรงกับหน้าเว็บจริงบนเซิร์ฟเวอร์แทน
แม้เว็บบราวเซอร์หลายเจ้าจะพยายามหาวิธีป้องกันแล้ว แต่ด้วยความหลากหลายของเทคนิคที่สามารถตีลังกามาหลอกเหยื่อได้ ทั้งการใช้ iFrame, XFrame, CSS เป็นต้น จึงมีผู้พัฒนาทูลเพื่อให้ผู้ที่สนใจทดลองสร้างหน้าเว็บที่แฝงการโจมตีแบบ ClickJacking อย่างง่ายในชื่อว่า “Jack”
Jack นี้เป็นทูลทดลองสร้างหน้าเว็บ ClickJacking แบบ Drag-and-Drop ง่ายๆ สำหรับทดสอบเว็บบราวเซอร์ของตนเอง โดยสร้างโค้ดให้ทั้ง HTML และ Javascript โดยทดสอบได้ทั้งแบบที่รันบนเว็บเซิร์ฟเวอร์อย่าง Apache หรือแบบที่รันบนเครื่องไคลเอนต์ธรรมดาได้ ซึ่งสามารถโหลดได้จาก Github https://github.com/sensepost/jack
ที่มา : https://www.darknet.org.uk/2017/08/jack-drag-drop-clickjacking-tool-pocs/
