شماره: IRCNE200902064
روز پنجشنبه 24 بهمن بازي موش و گربهاي بين مديران سايت Twitter و يك يا چند مهاجم اتفاق افتاد. قضيه با يك حمله سرقت كليك (clickjacking) در صبح پنجشنبه آغاز شد. اين حمله كه از ترفندهاي مهندسي اجتماعي استفاده ميكرد با يك جمله كاربر را تحريك ميكرد كه روي يك لينك كليك كند. اين جمله اين بود: «كليك نكنيد». فردي كه اين جمله را ميديد بطور طبيعي تحريك ميشد كه روي اين لينك كليك نمايد. وقتي كه فرد اين كار را انجام ميداد، يك tweet با همين لينك و همين محتوا براي سايرين ارسال ميشد و به اين ترتيب اين حمله سرقت كليك به سرعت منتشر ميشد. گروه امنيتي سايت Twitter به سرعت وارد عمل شده و مشكل را برطرف نمودند. البته ظاهرا اين حمله خرابكار نبوده و آسيبي به افراد نميرساند و صرفا خود را به سرعت منتشر ميكرد.
چند ساعت بعد دوباره اين حمله با همان داستان قبلي ولي با تكنيكي متفاوت آغاز شد. اين بار فرد مهاجم توانسته بود سپر امنيتي Twitter در برابر اين حمله را دور بزند و با استفاده از نقطه ضعف ديگري مجددا اين حمله را تكرار نمايد. حمله سرقت كليك «كليك نكنيد» از صفحهاي با يك فريم نامرئي استفاده ميكرد. براي مقابله با اين حمله در صورتيكه Twitter تشخيص ميداد كه فريمي روي صفحهاي وجود دارد آن را حذف ميكرد. ولي پس از چند ساعت فرد مهاجم با استفاده از تكنيكي جديد وارد عمل شد و موفق شد از اين ديوار عبور كند. به همين دليل مديران Twitter مجبور شدند از راه ديگري با اين فرد مقابله كنند و بعد از مدت كوتاهي اين حمله نيز متوقف گرديد.
اگرچه اين حمله آسيبي به همراه نداشت ولي ميتواند در آينده براي حملات خرابكارانه مورد استفاده قرار گيرد.
- 2