Dolandırıcılığın Farklı Yüzü: Clickjacking Nedir, Nasıl Engellenir?

İnternet sitelerini veya sosyal medya mecralarını kullanırken hepimizin karşısına reklamlar çıkıyor… Peki, bu reklamların yüzde kaçı gerçek anlamda tanıtım ve pazarlama amacı güdüyor dersiniz? Emin olun bunların büyük kısmı, markanın tanıtım faaliyetleri için yapılmaktadır. Ancak, bazı kötü niyetli kişi ve kişiler de (suç şebekeleri dahil) bu yöntemi kullanarak kendilerine kurban arayışı içerisine giriyor. Nasıl mı? Clickjacking metodu ile…

Siber korsanlar, bu tekniği kullanarak size bir şey kazandığınızı veya ilginizi çekebilecek çalışmalarla yönlendirme yapar. Ancak yönlendirildiğiniz yerin, maalesef ki masum sonuçları yoktur. Tam da bu noktada bilmeniz gereken bir konuyu tekrar hatırlatmak istiyoruz; internet dünyası sandığınız kadar masum değil. Bunun için kesinlikle dikkati elden bırakmamak gerekir. Kullandığınız uygulama veya site her ne kadar güvenilir olursa olsun, bilmediğiniz hiçbir linke tıklamayın. Böylece güvenliğiniz, sizin elinizde olur. Şimdi detaylara geçelim…

Clikcjacking nedir?

Siber suçlular veya bu potansiyeli taşıyan kişiler tarafından çeşitli planlar hazırlanır. Bu kapsamda öne çıkan Clickjacking, internet kullanıcılarını yanıltmak amacıyla tasarlanmış bir saldırı yöntemidir.

Bu teknikte, ziyaretçinin dikkatini çekecek bir pop-up veya reklam gösterilir. Örneğin, “Sitemizin 10.000 ziyaretçisi olarak bizlerden iPhone kazandınız!” gibi bir şey… İnanır mıydınız? Ancak emin olun ki, kolay yoldan para kazanmak isteyen birçok insan maalesef ki bu tür şeylere inanıyor. Hatta öyle ki, ’5 TL alışveriş çeki kazandınız!’ gibi pek de iddialı olmayan clickjacking’lerle bile binlerce insanın verileri ele geçirildi. Tabii bunlar, kötü niyetli çalışmalara verilebilecek en basit örnekler…

“iPhone kazandınız” ibaresinde, ‘Hediyeni Al’ butonuna tıkladınız… Sonra ne mi olacak? Bir sayfaya yönlendirileceksiniz. Ancak bu sayfa görünenin aksine arka planında farklı bir yapıya sahip…

Bunu en iyi şekilde canlandırmanız adına size fiziksel hayattan bir örnek vermek istiyoruz. Kapınıza bir kurye geldi diyelim ve; “Size ismi verilmeyen birisi tarafından çiçek gönderildi. Lütfen şu kağıdı imzalayarak, teslim aldığınızı onaylayın” dedi. Kâğıtta çiçekçi mağazasının ismi ve prosedüre uygun yazılar var. İmzayı attınız. Aradan birkaç gün geçti ki, evinize bir ihbarname… Aslında görünen kağıdın altında başka bir kağıt/senet vardı. İmza attığınız alan ise görünen kağıt değil, altındakiydi… Ne kadar da kaotik bir durum değil mi? Clickjacking de tıpkı bu yöntem gibidir. Görünen yüzü, sadece frame’den oluşur, ardında karanlık amaçlar saklıdır…

Bununla birlikte linke tıkladığınızda yönlendirilen site sizden bilgilerinizi çalmak istiyor olabilir. Örneğin, ‘5 TL kazandığınızı belirten’ bir linke tıkladınız diyelim. Hesabınıza ücretin geçmesi için banka/kart bilgilerinizin girilmesi isteniyor. Sizleri temin ederiz ki, bunu yapacak yine binlerce internet kullanıcısı vardır. Hatta bazı durumlar var ki, Clickjacking yöntemi ile cihazınıza zararlı yazılımlar yüklenir. Böylece ekranınızda yaptığınız tüm işlemler, başkaları tarafından takip edilir ve her türlü bilgileriniz ele geçirebilir.

Clickjacking nasıl engellenir?

Bugüne dek herhangi bir clickjacking saldırısına maruz kaldığınızı düşünüyor musunuz? Kimse dolandırılmak istemez. Ancak tedbirli olunmadığı taktirde bu tür istenmeyen durumlar işten bile değildir.

Özellikle kişisel zafiyetlerinizi gizli tutmanızı öneririz. Çünkü bunu bilen birisi de sizin zayıflığınızı kullanmak için harekete geçebilir. Peki, ne yapmalıyız?

Her şeyden önce gördüğünüz her reklama ve tanıtıma inanmalısınız. Özetle güvenmediğiniz hiçbir linke tıklamayın.

Ek olarak kişisel verilerinizin istendiği platformların gizlilik politikalarını ve yasal prosedürlerini inceleyin. Bunun için mutlaka ilgili sayfaları bulunmalı, çünkü bu yasal bir yükümlülüktür.

Aynı zamanda eğer bir web sitesi yöneticisiyiseniz, sitenize iframeler ile gömülme(embed) işlemi yapılamadığından emin olun. Aksi durumlarda hem sizin hem de kullanıcılarınızın verileri tehlike altındadır.

Keza web sitesinin yöneticisi/sahibi siz olduğunuzda yasal sorumluluklar da size aittir. Cezai yaptırımlar ve insanların mağduriyetinin söz konusu olmaması için gereken bütün güvenlik önlemlerini almalısınız. Bunun için profesyonel ve yasal olarak web siteniz veya uygulamanız için sızma testi çalışmaları yaptırabilirsiniz.

Tüm bunlarla birlikte kullanmış olduğunuz tarayıcınızı gözden geçirin.  Özellikle X-Frame-Options header ile bir web sitesinin http protokolünün cevabının bir uzantısı olur. Gelen yanıtlara göre siber suçlu, ilgili web sayfası üzerinde frame, iframe kodlarının çalışıp çalışmayacağını anlayabilir. Bunu önlemek üzere araç kullanabilirsiniz. Bu sayede olması gerektiği gibi yalnızca ilgili sayfanın esas yapısı gösterilir. Herhangi bir frame ekleme veya gösterme söz konusu olamaz.