เมื่อคำว่า “ออนไลน์” เข้ามาในชีวิตประจำวันมากขึ้น ความปลอดภัยบนโลกดิจิทัลกลายเป็นเรื่องที่ไม่ควรมองข้าม เพราะhackerไม่ได้จำกัดอยู่แค่การส่งไวรัสหรือหลอกให้ดาวน์โหลดไฟล์อีกต่อไป แต่ได้พัฒนาไปสู่รูปแบบที่แนบเนียนและยากจะสังเกตเห็นมากขึ้น ล่าสุดมีภัยไซเบอร์รูปแบบใหม่ชื่อว่า “Double Click jacking” ซึ่งเป็นการโจมตีที่อาศัยพฤติกรรมของผู้ใช้งาน นั่นคือ “การคลิก” บนหน้าเว็บไซต์ โดยเฉพาะเมื่อผู้ใช้งานกำลังเร่งรีบ หรือไม่ได้สังเกตว่าเบื้องหลังของการคลิกคืออะไร
เพียงแค่คุณ “คลิก” บนหน้าเว็บ 2 ครั้ง ก็อาจกลายเป็นการ “อนุญาต” ให้ hacker เข้าถึงบัญชีของคุณ เช่น บัญชี Google, Facebook หรือบัญชีอื่นๆ ที่คุณล็อกอินผ่านระบบ OAuth (มาตรฐานที่ให้ผู้ใช้อนุญาตแอปภายนอกเข้าถึงข้อมูลบัญชี เช่น Google หรือ Facebook โดยไม่ต้องให้รหัสผ่าน) โดยที่คุณไม่รู้ตัวเลยว่ากำลังถูกควบคุมจากเบื้องหลัง
การโจมตีแบบนี้ไม่ได้อาศัยการเจาะระบบที่ซับซ้อน แต่ใช้จิตวิทยาและพฤติกรรมของผู้ใช้งานเป็นเครื่องมือ หากคุณเผลอคลิกเร็วเกินไป หรือคลิกตามความเคยชิน ก็อาจกลายเป็น “เหยื่อ” ได้ในพริบตา
Double Click jacking คืออะไร ?
Double Click jacking เป็นภัยคุกคามทางไซเบอร์รูปแบบใหม่ ที่พัฒนามาจากเทคนิคเดิมที่เรียกว่า Click jacking ซึ่งเป็นการหลอกให้ผู้ใช้งานคลิกบนองค์ประกอบที่ซ่อนอยู่ในหน้าเว็บไซต์ เช่น ปุ่มหรือลิงก์ที่ถูกวางทับด้วยภาพหรือข้อความอื่น โดยที่ผู้ใช้ไม่รู้เลยว่าตนเองกำลังกดอนุญาต หรือดำเนินการบางอย่างที่อาจเสี่ยงต่อความปลอดภัยของบัญชี
สิ่งที่ทำให้ Double Click jacking อันตรายยิ่งกว่าเดิมคือ ใช้เพียงแค่ “การคลิกสองครั้ง” บนหน้าเว็บไซต์ เพื่อดำเนินการแทนตัวผู้ใช้งานโดยไม่ได้รับการยินยอมอย่างแท้จริง ซึ่งอาจทำให้ผู้ใช้เผลออนุญาตให้แอปฯ ที่ hacker ควบคุมเข้าถึงบัญชี Google หรือ Facebook ของตน ผ่านระบบ OAuth โดยที่ไม่รู้ตัว เปิดสิทธิ์ให้ hacker เข้าถึงข้อมูลส่วนตัว เช่น อีเมล รายชื่อติดต่อ หรือประวัติการใช้งานต่าง ๆ ดำเนินการโพสต์ แชร์ หรือส่งข้อความบนโซเชียลมีเดียโดยไม่ได้ตั้งใจ ทำให้ผู้ใช้งานดูเหมือนเป็นคนกระจายลิงก์อันตรายไปยังคนอื่น ๆ ต่อไป
เทคนิคนี้มักถูกแฝงมากับเว็บไซต์ที่ดูน่าเชื่อถือ หรือปลอมหน้าเว็บให้เหมือนกับเว็บไซต์จริง เช่น หน้าแจ้งเตือนความปลอดภัย หรือป๊อปอัปให้กดยอมรับเงื่อนไขบางอย่าง จึงทำให้ผู้ใช้จำนวนมากหลงเชื่อ และคลิกตามอย่างไม่ทันระวัง สิ่งสำคัญคือ การโจมตีแบบนี้ไม่ต้องอาศัยไวรัสหรือมัลแวร์ แต่ใช้เพียงการหลอกให้คุณ “คลิก” ตามธรรมชาติของการใช้งานเท่านั้น ซึ่งทำให้มันยากที่จะตรวจจับ และเป็นภัยคุกคามที่ควรตระหนักถึงอย่างยิ่งในยุคดิจิทัลปัจจุบัน
รูปแบบการทำงาน
hacker จะสร้างหน้าเว็บไซต์ที่ดูเหมือนไม่มีอันตราย เช่น หน้าเกมออนไลน์ เว็บไซต์วิดีโอ หรือเว็บที่ให้บริการดาวน์โหลดไฟล์ ซึ่งทั้งหมดดูน่าเชื่อถือและเหมือนกับเว็บไซต์ปกติทั่วไปที่ผู้ใช้มักจะคลิกเข้าไปเป็นประจำ
ภายในหน้านั้น hacker จะแอบซ่อน iFrame (inline frame) ซึ่งเป็นโค้ด HTML ที่สามารถแสดงหน้าเว็บอื่นซ้อนอยู่ในหน้าเดิม โดยจะเชื่อมโยงกับคำสั่งที่อันตราย เช่น ปุ่ม “Authorize” หรือ “Allow” ที่เกี่ยวข้องกับการอนุญาตให้เข้าถึงบัญชี Google, Facebook หรือบัญชีที่ล็อกอินไว้ผ่าน OAuth จากภายนอก ปุ่มเหล่านี้จะถูกปิดบังหรือวางซ้อนอยู่ใต้ปุ่มที่ดูปลอดภัย เช่น เล่นเกมต่อ , โหลดไฟล์ , ดูวิดีโอถัดไป และกดเพื่อรับสิทธิ์พิเศษ
เมื่อผู้ใช้คลิกปุ่มดังกล่าว “สองครั้ง” เช่น คลิกเพื่อเริ่มเล่นเกม แล้วคลิกอีกครั้งเพื่อยืนยันการเข้าเล่น จริงๆ แล้วระบบจะนับการคลิกนั้นเป็นการ ยืนยันและอนุญาต ให้แอปฯ ที่ hacker ควบคุมสามารถเข้าถึงข้อมูลในบัญชีของผู้ใช้ได้โดยตรง
เทคนิคนี้อาศัยทั้ง การหลอกลวงด้วยภาพและพฤติกรรมผู้ใช้ ซึ่งมักจะคลิกแบบไม่คิดมาก โดยเฉพาะหากหน้าเว็บดูไม่มีพิรุธ การซ่อน iFrame ที่มีคำสั่งอันตรายไว้ใต้ปุ่มธรรมดา จึงกลายเป็นเครื่องมือที่ทรงพลังของ hacker ในปัจจุบัน และยิ่งยากที่จะสังเกตหากไม่มีความรู้หรือเครื่องมือช่วยตรวจจับ
ทำไม Double Click jacking ถึงอันตราย ?
- หลอกได้แม้ไม่มีการติดตั้งโปรแกรม : ผู้ใช้ไม่ต้องดาวน์โหลดอะไร แค่ “คลิก” ก็เพียงพอ
- ข้ามการป้องกันแบบเดิมได้ : การป้องกัน Click jacking เดิมมักรองรับการคลิกเพียงครั้งเดียว DoubleClickjacking จึงหลุดรอดได้
- โจมตีผ่าน OAuth ได้ : ใช้ประโยชน์จากระบบล็อกอินแบบ Single Sign-On (SSO) เช่น “ล็อกอินด้วย Google” เพื่อแอบอ้างสิทธิ์
ใครเสี่ยงบ้าง ?
1. ผู้ใช้ทั่วไป: กลุ่มผู้ใช้ที่เข้าถึงเว็บไซต์หรือคลิกลิงก์ต่าง ๆ บนอินเทอร์เน็ตเป็นประจำ โดยเฉพาะคนที่มีพฤติกรรม “คลิกโดยไม่คิด” เช่น เห็นปุ่ม “เล่นเลย” หรือ “ดูต่อ” แล้วกดทันทีโดยไม่สังเกตว่าลิงก์นั้นปลอดภัยหรือไม่ ยิ่งหากเป็นคนที่ใช้บัญชี Google หรือ Facebook ล็อกอินทิ้งไว้บนเบราว์เซอร์อยู่ตลอดเวลา ก็ยิ่งเสี่ยงถูกดึงข้อมูลหรือเข้าควบคุมบัญชีได้ง่ายขึ้น
2. นักเล่นเกมออนไลน์: หลายคนเล่นเกมบนเว็บไซต์หรือแอปฯ มือถือที่ต้องเชื่อมต่อกับบัญชีโซเชียลมีเดียเพื่อเล่นกับเพื่อนหรือเก็บคะแนน ระบบเกมบางเกมอาจฝัง iFrame หรือสคริปต์จากภายนอกไว้ และใช้เทคนิค Double Click jacking โดยไม่รู้ตัว เมื่อผู้เล่นคลิกเพื่อเริ่มเกมหรือตอบรับเงื่อนไข ก็อาจเผลออนุญาตให้แอปฯ ที่ไม่ปลอดภัยเข้าถึงบัญชีได้ทันที
3. ผู้ใช้โซเชียลมีเดีย: ผู้ใช้งาน Facebook, Instagram, TikTok และแพลตฟอร์มอื่น ๆ มักเป็นเป้าหมายอันดับต้น ๆ เพราะข้อมูลส่วนตัว พฤติกรรมการใช้งาน และรายชื่อเพื่อนมีมูลค่าสูงในตลาดมืด การคลิกลิงก์จากโพสต์ แชร์ หรือแม้แต่โฆษณาปลอมที่แนบมากับวิดีโอ/ภาพไวรัล ก็อาจนำไปสู่กับดักที่ hacker วางไว้โดยไม่รู้ตัว
4. เจ้าของเว็บไซต์หรือผู้ดูแลเว็บไซต์ : ไม่ใช่แค่ผู้ใช้เท่านั้นที่เสี่ยง เจ้าของเว็บไซต์เองก็อาจตกเป็นเหยื่อโดยไม่ตั้งใจ หากเว็บไซต์นั้นมีการฝัง iFrame จากภายนอก, ใช้ third-party scripts หรือรับโค้ดจากแหล่งที่ไม่น่าเชื่อถือ เช่น ปลั๊กอินฟรีที่ไม่ผ่านการตรวจสอบ การแสดงผลปุ่ม “สมัครสมาชิก” หรือ “เข้าสู่ระบบ” ที่ฝังมาจากผู้ให้บริการภายนอก ก็อาจกลายเป็นช่องทางที่เปิดให้ hacker เข้าถึงผู้ใช้งานของเว็บไซต์ได้เช่นกัน
วิธีป้องกันตัวเองจาก Double Click jacking
- ระวังหน้าเว็บที่ให้คลิกหลายครั้งติดกัน
หากคุณเข้าเว็บไซต์ใดแล้วพบว่ามีปุ่มให้คลิกอย่างต่อเนื่อง เช่น “เล่นต่อ”, “ยืนยันอีกครั้ง”, หรือ “โหลดต่อ” ให้ระวังไว้ก่อนว่า นี่อาจเป็นการหลอกให้คลิกซ้ำ เพื่อเปิดช่องให้แฮกเกอร์ใช้เทคนิค clickjacking แบบใหม่
- อย่าล็อกอินผ่าน OAuth กับเว็บไซต์ที่ไม่รู้จัก
หลายเว็บไซต์เสนอตัวเลือก “ล็อกอินผ่าน Google/Facebook” เพื่อความสะดวก แต่หากเว็บไซต์นั้นไม่น่าเชื่อถือ หรือไม่ใช่บริการหลักที่รู้จักกันดี คุณควรหลีกเลี่ยง เพราะอาจเป็นการหลอกให้อนุญาตการเข้าถึงข้อมูลโดยไม่ตั้งใจ
- เปิดใช้งาน Two-Factor Authentication (2FA)
การเปิดใช้ระบบยืนยันตัวตนสองขั้นตอน ช่วยเพิ่มความปลอดภัยอีกชั้น แม้ hacker จะขโมยการเข้าถึงบัญชีได้ผ่าน Clickjacking ก็ยังไม่สามารถเข้าสู่บัญชีได้หากไม่มีรหัส OTP หรืออุปกรณ์ยืนยันตัวตน
- ตรวจสอบสิทธิ์การเข้าถึงบัญชีเป็นประจำ
เข้าไปที่การตั้งค่าความปลอดภัยของบัญชี Google หรือ Facebook เพื่อดูว่าแอปฯ หรือเว็บไซต์ใดมีสิทธิ์เข้าถึงข้อมูลของคุณ หากพบสิ่งที่ไม่รู้จัก ให้ถอนสิทธิ์ทันที
ภัยไซเบอร์ไม่จำเป็นต้องมาจากมัลแวร์หรือไวรัสเสมอไป “แค่คลิกสองครั้ง” ก็อาจหมายถึงการสูญเสียข้อมูลสำคัญ เช่น บัญชีอีเมล บัญชีโซเชียลมีเดีย หรือแม้แต่ข้อมูลทางการเงินแล้ว
ข้อมูลจาก : tomsguide, techradar, the hackernews
