Massachusetts, Cyberthreat.id - Sejumlah peneliti dari Universitas Cina Hong Kong, Microsoft Research, Seoul National University dan Pennsylvania State University, berhasil mengidentifikasi praktik clickjacking yang terjadi pada 250 ribu situs web teratas milik Alexa.

 Para peneliti menemukan, dalam merayapi data dari 250.000 situs web teratas Alexa, mereka menemukan 437 skrip pihak ketiga yang di-intersep klik pengguna di 613 situs web, yang secara total menerima sekitar 43 juta kunjungan setiap hari.

Parahnya, tautan intersepsi klik tersebut, menggunakan teknik baru,seperti membuat tautan lebih besar, yang membuat orang sulit untuk menghindari.

"Kami selanjutnya mengungkapkan bahwa banyak skrip pihak ketiga mencegat klik pengguna untuk monetisasi melalui  penipuan klik iklan. Selain itu, kami mendemonstrasikan bahwa intersepsi klik dapat mengarahkan pengguna korban ke konten berbahaya,” kata para peneliti dalam sebuah konferensi keamanan USENIX belum lama ini, seperti dikutip dari ThreatPost, Jumat, (16 Agustus 2019).

Para peneliti menjelaskan, situs web yang terkena dampak clickjacking memiliki skrip pihak ketiga yang dimasukkan di dalamnya.

Skrip ini terlihat seperti tautan yang tidak bersalah (seperti tombol Facebook), tetapi diam-diam memiliki kode untuk aplikasi yang berbeda yang tertanam dalam tag iframe atau komponen lainnya. Jadi, ketika seorang korban mengklik tautan, mereka dibajak, dan dibawa ke halaman berbahaya atau spam.

Clickjacking yang diamati oleh para peneliti, digunakan untuk mengirim para korban ke halaman berbahaya, seperti perangkat lunak anti-virus (AV) palsu dan halaman unduh drive-by.  Tetapi para peneliti mengatakan bahwa itu juga sedang digunakan untuk monetisasi, seperti penipuan iklan atau spam untuk penipuan.

“Selain pembajakan tautan klasik seperti dijelaskan di atas, aktor jahat kini juga beralih ke penipuan visual untuk mencegat klik pengguna, yang mencakup tautan yang menyamar sebagai spanduk situs web atau tombol unduhan,” ungkap para peneliti.

Clickjacking spam

Selain itu, aktor jahat, juga mengandalkan trik baru untuk memikat pengguna agar mengklik pada skrip mereka. Misalnya, peneliti mendeteksi 86 skrip pihak ketiga yang menggunakan hyperlink besar yang akan muncul di halaman, dan mengirim pengguna ke situs game judi online ketika diklik.

“Font yang lebih besar membuat hyperlink menonjol dan memberi mereka peluang lebih tinggi untuk diklik,” tambah para peneliti.
Skrip pihak ketiga lainnya akan secara selektif memotong klik pengguna untuk menghindari deteksi, pada dasarnya membatasi tingkat di mana mereka melakukan intersep klik.

"Meskipun skrip pihak ketiga dapat menipu pengguna dengan trik yang berbeda, efektivitasnya dapat bervariasi secara dramatis tergantung pada implementasinya dan latar belakang teknis pengguna akhir," kata peneliti.

Tak hanya itu, penelitian ini juga menemukan bahwa lebih dari 36 persen dari 3.251 URL intersepsi klik unik terkait dengan iklan online.

"Klik juga sangat penting dalam satu aplikasi luas, iklan tampilan online, yang memberi daya miliaran situs web di internet. Situs web penerbit mendapat komisi ketika pengguna mengklik iklan yang mereka tanam dari jaringan iklan online,” pungkas para peneliti.