Bài viết đề xuất một số biện pháp phòng chống phương thức lừa đảo trực tuyến (phishing) rất phổ biến, đó là phương thức tấn công Clickjacking. Đây là dạng tấn công mà khi sử dụng trình duyệt để truy cập các ứng dụng, nạn nhân bị lừa truy cập và thao tác trên các trang web giả mạo do hacker tạo ra. Những trang web này thường được núp dưới vỏ bọc của một trang web an toàn. | JOURNAL OF SCIENCE OF HNUE Natural Sci. 2017, Vol. 62, No. 3, pp. 69-75 This paper is available online at DOI: ĐỀ XUẤT MỘT SỐ BIỆN PHÁP PHÒNG CHỐNG PHƯƠNG THỨC TẤN CÔNG CLICKJACKING Nguyễn Đăng Tiến Trường Đại học Kĩ thuật Hậu cần Công an Nhân dân, Bộ Công an Tóm tắt. Trong bài báo này, chúng tôi đề xuất một số biện pháp phòng chống phương thức lừa đảo trực tuyến (phishing) rất phổ biến, đó là phương thức tấn công Clickjacking. Đây là dạng tấn công mà khi sử dụng trình duyệt để truy cập các ứng dụng, nạn nhân bị lừa truy cập và thao tác trên các trang web giả mạo do hacker tạo ra. Những trang web này thường được núp dưới vỏ bọc của một trang web an toàn. Tấn công Clickjacking không yêu cầu kĩ thuật cao nhưng hiệu quả thu được có thể rất lớn. Hậu quả gây ra nhẹ là sự phiền toái đối với người dùng, nặng hơn là bị mất cắp thông tin các loại tài khoản hay các dữ liệu nhạy cảm. Chúng tôi cũng đưa ra một số phương pháp phòng ngừa từ phía máy chủ Web và từ phía người dùng để ngăn chặn dạng tấn công này một cách hiệu quả. Từ khóa: Tấn công Clickjacking, thẻ iframe, thiết lập z-index, hacker, dịch vụ mạng. 1. Mở đầu Clickjacking được Robert Hansen (người sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (Haker mũ trắng) phát hiện và công bố vào năm 2008. Năm 2010, tại hội thảo Black Hat Europe diễn ra tại Barcelona, chuyên gia bảo mật người Anh - Paul Stone cũng đã trình diễn thêm các kĩ thuật khai thác mới của dạng tấn công này [1]. Clickjacking (hay UI Redress Attack) là một dạng tấn công lừa đảo trên ứng dụng web. Thuật ngữ Clickjacking mô tả việc hacker dụ người dùng click vào các liên kết độc hại, nguy hiểm, được ẩn mình dưới vẻ ngoài là một trang web an toàn. Việc click vào các liên kết đó có thể đơn giản là bị điều hướng sang các trang web khác, tăng view cho một quảng cáo giúp kiếm tiền cho hacker, hay nặng hơn là bị đánh cắp các thông tin bí mật, nhạy cảm và chiếm quyền điều khiển máy tính. .