Tıklama dolandırıcılığı
Clickjacking, dolandırıcılık yöntemi olup, örneğin, site kullanıcılarının kişisel verilerini bilgileri olmadan toplamak için kullanılabilir.
Tıklama dolandırıcılığı kullanan bir sitedeki ziyaretçiler, sosyal ağda bir şeye abone olabilir veya bir gönderiyi “beğenebilir” farkında olmadan. Bu işlemlerden sonra, site otomatik olarak kullanıcının hesabını tespit eder ve sahibi hesap kişisel verilerini kullanabilir. Örneğin, telefon numarası pazarlama aramaları yapmak ve ürün teklif etmek için kullanılabilir. Bu mekanizma en sık “satışları artıran” hizmetlerde kullanılır.
Sitenizde tıklama dolandırıcılığı tespit edilirse, kullanmayı bırakmanızı öneririz. Tüm hizmetlerden vazgeçmek zorunda değilsiniz. Tıklama dolandırıcılığı özellliğini kapatmanız yeterlidir. Ancak, clickjacking’in kötü niyetli bir hackleme türü olduğunu ve bu tekniği sunan hizmetlerin güvenilir olup olmadığını değerlendirmeniz gerektiğini unutmayın.
Not
Tıklama dolandırıcılığı tespit edilen site, arama sonuçlarında bir uyarı ile gösterilir. Site Yandex Tarayıcı’da açıldığında da bir uyarı görüntülenir.
Sitemde tıklama dolandırıcılığı olup olmadığını nasıl bulabilirim
Tıklama dolandırıcılığı genellikle sosyal ağlarla etkileşime giren gizli öğeler oluşturarak sitede uygulanır. Genellikle, öğeler düğmelerin, formların, videoların vb. üzerine yerleştirilir. Ayrıca, fare imlecini takip ederek sayfa üzerinde hareket edebilirler. Bu öğeler kullanıcıya görünmezdir, ancak sayfaların HTML kodunda bulunabilirler.
Bir sitede tıklama dolandırıcılığı olup olmadığını bulmak için gizli öğeler oluşturan kod parçalarını tanımlamanız gerekir. Bunları aramak için sosyal ağa giriş yapmalı ve tarayıcı konsolunu kullanmalısınız.
Mozilla Firefox, Yandex Tarayıcı, Google Chrome ve Opera gibi tarayıcıları kullanmanızı öneririz. Tarayıcı konsolu genellikle Ctrl + Shift + J klavye kısayolu ile açılır, Mozilla Firefox ile çalışırken Ctrl + Shift + K ile de açılır. Apple işletim sistemleri için, ⌥ + ⌘ + J ve ⌥ + ⌘ + K kısayolları kullanılır.
Dikkat
Siteden tıklama dolandırıcılığını uygulayan HTML kodunu silmeye karar verirseniz, bunu yapmadan önce sitenin yedek bir kopyasını oluşturun.
Aşağıda, VK’ya giriş yapıldığında Mozilla Firefox web konsolunda çalışma örneği verilmiştir.
-
Sosyal ağa oturum açın. Bunu yapamazsanız, bazı durumlarda bu algoritmayı kullanarak tıklama dolandırıcılığını tespit etmek imkansız olabilir.
-
Tıklama dolandırıcılığı için kontrol etmek üzere bir site sayfası seçin.
-
Tarayıcıdaki site çerezlerini silin.
-
Tarayıcıda yeni bir sekme açın.
-
Tarayıcı konsolunu açın. Ardından adres çubuğuna sayfa URL’sini girin. Sayfanın yüklenmesini bekleyin, kullanıcının etkinliğini taklit edin: fareyi hareket ettirin, sayfayı kaydırın.
-
Sitenin sosyal ağ URL’lerine yaptığı istekleri belirleyin.
Konsolda arama yapmak için Ağ sekmesine gidin ve “yetkilendirme” ve “beğen” olaylarına karşılık gelen sosyal medya adreslerini bulun. Örneğin, Vkontakte’de “yetkilendirme” olayı
widget_auth.phpURL yoluna, “beğen” olayı isewidget_like.phpyoluna karşılık gelir.
Böyle bir sosyal ağ URL’si bulamazsanız, tıklama dolandırıcılığı girişimi yoktu. Sayfadan tıklama dolandırıcılığı kodunu zaten silmiş olmanız veya bu algoritma ile tıklama dolandırıcılığı girişimini yeniden üretememeniz mümkündür.
-
Gizli site öğesinin yüklenmesini tetikleyen kodu belirleyin.
Arama yapmak için İnceleyici sekmesine gidin. Daha önce belirtilen sosyal ağ URL’leriyle eşleşen HTML öğelerini bulun.
Ardından, her bulunan öğeyi kontrol edin ve sitenin gizli veya görünen kısmından sorumlu olup olmadığını kontrol edin. Kontrol etmek için, fare imlecini bir öğenin üzerine getirin. Alanı site sayfasında vurgulanacaktır. Öğe, ekranın görünmez bir kısmında bulunabilir. Bunu bulmak için, öğeye sağ tıklayın. Bağlam menüsünde Görmek için kaydır seçimini yapın.
Site öğesi gizliyse, büyük olasılıkla clickjacking buldunuz. Sonraki adıma geçin.
Not
Eğer Inspector sekmesinde kod parçasını bulamadıysanız, ancak yukarıda belirtilen URL’lerde sosyal ağa istekler varsa Network sekmesinde, clickjacking tespit ettiniz.
-
Sosyal ağ ile etkileşimi başlatan kodu tespit edin. Özellikle
script,iframeveyaobjectöğelerine dikkat edin.Bir öğe bulunamazsa, şüphe uyandıran kod parçalarını tek tek kaldırarak tanımlayabilirsiniz. Silme işleminden sonra, 3’ten 8’e kadar olan adımları tekrarlayın.
Web sitesinde değişiklik yaptığınızda, Yandex Webmaster’daki Düzelttim düğmesini kullanarak Güvenlik ve ihlaller sayfasında robotu tamamladığınız eylemler hakkında bilgilendirin.
Not
Aynı site için bir ay sonra tekrar Düzelttim düğmesine tıklayabilirsiniz. Daha sonra, bu süre düğmenin kötüye kullanımını önlemek için üç aya kadar uzatılır. Dolayısıyla, sitede artık ihlal olmadığından emin olduğunuzda düğmeyi kullanmanızı öneririz.
Yandex Webmaster’da birden fazla kullanıcının web sitesi yönetim hakları varsa, web sitesini yeniden kontrol ettirecek kişiyi ve zamanı kararlaştırın. Düğmeye tıklandıktan sonra, hiçbir kullanıcı bir ay içinde tekrar tıklayamaz.
Sıkça sorulan sorular
Her şeyi sildim. Kısıtlamalar ne zaman kaldırılacak?
Kısıtlamalar genellikle ihlalleri ortadan kaldırdıktan sonra iki hafta içinde kaldırılır. Robot sitede tekrar tıklama kaçırma tespit ederse, kısıtlama süresi uzatılabilir.
Sitemde tıklama kaçırma olmadığından eminim, ne yapmalıyım?
Yukarıda yayınlanan talimatları kullanarak tıklama kaçırmayı kontrol etmenizi öneririz. Kontrolden sonra, Düzelttim düğmesine tıklayın Güvenlik ve ihlaller sayfasında. Site bu teknolojiyi kullanmıyorsa, kısıtlamalar kaldırılacaktır.
Her şeyi yaptım, ama kısıtlamalar kaldırılmadı
Sitenin tıklama kaçırma için kullanılan herhangi bir program kodu içermediğinden emin olun. Kullandığınız birkaç hizmet, tıklama kaçırma sunabilir.
Düğmeye tıkladıktan sonra yeterli zamanın (iki haftadan fazla) geçtiğinden emin olun. Aksi takdirde, Yandex algoritmaları henüz sitedeki değişiklikleri izlememiş olabilir.
Ayrıca şuraya gidebilirsiniz:
