点击劫持（Clickjacking） 利用视觉欺骗，诱导用户点击看似无害的链接，实则暗藏木马病毒、窃取账户凭据，甚至完全接管在线账户。更糟糕的是，这类攻击还能绕过许多安全机制，但你仍然可以采取措施来保护自己。

什么是点击劫持？

点击劫持（Clickjacking），也称 UI 重定向攻击（UI Redress Attack） 或 用户界面覆盖攻击（UI Overlay Attack），是一种利用网页界面伪装来欺骗用户点击隐藏内容的攻击方式。

与传统的网站仿冒（Spoofing） 不同，点击劫持并不会引导受害者进入伪造的网站，而是让其访问真实的网页，但攻击者会在该网页表面覆盖一层透明的恶意层，使用 CSS 和 iframe 技术隐藏真实的交互界面。

这种透明覆盖层 让用户误以为自己在进行正常操作，例如播放视频、点赞、填写表单，然而每一次点击实际上都是在执行攻击者设定的指令，如：

• 劫持账户：点击无意间授权攻击者访问你的社交媒体或电商账户。
• 自动下载恶意软件：点击表面上的无害按钮，实则触发后台恶意代码执行下载操作。
• 远程控制设备：在后台植入远程访问工具，使攻击者可以远程操控受害者的设备。

点击劫持的不同形式

1. 点赞劫持（Likejacking）：黑客通过诱导用户点击“喜欢”按钮，让受害者不知不觉地点赞某些社交媒体内容。
2. 光标劫持（Cursor-jacking）：伪造鼠标光标，使用户实际点击的位置与预期位置不符。
3. 双击劫持（Double Clickjacking）：更高级的点击劫持手法，专门绕过安全机制，导致账户被接管。

双击劫持如何绕过安全防护？

尽管现代浏览器已经加入点击劫持防护机制，但双击劫持（Double Clickjacking） 却能巧妙绕过这些防御，利用双击的时间间隔 诱导用户执行未经授权的操作。

在双击劫持攻击中，攻击者会设计一个引导操作，例如：

1. 用户进入一个恶意页面，页面会弹出一个伪装的交互提示（如 CAPTCHA 验证、双击确认）。
2. 第一次点击 关闭或改变界面，使隐藏的恶意按钮出现在鼠标下方。
3. 第二次点击 误触授权按钮，导致：
   • 账户被连接到攻击者控制的 OAuth 应用。
   • 恶意插件获得浏览器访问权限。
   • 受害者不知情地确认了多因素身份验证（MFA），让攻击者可以绕过安全验证。

双击劫持的攻击方式非常隐蔽，即便是资深用户也可能在无意间“自愿”泄露账户权限。

如何防范点击劫持攻击？

虽然点击劫持很难察觉，但你可以采取以下措施来降低风险：

🔹 保持系统与浏览器更新：

• 浏览器厂商会定期发布安全补丁 来修复漏洞，及时更新能有效阻止大部分点击劫持攻击。

🔹 警惕需要“双击”确认的网站：

• 如果某个网页要求你双击某个按钮才能执行操作，请提高警惕，避免掉入陷阱。

🔹 仔细检查网站 URL：

• 诈骗网站可能会使用域名劫持（Typosquatting） 技术，在域名中添加多余字母或特殊符号（如 [ama-zon.com](http://ama-zon.com/)），诱导用户误以为是正版网站。

🔹 避免点击来源不明的链接：

• 若收到陌生短信、邮件或社交媒体消息 里的可疑链接，建议使用 网站安全检测工具 进行核查。

攻击者往往利用用户的信任和习惯操作来发动攻击，所以在点击任何内容前，务必三思，这样才能最大限度地保护自己免受点击劫持的侵害。