Bạn Tìm Gì Hôm Nay ...?
Tất cả đều có chỉ trong 1 nốt nhạc !
Nếu cần hỗ trợ chi tiết gọi 1900 9477
- Trang chủ An Ninh Mạng/ Bảo mật/ ClickFix: Cảnh báo 4 hình thức tấn công người dùng trên TikTok và smartphone
ClickFix: Cảnh báo 4 hình thức tấn công người dùng trên TikTok và smartphone
- Wednesday 28/05/2025
1. ClickFix là gì?
ClickFix là một kỹ thuật tấn công thuộc dạng UI Redressing (Giao diện đánh lừa), trong đó hành động của người dùng bị điều hướng mà không hay biết, thông qua việc thao túng các yếu tố hiển thị trên màn hình.
Khác với các hình thức tấn công kỹ thuật cao như RCE hay SQL Injection, ClickFix khai thác yếu tố con người – cụ thể là thói quen click nhanh, không kiểm tra kỹ thông tin hiển thị, và niềm tin vào UI quen thuộc.
2. Cơ chế hoạt động của ClickFix
Tấn công ClickFix có thể xảy ra theo các cách:
2.1 UI Overlay (lớp giao diện ảo)
-
Kẻ tấn công chồng lớp UI giả lên nút hoặc nội dung thật.
-
Người dùng tưởng đang click vào nút “Đóng quảng cáo”, nhưng thực tế lại kích hoạt mua hàng, cấp quyền app, hoặc mở liên kết độc hại.
2.2 Invisible Click Layer
-
Sử dụng kỹ thuật CSS để đặt iframe hoặc nút thật phía sau nút giả.
-
Nút phía trước có thể trong suốt hoặc giống UI thật → người dùng không nhận ra.
2.3 Social Engineering kết hợp UI
-
Tận dụng video hướng dẫn, hiệu ứng hấp dẫn hoặc quà tặng, dụ người dùng click vào một phần giao diện “vô hại”, nhưng thực tế hành động đó đã bị lập trình để chuyển hướng, lấy dữ liệu hoặc cài đặt ngầm.
3. ClickFix bị lợi dụng như thế nào trên TikTok và ứng dụng mobile?
Sơ đồ hoạt động của hình thức tấn công bằng clickfix trên TikTok
3.1 TikTok: ClickFix ẩn sau video và hiệu ứng
TikTok, với hàng triệu người dùng trên toàn thế giới, là mảnh đất màu mỡ cho việc khai thác kỹ thuật ClickFix. Kỹ thuật tấn công này có thể xuất hiện dưới dạng video hoặc hiệu ứng quảng cáo.
Cách khai thác:
-
Người dùng được dẫn dụ click vào link trên bio, comment, hoặc mô tả video, tưởng để tải hiệu ứng hot, nhận quà, chơi mini game…
-
Nhưng link lại mở ra trang web độc hại, có chứa iframe ngụy trang hoặc script điều hướng.
Mục tiêu của kẻ tấn công:
-
Chiếm quyền kiểm soát tài khoản (nếu click liên kết đăng nhập giả mạo).
-
Thu thập thông tin người dùng như email, số điện thoại, thông qua biểu mẫu giả.
-
Tự động chia sẻ lại để lan truyền tấn công.
📌 Ví dụ thực tế: Cuối 2023, một loạt tài khoản TikTok tại Đông Nam Á bị “tự động” chia sẻ link lạ, bắt nguồn từ chiến dịch ClickFix ẩn sau video tặng filter.
Lừa đảo thông bằng công nghệ clickfix trên TikTok
Một số mánh khóe điển hình trên TikTok
-
Video mời tải hiệu ứng hoặc filter mới: Người dùng bị dụ nhấn vào liên kết, nhưng thực tế là liên kết đó mở ra trang web chứa mã độc hoặc pop-up giả.
-
Quà tặng ảo: “Click vào link để nhận quà miễn phí” – thực tế là yêu cầu người dùng chia sẻ thông tin hoặc cấp quyền truy cập vào tài khoản TikTok.
3.2 Ứng dụng mobile: Lợi dụng quảng cáo và UI tùy chỉnh
ClickFix không chỉ xuất hiện trên TikTok mà còn tràn lan trong các app mobile, đặc biệt là:
Ứng dụng game
-
Pop-up phần thưởng chứa lớp UI giả → click vào là cấp quyền đặc biệt cho ứng dụng.
App tăng tốc điện thoại / dọn rác
-
Nút “Dọn rác” thực chất là nút mở quyền admin hoặc cài app ngầm.
App mua sắm giả danh
Ứng dụng mobile: Lợi dụng quảng cáo và UI tùy chỉnh
-
Dùng lớp giao diện giống Shopee, Lazada → người dùng nghĩ mình đang thanh toán an toàn, nhưng thật ra đang bị chuyển tiền.
4. Vì sao ClickFix đặc biệt nguy hiểm?
| Đặc điểm | Mức độ nguy hiểm |
|---|---|
| Khó nhận biết | ✅ Không cần mã độc, chỉ UI giả |
| Khai thác tâm lý | ✅ Dựa vào lòng tin vào giao diện quen thuộc |
| Đa nền tảng | ✅ Xuất hiện cả trên web, mobile, game, app |
| Khó phòng thủ nếu thiếu kiểm duyệt UI | ✅ Không phải antivirus nào cũng phát hiện |
5. ClickFix có thể gây ra hậu quả gì?
-
🧑💻 Chiếm quyền tài khoản mạng xã hội
-
💸 Kích hoạt giao dịch ngầm hoặc mua hàng không mong muốn
-
🛠 Gán quyền hệ thống cho app giả mạo
-
📸 Truy cập camera, microphone, clipboard mà không có cảnh báo
-
🔄 Tự động lan truyền cuộc tấn công đến danh bạ, bạn bè
6. Cách nhận diện và phòng chống ClickFix
Đối với người dùng:
| Hành động | Mục đích |
|---|---|
| ❌ Không click vào link không rõ ràng từ video TikTok hoặc popup app | Tránh redirect độc hại |
| ✅ Kiểm tra URL thực sự trước khi cấp quyền | Ngăn giả mạo domain |
| 🔒 Gỡ app không rõ nguồn gốc | Hạn chế cấp quyền nguy hiểm |
| 🔄 Cập nhật OS và ứng dụng thường xuyên | Vá lỗ hổng liên quan đến WebView, overlay |
Đối với lập trình viên:
| Hành động | Mục tiêu |
|---|---|
| 🧱 Áp dụng CSP, X-Frame-Options, Same-Origin Policy | Ngăn iframe nhúng độc hại |
| 🔐 Với hành vi click nhạy cảm → yêu cầu xác thực lại | Giảm nguy cơ click giả |
| 🔍 Theo dõi các hành vi click bất thường | Dùng heatmap, analytics |
| 🚫 Hạn chế quảng cáo từ bên thứ ba khó kiểm soát | Ngăn chặn nội dung độc hại bị gắn script |
7. Công cụ hỗ trợ phát hiện UI-based attacks
| Công cụ | Mục đích |
|---|---|
| UIVerify | Kiểm tra sự trùng lặp giao diện đáng ngờ |
| Mobile Security Framework (MobSF) | Phân tích hành vi app trên Android/iOS |
| OWASP Zap | Quét web UI và các hành vi redirect ẩn |
| Frida / Xposed | Phân tích runtime app để tìm hook lạ trong UI |
8. Lời kết
ClickFix là hình thức tấn công nguy hiểm nhưng ít được nhận diện vì không dùng mã độc trực tiếp mà khai thác hành vi con người. Khi nền tảng như TikTok, game mobile, ứng dụng shopping tiếp tục mở rộng, kỹ thuật này sẽ càng tinh vi và phổ biến hơn.
🎯 Hãy luôn cảnh giác với mọi cú click – vì không phải click nào cũng vô hại.
Bạn có thể tham khảo thêm 1 số bài viết liên quan đến bảo mật, Server và các bài viết hay khác tại đây
======================================================
P.A Việt Nam cung cấp đa dạng các cấu hình Máy Chủ Ảo và Máy Chủ Riêng
Cloud Server
Cloud Server Pro
Máy Chủ Riêng
Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/
