В цифровую эпоху, кража личной информации может принести огромные финансовые потери. Мошенники сегодня умеют по-разному красть информацию пользователей из интернета. Одним из часто практикуемых способов обмана является кликджекинг (от англ. Clickjacking). Изначально термин «Кликджекинг» ввели специалисты в IT-безопасности Робер Хансен и Еремия Гроссман. Они нашли уязвимость нулевого дня линейке продуктов Adobe и в браузерах от Microsoft и Mozilla, из-за которой злоумышленник мог получить доступ к компьютеру жертвы. Причем, кроме целенаправленной установки на портал такого метода воровства данных, он может быть установлен без ведома владельца сайта.
В чем суть?
Механизм кликджекинга представляет из себя способ получения доступа к конфиденциальной информации или компьютеру человека, посредством помещения поверх видимой страницы невидимого слоя, в который загружается ссылка на вредоносную страницу. При этом она маскируется от пользователя, находясь поверх элементов управления или любых других мест, куда вероятнее всего кликнет человек. Неподозревающий пользователь нажимает на кнопку или ссылку и при этом срабатывает код злоумышленника (иногда вредоносный слой располагается на всей странице сразу, и тогда куда бы ни кликнул пользователь в любом случае сработает скрипт). Результатом могут стать различные действия: подписка на страницу в соцсетях, кражи паролей и логинов, покупки в интернет-магазинах и т.п.
Приведем пример: после попытки включения плеера с видео, срабатывает скрипт и аккаунт человека в социальной сети добавляет в друзья злоумышленника. От него начинает идти спам, реклама и даже звонки. Естественно, это не понравится никому и многие сервисы борются с этим.
Как защититься?
Конечно, 100% защиты от кликджекинга не существует. Однако можно повысить шансы не попасться на эту уловку с помощью таких мер:
- Следить за тем, чтобы к вам на сайт не могли встроить вредоносный код.
- Регулярно обновлять приложения и плагины. Это может обезопасить от встраивания кода в устаревшую версию без актуальной защиты.
- Кликать на неизвестные ссылки и скачивать/устанавливать подозрительные программы. Это основа интернет-гигиены.
- Регулярно обновлять браузеры и плагины для них. Очень важно получать своевременные обновления для Flash Player, т.к. мошенники часто используют ее для своих махинаций.
- Установить специальные расширения для браузера, которые помогут в борьбе с кликджекингом.
Как борются другие сервисы?
Многие поисковые системы считают кликджекинг вредоносной практикой и борются с сайтами, которые используют его, путем понижения их позиций в поисковой выдаче. Специалисты Яндекса считают, что заработок с помощью кликджекинга не приносит никакой пользы пользователям, а только наносит вред. При этом, кроме понижения в позиции, такие сайты могут даже банить. Так что будьте осторожны и используйте на своём портале кликджекинг намеренно и не позволяйте сделать это мошенникам.
