Слово «clickjacking» имеет два корня: «click» («нажатие») и «hijack» («захватить»). Таким образом, кликджекинг – это захват выполненного пользователем клика мышкой и использование его в мошеннических целях.
В конечном результате, кликая на кнопку, вы попадаете совершенно на другую страницу. Это несет в себе огромную угрозу вашей безопасности в Интернете. Именно поэтому понимание основ кликджекинга и методов его предотвращения крайне важная тема для любого пользователя сети. В этой статье мы расскажем вам о том, что собой представляет эта атака и как можно защитить себя от нее.
Суть кликджекинга
Основной метод выполнения этой атаки довольно прост и основывается на том, что можно создать невидимый элемент на веб-странце . Злоумышленники создают на сайте невидимые кнопки, которые устанавливаются поверх настоящих ссылок и картинок.
Когда вы нажимаете на обычную ссылку на веб-странице, вы, на самом деле, кликаете на невидимую кнопку, ведущую на вредоносный сайт. Это достаточно скрытный и сложный метод обмана пользователей. Вам наверняка очень интересно, что именно хакеры могут провернуть с помощью этой атаки? Украсть ваши личные данные? К сожалению, ответы на эти вопросы вас огорчат. Приготовьтесь и переходите к следующему разделу нашей статьи.
На что способны кликджекеры
Сперва может показаться, что кликджекинг не слишком опасен, однако ваши клики обладают огромной властью . Операционные системы были созданы таким образом, чтобы доверять пользователю. Если пользователь с соответствующими правами просит компьютер что-то сделать для него, у машины нет другого выбора, кроме как подчиниться ему. Кликджекеры обманывают человека, заставляя его попросить свой собственный компьютер сделать что-то, чего он не хотел. У машины нет никакой возможности отказаться от подобного рода приказа.
Если предположить, что кликджекерам удастся перенаправить ваш клик в другое место, насколько серьезны будут последствия? Как вы, наверное, уже догадались, один из распространенных типов кликджекинга включает в себя обман пользователя при загрузке и запуске программы (вместо обычной программы человек скачивает вредоносное ПО). Учитывая тот факт, что пользователь разрешает загрузку и установку вредоносной программы , она спокойно устанавливается с тем уровнем доступа к системе, который вы ей предоставили.
Кликджекеры также могут перенаправить вас на мошеннический веб-сайт , находящийся под их контролем. Например, вы попадаете на фишинговый ресурс или страницу, заполненную рекламой и вредоносными программами. Кликджекинг часто применяется для захвата ваших учетных данных для входа на различные сайты . В то время как вы думаете, что заполняете поля непосредственно на официальном сайте, ваша информация уже перехватывается мошенниками.
Перехваченные клики могут быть использованы для манипулирования вашим компьютером . Например, злоумышленники через веб-браузер могут получить доступ к вашему оборудованию, такому как веб-камера и микрофон. Когда сайт запрашивает доступ к этим устройствам, вам необходимо предоставить на это разрешение. Кликджекер перенаправит ваши клики, чтобы получить нужное разрешение, и сможет секретно записывать видео и аудио вашей личной жизни.
Наконец, самый большой ущерб, который может нанести кликджекинг, - это финансовый . Кликджекер использует эту атаку, чтобы обмануть и заставить вас разрешить денежные переводы с банковского счета прямо на его карту.
Разновидности кликджекинга
Хакеры взяли за основу базовую концепцию кликджекинга и создали несколько подтипов (форм) этой атаки.
- Likejacking (лайкджекинг). Связан с захватом кликов в социальных сетях (Facebook или VK), поскольку это платформы с большой базой пользователей. Здесь ваши клики перехватываются, и, в конечном итоге, вы ставите лайки или рекомендуете страницы, о которых даже не знаете. Эти поддельные лайки и подписки используются хакерами для манипулирования алгоритмами продвижения контента или каким-то образом помогают им получить финансовую прибыль.
- Cursorjacking (курсороджекинг). Включает в себя перемещение курсора пользователя в другое место обманным путем. Это может быть использовано для кражи личных данных, которые вы вводите в строку. В наши дни этот подтип атаки встречается очень редко, так как эксплойты, используемые для его выполнения, почти полностью были исправлены.
- Filejacking (файлджекинг). Ваши клики перехватываются для установления соединения с файловым сервером. Это дает злоумышленнику доступ к личным файлам на вашем компьютере. Если у вас есть какие-либо конфиденциальные данные на ПК, мошенники смогут просмотреть и скачать их, а затем использовать эту информацию для шантажа.
Как выполняется атака кликджекинга
В то время как кликджекинг имеет различные формы, существует общая модель осуществления подобных атак , которая, по всей видимости, составляет основу данной хакерской практики.
Есть два основных способа:
- В одной из форм кликджекинга реальный веб-сайт перехватывается невидимым HTML-элементом Iframe, который содержит незаметные для пользователя кнопки. Когда вы занимаетесь своими делами на официальном сайте, ваши клики перехватываются и используются для выполнения одного из перечисленных выше действий, например, записи видео на веб-камеру.
- Другой тип кликджекинга известен как атака UI redress . Жертва перенаправляется на веб-сайт, созданный специально для осуществления мошенничества с денежными переводами. Вы можете получить электронное письмо на почту со ссылкой, ведущей на сайт, предлагающий вам какое-то вознаграждение. Когда вы открываете его, вы видите кнопку, которую следует нажать, чтобы получить желанную награду.
Как предотвратить кликджекинг
Кликджекинг нацелен на две разные стороны одновременно. Первая – это владелец законного веб-сайта , который будет скомпрометирован мошенническим невидимым фреймом. Владельцы ресурсов могут спроектировать свой сайт таким образом, чтобы он не был завернут в HTML-тег Iframe и оставался в безопасности.
Если вы не владелец сайта, а просто обычный пользователь , есть несколько способов не стать жертвой мошенников.
Во-первых, убедитесь, что ваш веб-браузер обновлен до последней версии. Многие эксплойты кликджекинга быстро исправляются разработчиками. Еще одним эффективным способом предотвращения данной атаки является использование специальных расширений в браузере. Например, No ClickJack для Google Chrome покажет вам скрытые, невидимые для вас веб-слои, если такие будут обнаружены. Таким образом, вы сможете обезопасить себя и свои личные данные.
По материалам GeekFlare.
Изображение на обложке: Damian Kidd
Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.
