Слово «clickjacking» имеет два корня: «click» («нажатие») и «hijack» («захватить»). Таким образом, кликджекинг – это захват выполненного пользователем клика мышкой и использование его в мошеннических целях.
В конечном результате, кликая на кнопку, вы попадаете совершенно на другую страницу. Это несет в себе огромную угрозу вашей безопасности в Интернете. Именно поэтому понимание основ кликджекинга и методов его предотвращения крайне важная тема для любого пользователя сети. В этой статье мы расскажем вам о том, что собой представляет эта атака и как можно защитить себя от нее.
Суть кликджекинга
Основной метод выполнения этой атаки довольно прост и основывается на том, что можно создать невидимый элемент на веб-странце. Злоумышленники создают на сайте невидимые кнопки, которые устанавливаются поверх настоящих ссылок и картинок.
Когда вы нажимаете на обычную ссылку на веб-странице, вы, на самом деле, кликаете на невидимую кнопку, ведущую на вредоносный сайт. Это достаточно скрытный и сложный метод обмана пользователей. Вам наверняка очень интересно, что именно хакеры могут провернуть с помощью этой атаки? Украсть ваши личные данные? К сожалению, ответы на эти вопросы вас огорчат. Приготовьтесь и переходите к следующему разделу нашей статьи.
На что способны кликджекеры
Сперва может показаться, что кликджекинг не слишком опасен, однако ваши клики обладают огромной властью. Операционные системы были созданы таким образом, чтобы доверять пользователю. Если пользователь с соответствующими правами просит компьютер что-то сделать для него, у машины нет другого выбора, кроме как подчиниться ему. Кликджекеры обманывают человека, заставляя его попросить свой собственный компьютер сделать что-то, чего он не хотел. У машины нет никакой возможности отказаться от подобного рода приказа.
Если предположить, что кликджекерам удастся перенаправить ваш клик в другое место, насколько серьезны будут последствия? Как вы, наверное, уже догадались, один из распространенных типов кликджекинга включает в себя обман пользователя при загрузке и запуске программы (вместо обычной программы человек скачивает вредоносное ПО). Учитывая тот факт, что пользователь разрешает загрузку и установку вредоносной программы, она спокойно устанавливается с тем уровнем доступа к системе, который вы ей предоставили.
Кликджекеры также могут перенаправить вас на мошеннический веб-сайт, находящийся под их контролем. Например, вы попадаете на фишинговый ресурс или страницу, заполненную рекламой и вредоносными программами. Кликджекинг часто применяется для захвата ваших учетных данных для входа на различные сайты. В то время как вы думаете, что заполняете поля непосредственно на официальном сайте, ваша информация уже перехватывается мошенниками.
Перехваченные клики могут быть использованы для манипулирования вашим компьютером. Например, злоумышленники через веб-браузер могут получить доступ к вашему оборудованию, такому как веб-камера и микрофон. Когда сайт запрашивает доступ к этим устройствам, вам необходимо предоставить на это разрешение. Кликджекер перенаправит ваши клики, чтобы получить нужное разрешение, и сможет секретно записывать видео и аудио вашей личной жизни.
Наконец, самый большой ущерб, который может нанести кликджекинг, - это финансовый. Кликджекер использует эту атаку, чтобы обмануть и заставить вас разрешить денежные переводы с банковского счета прямо на его карту.
Разновидности кликджекинга
Хакеры взяли за основу базовую концепцию кликджекинга и создали несколько подтипов (форм) этой атаки.
Likejacking (лайкджекинг). Связан с захватом кликов в социальных сетях (Facebook или VK), поскольку это платформы с большой базой пользователей. Здесь ваши клики перехватываются, и, в конечном итоге, вы ставите лайки или рекомендуете страницы, о которых даже не знаете. Эти поддельные лайки и подписки используются хакерами для манипулирования алгоритмами продвижения контента или каким-то образом помогают им получить финансовую прибыль.
Cursorjacking (курсороджекинг). Включает в себя перемещение курсора пользователя в другое место обманным путем. Это может быть использовано для кражи личных данных, которые вы вводите в строку. В наши дни этот подтип атаки встречается очень редко, так как эксплойты, используемые для его выполнения, почти полностью были исправлены.
Filejacking (файлджекинг). Ваши клики перехватываются для установления соединения с файловым сервером. Это дает злоумышленнику доступ к личным файлам на вашем компьютере. Если у вас есть какие-либо конфиденциальные данные на ПК, мошенники смогут просмотреть и скачать их, а затем использовать эту информацию для шантажа.
Как выполняется атака кликджекинга
В то время как кликджекинг имеет различные формы, существует общая модель осуществления подобных атак, которая, по всей видимости, составляет основу данной хакерской практики.
Есть два основных способа:
В одной из форм кликджекинга реальный веб-сайт перехватывается невидимым HTML-элементом Iframe, который содержит незаметные для пользователя кнопки. Когда вы занимаетесь своими делами на официальном сайте, ваши клики перехватываются и используются для выполнения одного из перечисленных выше действий, например, записи видео на веб-камеру.
Другой тип кликджекинга известен как атака UI redress. Жертва перенаправляется на веб-сайт, созданный специально для осуществления мошенничества с денежными переводами. Вы можете получить электронное письмо на почту со ссылкой, ведущей на сайт, предлагающий вам какое-то вознаграждение. Когда вы открываете его, вы видите кнопку, которую следует нажать, чтобы получить желанную награду.
Как предотвратить кликджекинг
Кликджекинг нацелен на две разные стороны одновременно. Первая – это владелец законного веб-сайта, который будет скомпрометирован мошенническим невидимым фреймом. Владельцы ресурсов могут спроектировать свой сайт таким образом, чтобы он не был завернут в HTML-тег Iframe и оставался в безопасности.
Если вы не владелец сайта, а просто обычный пользователь, есть несколько способов не стать жертвой мошенников.
Во-первых, убедитесь, что ваш веб-браузер обновлен до последней версии. Многие эксплойты кликджекинга быстро исправляются разработчиками. Еще одним эффективным способом предотвращения данной атаки является использование специальных расширений в браузере. Например, No ClickJack для Google Chrome покажет вам скрытые, невидимые для вас веб-слои, если такие будут обнаружены. Таким образом, вы сможете обезопасить себя и свои личные данные.
По материалам GeekFlare.
Изображение на обложке: Damian Kidd