Миша в пастці. Що таке клікджекінг та як захистити свої кліки

Слово "clickjacking" має два корені: "click" ("натискання") і "hijack" ("захопити"). Таким чином, клікджекінг – це захоплення виконаного користувачем кліку мишкою та використання його в шахрайських цілях.

Зрештою, натискаючи на кнопку, ви потрапляєте зовсім на іншу сторінку. Це несе величезну загрозу вашій безпеці в Інтернеті. Саме тому розуміння основ клікджекінгу та методів його запобігання украй важлива тема для будь-якого користувача мережі. У цій статті ми розповімо вам про те, що являє собою ця атака і як можна захистити себе від неї.

Суть клікджекінгу

Основний метод виконання цієї атаки досить простий і полягає в тому, що можна створити невидимий елемент на веб-сторінці. Зловмисники створюють на сайті невидимі кнопки, які встановлюються поверх справжніх посилань та картинок.

Коли ви натискаєте на звичайне посилання на веб-сторінці, ви насправді клацаєте на невидиму кнопку, що веде на шкідливий сайт. Це досить потайливий і складний метод обману користувачів. Вам, напевно, дуже цікаво, що саме хакери можуть провернути за допомогою цієї атаки? Вкрасти ваші особисті дані? На жаль, відповіді на ці запитання вас засмутять. Приготуйтеся та переходьте до наступного розділу нашої статті.

На що здатні клікджекери

Спершу може здатися, що клікджекінг не надто небезпечний, проте ваші кліки мають величезну владу. Операційні системи було створено в такий спосіб, щоб довіряти користувачеві. Якщо користувач з відповідними правами просить комп’ютер щось зробити для нього, машина не має іншого вибору, крім як підкоритися йому. Клікджекери обманюють людину, змушуючи її попросити свій власний комп’ютер зробити щось, чого не хотів. У машини немає ніякої можливості відмовитися від такого наказу.

Якщо припустити, що клікджекерам вдасться перенаправити ваш клік в інше місце, наскільки серйозними будуть наслідки? Як ви, напевно, вже здогадалися, один з поширених типів клікджекінгу включає обман користувача при завантаженні та запуску програми (замість звичайної програми людина завантажує шкідливе ПЗ). Враховуючи той факт, що користувач дозволяє завантаження та встановлення шкідливої ​​програми, вона спокійно встановлюється з тим рівнем доступу до системи, який ви надали.

Клікджекери також можуть перенаправити вас на шахрайський сайт, що знаходиться під їх контролем. Наприклад, ви потрапляєте на фішинговий ресурс або сторінку, заповнену рекламою та шкідливими програмами. Клікджекінг часто застосовується для захоплення ваших облікових даних для входу на різні сайти. Поки ви думаєте, що заповнюєте поля безпосередньо на офіційному сайті, ваша інформація вже перехоплюється шахраями.

Перехоплені кліки можуть бути використані для маніпулювання вашим комп’ютером. Наприклад, зловмисники через веб-браузер можуть отримати доступ до обладнання, такого як веб-камера і мікрофон. Коли сайт запитує доступ до цих пристроїв, вам необхідно надати на це дозвіл. Клікджекер перенаправить ваші кліки, щоб отримати потрібну роздільну здатність, і зможе секретно записувати відео та аудіо вашого особистого життя.

Нарешті, найбільша шкода, яку може завдати клікджекінг, – це фінансовий. Клікджекер використовує цю атаку, щоб обдурити та змусити вас дозволити грошові перекази з банківського рахунку прямо на його картку.

Різновиди клікджекінгу

Хакери взяли за основу базову концепцію клікджекінгу та створили кілька підтипів (форм) цієї атаки.

• Likejacking (лайкджекінг). Пов’язаний із захопленням кліків у соціальних мережах (Facebook або VK), оскільки це платформи з великою базою користувачів. Тут ваші кліки перехоплюються, і зрештою, ви ставите лайки або рекомендуєте сторінки, про які навіть не знаєте. Ці підроблені лайки та підписки використовуються хакерами для маніпулювання алгоритмами просування контенту або якимось чином допомагають отримати фінансовий прибуток.
• Cursorjacking (курсороджекінг). Включає переміщення курсору користувача в інше місце обманним шляхом. Це може бути використане для крадіжки особистих даних, які ви вводите в рядок. У наші дні цей підтип атаки зустрічається дуже рідко, оскільки експлойти, що використовуються для виконання, майже повністю були виправлені.
• Filejacking (файлджекінг). Ваші кліки перехоплюються для встановлення з’єднання з файловим сервером. Це дає зловмиснику доступ до особистих файлів на вашому комп’ютері. Якщо у вас є якісь конфіденційні дані на ПК, шахраї зможуть переглянути та завантажити їх, а потім використовувати цю інформацію для шантажу.

Як виконується атака клікджекінгу

У той час як клікджекінг має різні форми, існує загальна модель здійснення подібних атак, яка, як видно, становить основу даної хакерської практики.

Є два основні способи:

1. В одній із форм клікджекінгу реальний веб-сайт перехоплюється невидимим HTML-елементом Iframe, що містить непомітні для користувача кнопки. Коли ви займаєтеся своїми справами на офіційному сайті, ваші кліки перехоплюються і використовуються для виконання однієї з наведених вище дій, наприклад, запису відео на веб-камеру.
2. Інший тип клікджекінгу відомий як атака UI redress. Жертва перенаправляється на веб-сайт, створений спеціально для здійснення шахрайства з грошовими переказами. Ви можете отримати електронний лист на пошту з посиланням на сайт, що пропонує вам якусь винагороду. Коли ви його відкриваєте, ви бачите кнопку, яку слід натиснути, щоб отримати бажану нагороду.

Як запобігти клікджекінгу

Клікджекінг націлений на дві різні сторони одночасно. Перша – це власник законного веб-сайту, який буде скомпрометований шахрайським невидимим кадром. Власники ресурсів можуть спроектувати свій сайт таким чином, щоб він не був загорнутий у HTML-тег Iframe і залишався у безпеці.

Якщо ви не власник сайту, а просто звичайний користувач, є кілька способів не стати жертвою шахраїв.

По-перше, переконайтеся, що ваш веб-браузер оновлено до останньої версії. Багато експлойтів клікджекінгу швидко виправляються розробниками. Ще одним ефективним способом запобігання цій атакі є використання спеціальних розширень у браузері. Наприклад, No ClickJack для Google Chrome покаже вам приховані, невидимі для вас веб-шари, якщо такі будуть виявлені. Таким чином, ви зможете убезпечити себе та свої особисті дані.