Клікджекінг привернув увагу експертів з кібербезпеки більше 15 років тому, і з тих пір продовжує користуватися великою популярністю у кіберзлочинців. Незважаючи на постійне вдосконалення механізмів захисту від цієї загрози, розробниками браузерів знищити її не вдається.
Клікджекінг (clickjacking) – це тип кібератаки, при якій зловмисник обманом змушує користувача натискати на елементи веб-сторінки, які приховані або замасковані, змушуючи користувача виконувати дії, які він не планував. Простіше кажучи, це тип кібератаки, при якій зловмисник розміщує невидимий шар із кнопками або посиланнями поверх легального веб-сайту. Жертва, не знаючи про це, натискає на невидимий елемент, що призводить до небажаних дій, наприклад:
- Відкриття шкідливого веб-сайту;
- Завантаження шкідливого програмного забезпечення;
- Розкриття особистих даних;
- Вчинення фінансових транзакцій;
- Зміна налаштувань комп’ютера.
Команда дослідників, що складається з фахівців Microsoft і вчених китайського, південнокорейського та американського університету, проаналізувала 250 тисяч сайтів зі списку Alexa і виявила три техніки, які зараз використовуються кіберзлочинцями для перехоплення кліків.
В ході дослідження під назвою “All Your Clicks Belong to Me: Investigating Click Interception on the Web“(Всі ваші кліки належать мені: Дослідження перехоплення кліків у Мережі) фахівці створили фреймворк Observer для моніторингу перехоплення кліків.
На 613 з 250 тисяч вивчених сайтів дослідники виявили 437 сторонніх скриптів для перехоплення кліків. Загальна аудиторія цих сайтів – це 43 мільйони користувачів в день.
Сторонні скрипти обманом змушують жертв натискати на елементи сайту, або виглядають як оригінальний контент, або непомітні і розміщені поверх оригінального контенту. Деякі скрипти перехоплюють кліки з метою монетизації, відзначили дослідники. Так, 36% від 3251 унікальних URL-адрес для перехоплення кліків пов’язані з рекламою – головним способом монетизації в Мережі. Крім монетизації, кіберзлочинці використовують клікджекінг для зараження систем користувачів шкідливим ПЗ.
У список технік клікджекінга входить перехоплення гіперпосилань (за допомогою сторонніх скриптів, які взаємодіють з оригінальними URL-адресами, або величезних посилань, що закривають більшу частину сторінки), додавання в елемент сторінки слухача подій, пов’язаного з навігацією, а також різні візуальні техніки (наприклад, копіювання оригінального елемента або використання прозорих шарів).
Як працює клікджекінг?
1. Створення обманного інтерфейсу: Зловмисник створює веб-сторінку з привабливим вмістом, що заманює користувачів.
2. Вставка цільової сторінки в iframe: На цій сторінці зловмисник вставляє iframe, який містить цільову сторінку (наприклад, сторінку входу в соціальну мережу або платіжну систему).
3. Маскування iframe: iframe робиться прозорим або прихованим під іншим елементом інтерфейсу, таким як кнопка, картинка або посилання.
4. Залучення користувача: Коли користувач взаємодіє з видимими елементами сторінки (наприклад, натискає кнопку “Play” на відео), насправді він натискає на прихований елемент у прозорому iframe.
5. Виконання небажаної дії: Ця дія може бути шкідливою або небажаною, наприклад, здійснення покупки, надання доступу до облікових записів або виконання інших небезпечних операцій.
Читайте також
Приклади клікджекінгу
- Підроблені кнопки “Like”: Користувач думає, що натискає кнопку “Play” на відео, а насправді натискає кнопку “Like” для сторінки в соціальній мережі.
- Підроблені посилання: Користувач думає, що натискає посилання на цікаву статтю, але насправді запускає завантаження шкідливого ПЗ.
- Підроблені форми: Користувач думає, що вводить дані в безпечну форму, але насправді передає їх зловмиснику.
Ось кілька ознак того, що ви можете стати жертвою клікджекінгу:
- Незвичайні посилання або кнопки: Якщо ви бачите посилання або кнопки, які виглядають не так, як інші посилання на веб-сайті, або якщо вони розміщені в незвичайному місці, можливо, це клікджекінг.
- Надмірний тиск на дії: Якщо веб-сайт намагається змусити вас негайно натиснути на щось, наприклад, пропонуючи “безкоштовну” пропозицію або погрожуючи штрафом, це може бути клікджекінг.
- Спливаючі вікна або перенаправлення: Якщо ви натискаєте на посилання і раптом з’являється спливаюче вікно або ви перенаправляєтеся на інший веб-сайт, це може бути клікджекінг.
Як захиститися від клікджекінгу
- Будьте обережні з тим, на що ви натискаєте: Не натискайте на посилання або кнопки, якщо ви не впевнені, куди вони вас приведуть.
- Наведіть курсор миші на посилання: Перш ніж натиснути на посилання, наведіть на нього курсор миші, щоб побачити URL-адресу. Переконайтеся, що URL-адреса відповідає тому, що ви очікуєте.
- Використовуйте браузер з розширеннями для захисту: Деякі браузери мають розширення, які можуть допомогти блокувати клікджекінг.
- Обмеження JavaScript: Вимкнення JavaScript або використання розширень, таких як NoScript, які контролюють виконання скриптів.
- Оновлюйте програмне забезпечення: Переконайтеся, що ваше програмне забезпечення, включаючи ваш браузер і операційну систему, оновлено до останньої версії.
- Встановіть антивірусне програмне забезпечення: Антивірусне програмне забезпечення може допомогти захистити вас від шкідливого програмного забезпечення, яке може бути завантажене в результаті клікджекінгу.
Клікджекінг – це серйозна загроза, яка може призвести до небажаних і потенційно небезпечних дій користувача. Захиститися від нього можна шляхом використання сучасних веб-технологій та дотримання обережності при перегляді веб-сторінок. Пам’ятайте, що пильність – це найкращий захист від клікджекінгу.
