Клікджекінг: непереможний шкідливий код, який “краде” дані користувачів і заражає ПК

Кібербезпека
6 хв. читання
Клікджекінг: непереможний шкідливий код, який "краде" дані користувачів і заражає ПК

Клікджекінг привернув увагу експертів з кібербезпеки більше 15 років тому, і з тих пір продовжує користуватися великою популярністю у кіберзлочинців. Незважаючи на постійне вдосконалення механізмів захисту від цієї загрози, розробниками браузерів знищити її не вдається.

Зміст

Клікджекінг (clickjacking) – це тип кібератаки, при якій зловмисник обманом змушує користувача натискати на елементи веб-сторінки, які приховані або замасковані, змушуючи користувача виконувати дії, які він не планував. Простіше кажучи, це тип кібератаки, при якій зловмисник розміщує невидимий шар із кнопками або посиланнями поверх легального веб-сайту. Жертва, не знаючи про це, натискає на невидимий елемент, що призводить до небажаних дій, наприклад:

  • Відкриття шкідливого веб-сайту;
  • Завантаження шкідливого програмного забезпечення;
  • Розкриття особистих даних;
  • Вчинення фінансових транзакцій;
  • Зміна налаштувань комп’ютера.

Команда дослідників, що складається з фахівців Microsoft і вчених китайського, південнокорейського та американського університету, проаналізувала 250 тисяч сайтів зі списку Alexa і виявила три техніки, які зараз використовуються кіберзлочинцями для перехоплення кліків.

В ході дослідження під назвою “All Your Clicks Belong to Me: Investigating Click Interception on the Web“(Всі ваші кліки належать мені: Дослідження перехоплення кліків у Мережі) фахівці створили фреймворк Observer для моніторингу перехоплення кліків.

- Advertisement -

На 613 з 250 тисяч вивчених сайтів дослідники виявили 437 сторонніх скриптів для перехоплення кліків. Загальна аудиторія цих сайтів – це 43 мільйони користувачів в день.

Сторонні скрипти обманом змушують жертв натискати на елементи сайту, або виглядають як оригінальний контент, або непомітні і розміщені поверх оригінального контенту. Деякі скрипти перехоплюють кліки з метою монетизації, відзначили дослідники. Так, 36% від 3251 унікальних URL-адрес для перехоплення кліків пов’язані з рекламою – головним способом монетизації в Мережі. Крім монетизації, кіберзлочинці використовують клікджекінг для зараження систем користувачів шкідливим ПЗ.

У список технік клікджекінга входить перехоплення гіперпосилань (за допомогою сторонніх скриптів, які взаємодіють з оригінальними URL-адресами, або величезних посилань, що закривають більшу частину сторінки), додавання в елемент сторінки слухача подій, пов’язаного з навігацією, а також різні візуальні техніки (наприклад, копіювання оригінального елемента або використання прозорих шарів).

Як працює клікджекінг?

1. Створення обманного інтерфейсу: Зловмисник створює веб-сторінку з привабливим вмістом, що заманює користувачів.

2. Вставка цільової сторінки в iframe: На цій сторінці зловмисник вставляє iframe, який містить цільову сторінку (наприклад, сторінку входу в соціальну мережу або платіжну систему).

3. Маскування iframe: iframe робиться прозорим або прихованим під іншим елементом інтерфейсу, таким як кнопка, картинка або посилання.

4. Залучення користувача: Коли користувач взаємодіє з видимими елементами сторінки (наприклад, натискає кнопку “Play” на відео), насправді він натискає на прихований елемент у прозорому iframe.

5. Виконання небажаної дії: Ця дія може бути шкідливою або небажаною, наприклад, здійснення покупки, надання доступу до облікових записів або виконання інших небезпечних операцій.

- Advertisement -

Читайте також

Шанувальники кіно стають мішенню шкідливого ПЗ перед Оскаром-2026
Шанувальники кіно стають мішенню шкідливого ПЗ перед Оскаром-2026
«Killer Apps»: як популярні ШІ-чатботи допомагали підліткам планувати масові вбивства
Meta вводить нові інструменти захисту від шахрайства для Facebook та WhatsApp
ШІ навчився деанону: як великі мовні моделі розкривають особистість у мережі
ШІ-чатботи підштовхують користувачів до нелегальних азартних ігор — розслідування

Приклади клікджекінгу

  • Підроблені кнопки “Like”: Користувач думає, що натискає кнопку “Play” на відео, а насправді натискає кнопку “Like” для сторінки в соціальній мережі.
  • Підроблені посилання: Користувач думає, що натискає посилання на цікаву статтю, але насправді запускає завантаження шкідливого ПЗ.
  • Підроблені форми: Користувач думає, що вводить дані в безпечну форму, але насправді передає їх зловмиснику.

Ось кілька ознак того, що ви можете стати жертвою клікджекінгу:

  • Незвичайні посилання або кнопки: Якщо ви бачите посилання або кнопки, які виглядають не так, як інші посилання на веб-сайті, або якщо вони розміщені в незвичайному місці, можливо, це клікджекінг.
  • Надмірний тиск на дії: Якщо веб-сайт намагається змусити вас негайно натиснути на щось, наприклад, пропонуючи “безкоштовну” пропозицію або погрожуючи штрафом, це може бути клікджекінг.
  • Спливаючі вікна або перенаправлення: Якщо ви натискаєте на посилання і раптом з’являється спливаюче вікно або ви перенаправляєтеся на інший веб-сайт, це може бути клікджекінг.

Як захиститися від клікджекінгу

  • Будьте обережні з тим, на що ви натискаєте: Не натискайте на посилання або кнопки, якщо ви не впевнені, куди вони вас приведуть.
  • Наведіть курсор миші на посилання: Перш ніж натиснути на посилання, наведіть на нього курсор миші, щоб побачити URL-адресу. Переконайтеся, що URL-адреса відповідає тому, що ви очікуєте.
  • Використовуйте браузер з розширеннями для захисту: Деякі браузери мають розширення, які можуть допомогти блокувати клікджекінг.
  • Обмеження JavaScript: Вимкнення JavaScript або використання розширень, таких як NoScript, які контролюють виконання скриптів.
  • Оновлюйте програмне забезпечення: Переконайтеся, що ваше програмне забезпечення, включаючи ваш браузер і операційну систему, оновлено до останньої версії.
  • Встановіть антивірусне програмне забезпечення: Антивірусне програмне забезпечення може допомогти захистити вас від шкідливого програмного забезпечення, яке може бути завантажене в результаті клікджекінгу.

Клікджекінг – це серйозна загроза, яка може призвести до небажаних і потенційно небезпечних дій користувача. Захиститися від нього можна шляхом використання сучасних веб-технологій та дотримання обережності при перегляді веб-сторінок. Пам’ятайте, що пильність – це найкращий захист від клікджекінгу.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

ТЕМИ:
Поділитися
Попередня стаття Навіщо проводять аудит рекламних кампаній? Навіщо проводять аудит рекламних кампаній?
Наступна стаття Розумна покупка: iPad mini з преміальною якістю за доступною ціною Розумна покупка: iPad mini з преміальною якістю за доступною ціною

В тренді

Як перевірити шифрування в Google Повідомленнях
Як перевірити шифрування в Google Повідомленнях
Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ
Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ
OpenAI випустила Codex Security для виявлення вразливостей у корпоративному програмному забезпеченні
OpenAI випустила Codex Security для виявлення вразливостей у корпоративному програмному забезпеченні
MacBook Neo доводить: Microsoft мала правильну ідею, але погану реалізацію
MacBook Neo доводить: Microsoft мала правильну ідею, але погану реалізацію
Галюцинації ШІ — не баг, а особливість: як з ними працювати
Галюцинації ШІ — не баг, а особливість: як з ними працювати

Рекомендуємо