Клікджекінг привернув увагу ІБ-експертів більш десяти років тому, і з тих пір продовжує користуватися великою популярністю у кіберзлочинців. Незважаючи на постійне вдосконалення механізмів захисту від цієї загрози, розробниками браузерів знищити її не вдається.
Команда дослідників, що складається з фахівців Microsoft і вчених китайського, південнокорейського та американського університету, проаналізувала 250 тисяч сайтів зі списку Alexa і виявила три техніки, які зараз використовуються кіберзлочинцями для перехоплення кліків.
В ході дослідження під назвою “All Your Clicks Belong to Me: Investigating Click Interception on the Web (“Всі ваші кліки належать мені: Дослідження перехоплення кліків у Мережі”) фахівці створили фреймворк Observer для моніторингу перехоплення кліків.
На 613 з 250 тисяч вивчених сайтів дослідники виявили 437 сторонніх скриптів для перехоплення кліків. Загальна аудиторія цих сайтів – це 43 мільйони користувачів в день.
Сторонні скрипти обманом змушують жертв натискати на елементи сайту, або виглядають як оригінальний контент, або непомітні і розміщені поверх оригінального контенту. Деякі скрипти перехоплюють кліки з метою монетизації, відзначили дослідники. Так, 36% від 3251 унікальних URL-адрес для перехоплення кліків пов’язані з рекламою – головним способом монетизації в Мережі. Крім монетизації, кіберзлочинці використовують клікджекінг для зараження систем користувачів шкідливим ПЗ.
У список технік клікджекінга входить перехоплення гіперпосилань (за допомогою сторонніх скриптів, які взаємодіють з оригінальними URL-адресами, або величезних посилань, що закривають більшу частину сторінки), додавання в елемент сторінки слухача подій, пов’язаного з навігацією, а також різні візуальні техніки (наприклад, копіювання оригінального елемента або використання прозорих шарів).
До речі, дослідники з компанії Palo Alto Networks виявили 34 мільйони уразливостей в великих хмарних сервісах. За словами фахівців, проблеми з’явилися не з вини провайдерів, а через додатки, які розгортають клієнти в хмарі.
Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.
Також компанія Microsoft заблокувала установку оновлень для Windows 7 і Windows Server 2008 R2, підписаних за допомогою сертифіката SHA-2, на пристроях із встановленими антивірусними продуктами Symantec або Norton.
Стало відомо, що встановити шосту бета-версію iOS 13 можуть усі без винятку користувачі, які пройшли реєстрацію у програмі раннього доступу і встановили на свої пристрої активні бета-профілі. Якщо Ви дотрималися цих вимог, то за стабільного Wi-Fi-з’єднання або за допомогою iTunes оновлення буде завантажено на Ваш смартфон.
Окрім цього, більшість мобільних дзвінків у всьому світі здійснюються за стандартом Global System for Mobile Communications. Дослідники виявили недолік стандарту GSM, який дозволяє хакерам слухати Ваші дзвінки.
Microsoft не заперечує, що працівники компанії та підрядні організації можуть прослуховувати аудіозаписи розмов Skype і запити Cortana. Як видалити свою конфіденційну інформацію із серверів Microsft, йдеться у статті.
Зверніть увагу, в браузері Chrome з’явиться функція перевірки паролів, яка значно підвищить безпеку користування. Поки що нововведення призначено лише для настільної версії, але у майбутньому може бути перенесено і до мобільної.
Дослідник Педро Кабрера (Pedro Cabrera) продемонстрував на конференції Defcon наскільки уразливі для зламу сучасні Smart TV, що використовують підключений до Інтернету стандарт HbbTV.
Дослідники з Netflix і Google виявили низку багів у кількох реалізаціях протоколу HTTP/2. Експлуатація яких дозволяє зловмисникам викликати відмову в обслуговуванні на не оновлених серверах. Згідно зі статистикою, це 40% від усіх web-сайтів в Інтернеті.
