Кликджекинг

СпецНаз (специальные названия)

добавить в избранное

Кликджекинг

Прочитали: 12770 Комментариев: 61 Рейтинг: 299

21 июня 2016

Доверяете ли вы своей компьютерной мыши? А ведь нажимая на кнопку или ссылку на каком-либо сайте, вы можете столкнуться с таким явлением, как кликджекинг.

Кликджекинг (англ. Clickjacking, «перехват щелчка мышью») — технология кибермошенничества, позволяющая злоумышленнику выполнять различные мошеннические действия при помощи невидимого слоя, расположенного поверх отображаемой в браузере страницы. Именно в этот слой загружаются нужные преступникам объекты (или только один управляющий элемент, например, кнопка или ссылка), а нажатие на видимую кнопку или ссылку приводит к выполнению действия, требуемого злоумышленникам. Например, к подписке на платную услугу, совершению покупки в интернет-магазине и даже к потере конфиденциальной информации. Невидимые элементы, внедряемые преступниками в веб-страницы, могут также двигаться вслед за курсором – в этом случае любое нажатие на странице приводит к выполнению какого-либо действия на внешнем сайте – и пользователь об этом ничего не подозревает!

Круто было, когда во Flash была недоработка, и можно было кликнуть на ссылку, под которую был подложен скрытый слой с кнопкой включения и фотографирования веб-камерой :)

Зашёл так на порносайтик, а тебя — бац! И сфоткали, да ещё и тут же показали, мол, всё про тебя знаем, чувачок, плати монетку, чтобы удалиться из нашей базы :)

https://habrahabr.ru/post/123923

Кликджекинг – технология, известная еще с 2008 года. Она используется недобросовестными компаниями для накрутки посещаемости и лайков в соцсетях, незаконного получения персональных данных, и даже для кражи пароля и логина к банковскому счету... Нужно только разместить невидимую кнопку поверх существующей, причем для этого злоумышленнику необязательно быть программистом. Достаточно обратиться в один из многочисленных сервисов, которые предлагают, например, «Определение профилей Вконтакте и Facebook посетителей вашего сайта», и получить готовые коды для установки на сайт.

Например, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных банков Android-троянец Android.SmsSpy.88.origin показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

http://news.drweb.ru/show/?c=5&i=9956&lng=ru

Банкер Android.ZBot интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, которые загружаются с управляющего сервера по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО.

http://news.drweb.com/show/?c=5&i=9754&lng=ru

#Clickjacking #кликджекинг #мошенничество #Google_Play #банкер #троянец #браузер

Антивирусная правДА! рекомендует

Используйте актуальные версии интернет-браузеров и подключаемых плагинов (таких как Flash, устаревшие версии которых уязвимы для кликджекинговых атак). Вне зависимости от наименования браузера и установленной на устройстве операционной системы необходимо использовать его последнюю версию со всеми установленными обновлениями безопасности.
Настройте браузер, используя его встроенные механизмы защиты от кликджекинга, или установите соответствующие плагины при их наличии.
Используйте безопасный или приватный режим просмотра страниц в браузере.
Не спешите нажимать на различные ссылки и кнопки, запускать приложения в социальных сетях – сначала удостоверьтесь, что это действительно именно то, что вам нужно.
Используйте антивирус. Наличие в Антивирусе Dr.Web и Dr.Web Security Space технологии Dr.Web Script Heuristics позволяет предотвратить модификацию страницы браузера вредоносными скриптами.
Защита от кликджекинга – забота не только самих пользователей. Разработчики веб-сайтов и приложений также должны принимать превентивные меры. Для них существуют эффективные рекомендации по написанию кода, помогающего обнаружить и предотвратить кликджекинг (например, на сайте Code Secure Blog). Ознакомиться с некоторыми рекомендациями можно, например, здесь https://learn.javascript.ru/clickjacking.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
05:58:06 2020-07-17

Интересные конечно способы у злоумышленников. Drweb уверен защитит от подобного.

I23
20:34:07 2020-04-23

Будь настороже, авось это пригодится.

Rider
01:14:54 2018-12-04

Прошло 10 лет,а кликджекинг остаётся актуальным.

Toma
07:27:12 2018-08-09

Кликджекинг (англ. Clickjacking, «перехват щелчка мышью») — новый для меня термин. Спасибо за интересную информацию!

Денисенко Павел Андреевич
16:34:57 2018-08-03

Кликджекинг - впервые про такое читаю и узнаю.

ka_s
19:51:57 2018-07-10

В дополнение к перечисленным рекомендациям - регулярно очищайте в браузерах историю посещений.

vasvet
09:16:03 2018-04-04

Недавно такое считалось не возможным.

alex-diesel Собкор
11:06:45 2018-03-09

все труднее не попасться, все сложнее не подцепить какую-нить заразу. куда катится мир?...
грустно.
Спасибо тем, кто еще пытается нас защитить))

faqmatrix
14:03:06 2017-02-27

Интересно и познавательно!

Шалтай Александр Болтай Собкор
17:16:52 2017-02-04

Звонок на радио: — Здравствуйте, поставте пожалуйста песню Пугачевой про то как завис виндовс. Диджей: — Я не помню такой, может напоете. Слушатель: — Кликну а в ответ тишина, снова я осталась одна, сильная женщина плачет у окна...

Zserg
18:32:47 2016-11-27

Опасайся всего

Andromeda
10:15:06 2016-10-08

Теперь знаем что такое кликджекинг.

bob123456 Собкор
17:19:06 2016-07-26

Вот почему технология Флеш считается одной из самых небезопасных. Поэтому, сейчас сайты повально переходят на HTML5.

tigra Собкор
04:23:25 2016-07-23

вот.. век живи-век учись

maghan Собкор
10:42:57 2016-06-30

Спасибо. Учтем!

solec
00:00:19 2016-06-22

DrWeb поможет

Luger Собкор
23:52:23 2016-06-21

Да,без антивируса - никак )

vaki
23:06:10 2016-06-21

Вот придумали...

Б...м
22:57:37 2016-06-21

Неожиданно

Б...а
22:53:52 2016-06-21

Спокойна

vla_va
22:40:27 2016-06-21

Не нажмешь теперь...

kva-kva
22:23:48 2016-06-21

Хитры

Dvakota
21:49:50 2016-06-21

Берегись !

mk.insta
21:28:19 2016-06-21

бой невидимкам!

Роза
21:12:52 2016-06-21

Рекомендации понятны .

B0RIS
19:07:36 2016-06-21

Впервые узнал о технологии Dr.Web Script Heuristics!

Viktoria
18:02:34 2016-06-21

Чего только не придумают!

ada
17:45:22 2016-06-21

Буду использовать приватный режим просмотра страниц в браузере.

Hazal
17:29:03 2016-06-21

Спасибо за познавательную информацию.

Nikodim2011 Собкор
17:10:41 2016-06-21

Рекомендации очень полезные, спасибо!

Александр Ш. Собкор
16:25:06 2016-06-21

Думал, нет мышки – нет проблемы. Ан нет, не тут-то было. Оказывается данная технология мошенничества "адаптирована" под разные операционные системы. Да, и последствия от попадания на эту уловку могут быть самыми разными: от казалось бы безобидных действий, до вполне конкретных потерь. Так что осторожность лишней не будет никому.

P.S. Спасибо за полезную информацию и дельные советы! Возьму их себе на заметку.

samox
15:53:36 2016-06-21

Хитрый способ.

KAA Собкор
14:42:06 2016-06-21

вот и очередной способ отъема денег...

dyadya_Sasha Собкор
14:32:26 2016-06-21

Человек-невидимка виден, когда облит водой. Вот бы какое-нибудь ПО-спрей придумать - брызнул и все невидимые экраны, кнопки увидел ))).

Damir Собкор
14:29:34 2016-06-21

Как только не изгаляются хакеры, чтобы похитить наши деньги.

djabax
11:59:10 2016-06-21

Веселые дела

Альфа
11:52:15 2016-06-21

Кликджекинг... Раньше не слышал об этом.

Ш...а
11:29:05 2016-06-21

Каждый день что-то новое узнаю.

clever777
10:14:18 2016-06-21

Д-а-а. Не дремлют хакеры,с реальными плёнками для банкоматов появилась и виртуальная!! Спасибо за информацию !!

maxtat
10:03:51 2016-06-21

Рекомендации понятны. Жаль, что на практике не существует универсальных способов, применение которых полностью обезопасило бы пользователей. Но риск с помощью предложенных рекомендаций уменьшить можно. Спасибо!

razgen Собкор
09:53:49 2016-06-21

Ну здесь как бы мы небыли осторожны от нашей осторожности, я так понимаю мало что зависит.В первую очередь необходима надёжность интернет-браузера. Ну а про то что необходимо обязательное наличие антивируса Доктор Веб, я уже молчу.

a13x Собкор
09:52:57 2016-06-21

@TeXNiK, а оттуда уже зловреды исходят :) А из наушников ещё раньше: зловред называется: ПОПса ^_^

memphis
09:25:49 2016-06-21

Начитаешься всего - так и хочется вернуть старую, добрую печатную машинку и черно - белый телевизор!
Спасибо за познавательную информацию.

sergeimoloko
09:18:09 2016-06-21

Очень интересно! Спасибо

azimut
09:00:14 2016-06-21

Ух ты...

a13x Собкор
08:58:42 2016-06-21

Вот бы ещё не такая уязвимость как люди, которые просто напросто считают, что у них антивирус заглючил, отключают его, возвращаясь на сайт или же страницу приложения, которые и пытаются похитить данные человека. Так что - во всякой рекомендации, главная: доверять установленному антивирусному продукту ;)

sania2186
08:48:37 2016-06-21

Можно использовать приватный режим просмотра страниц в браузере

MaD_MaX
08:40:20 2016-06-21

Век живи - век учись

Sasha50 Собкор
08:34:42 2016-06-21

Куда не сунься - тебя ждут. И не всегда знаешь, куда придешь.

Влад
08:32:29 2016-06-21

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Кликджекинг

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей