Кликджекинг
21 июня 2016
Доверяете ли вы своей компьютерной мыши? А ведь нажимая на кнопку или ссылку на каком-либо сайте, вы можете столкнуться с таким явлением, как кликджекинг.
Кликджекинг (англ. Clickjacking, «перехват щелчка мышью») — технология кибермошенничества, позволяющая злоумышленнику выполнять различные мошеннические действия при помощи невидимого слоя, расположенного поверх отображаемой в браузере страницы. Именно в этот слой загружаются нужные преступникам объекты (или только один управляющий элемент, например, кнопка или ссылка), а нажатие на видимую кнопку или ссылку приводит к выполнению действия, требуемого злоумышленникам. Например, к подписке на платную услугу, совершению покупки в интернет-магазине и даже к потере конфиденциальной информации. Невидимые элементы, внедряемые преступниками в веб-страницы, могут также двигаться вслед за курсором – в этом случае любое нажатие на странице приводит к выполнению какого-либо действия на внешнем сайте – и пользователь об этом ничего не подозревает!
Круто было, когда во Flash была недоработка, и можно было кликнуть на ссылку, под которую был подложен скрытый слой с кнопкой включения и фотографирования веб-камерой :)
Зашёл так на порносайтик, а тебя — бац! И сфоткали, да ещё и тут же показали, мол, всё про тебя знаем, чувачок, плати монетку, чтобы удалиться из нашей базы :)
Кликджекинг – технология, известная еще с 2008 года. Она используется недобросовестными компаниями для накрутки посещаемости и лайков в соцсетях, незаконного получения персональных данных, и даже для кражи пароля и логина к банковскому счету... Нужно только разместить невидимую кнопку поверх существующей, причем для этого злоумышленнику необязательно быть программистом. Достаточно обратиться в один из многочисленных сервисов, которые предлагают, например, «Определение профилей Вконтакте и Facebook посетителей вашего сайта», и получить готовые коды для установки на сайт.
Например, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных банков Android-троянец Android.SmsSpy.88.origin показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.
http://news.drweb.ru/show/?c=5&i=9956&lng=ru
Банкер Android.ZBot интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, которые загружаются с управляющего сервера по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО.
Антивирусная правДА! рекомендует
- Используйте актуальные версии интернет-браузеров и подключаемых плагинов (таких как Flash, устаревшие версии которых уязвимы для кликджекинговых атак). Вне зависимости от наименования браузера и установленной на устройстве операционной системы необходимо использовать его последнюю версию со всеми установленными обновлениями безопасности.
- Настройте браузер, используя его встроенные механизмы защиты от кликджекинга, или установите соответствующие плагины при их наличии.
- Используйте безопасный или приватный режим просмотра страниц в браузере.
- Не спешите нажимать на различные ссылки и кнопки, запускать приложения в социальных сетях – сначала удостоверьтесь, что это действительно именно то, что вам нужно.
- Используйте антивирус. Наличие в Антивирусе Dr.Web и Dr.Web Security Space технологии Dr.Web Script Heuristics позволяет предотвратить модификацию страницы браузера вредоносными скриптами.
- Защита от кликджекинга – забота не только самих пользователей. Разработчики веб-сайтов и приложений также должны принимать превентивные меры. Для них существуют эффективные рекомендации по написанию кода, помогающего обнаружить и предотвратить кликджекинг (например, на сайте Code Secure Blog). Ознакомиться с некоторыми рекомендациями можно, например, здесь https://learn.javascript.ru/clickjacking.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
05:58:06 2020-07-17
I23
20:34:07 2020-04-23
Rider
01:14:54 2018-12-04
Toma
07:27:12 2018-08-09
Денисенко Павел Андреевич
16:34:57 2018-08-03
ka_s
19:51:57 2018-07-10
vasvet
09:16:03 2018-04-04
alex-diesel
11:06:45 2018-03-09
грустно.
Спасибо тем, кто еще пытается нас защитить))
faqmatrix
14:03:06 2017-02-27
Шалтай Александр Болтай
17:16:52 2017-02-04
Zserg
18:32:47 2016-11-27
Andromeda
10:15:06 2016-10-08
bob123456
17:19:06 2016-07-26
tigra
04:23:25 2016-07-23
maghan
10:42:57 2016-06-30
solec
00:00:19 2016-06-22
Luger
23:52:23 2016-06-21
vaki
23:06:10 2016-06-21
Б...м
22:57:37 2016-06-21
Б...а
22:53:52 2016-06-21
vla_va
22:40:27 2016-06-21
kva-kva
22:23:48 2016-06-21
Dvakota
21:49:50 2016-06-21
mk.insta
21:28:19 2016-06-21
Роза
21:12:52 2016-06-21
B0RIS
19:07:36 2016-06-21
Viktoria
18:02:34 2016-06-21
ada
17:45:22 2016-06-21
Hazal
17:29:03 2016-06-21
Nikodim2011
17:10:41 2016-06-21
Александр Ш.
16:25:06 2016-06-21
P.S. Спасибо за полезную информацию и дельные советы! Возьму их себе на заметку.
samox
15:53:36 2016-06-21
KAA
14:42:06 2016-06-21
dyadya_Sasha
14:32:26 2016-06-21
Damir
14:29:34 2016-06-21
djabax
11:59:10 2016-06-21
Альфа
11:52:15 2016-06-21
Ш...а
11:29:05 2016-06-21
clever777
10:14:18 2016-06-21
maxtat
10:03:51 2016-06-21
razgen
09:53:49 2016-06-21
a13x
09:52:57 2016-06-21
memphis
09:25:49 2016-06-21
Спасибо за познавательную информацию.
sergeimoloko
09:18:09 2016-06-21
azimut
09:00:14 2016-06-21
a13x
08:58:42 2016-06-21
sania2186
08:48:37 2016-06-21
MaD_MaX
08:40:20 2016-06-21
Sasha50
08:34:42 2016-06-21
Влад
08:32:29 2016-06-21