Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (56)
  • добавить в избранное
    Добавить в закладки

Кликджекинг

Прочитали: 12769 Комментариев: 61 Рейтинг: 299

21 июня 2016

Доверяете ли вы своей компьютерной мыши? А ведь нажимая на кнопку или ссылку на каком-либо сайте, вы можете столкнуться с таким явлением, как кликджекинг.

Кликджекинг (англ. Clickjacking, «перехват щелчка мышью») — технология кибермошенничества, позволяющая злоумышленнику выполнять различные мошеннические действия при помощи невидимого слоя, расположенного поверх отображаемой в браузере страницы. Именно в этот слой загружаются нужные преступникам объекты (или только один управляющий элемент, например, кнопка или ссылка), а нажатие на видимую кнопку или ссылку приводит к выполнению действия, требуемого злоумышленникам. Например, к подписке на платную услугу, совершению покупки в интернет-магазине и даже к потере конфиденциальной информации. Невидимые элементы, внедряемые преступниками в веб-страницы, могут также двигаться вслед за курсором – в этом случае любое нажатие на странице приводит к выполнению какого-либо действия на внешнем сайте – и пользователь об этом ничего не подозревает!

Круто было, когда во Flash была недоработка, и можно было кликнуть на ссылку, под которую был подложен скрытый слой с кнопкой включения и фотографирования веб-камерой :)

Зашёл так на порносайтик, а тебя — бац! И сфоткали, да ещё и тут же показали, мол, всё про тебя знаем, чувачок, плати монетку, чтобы удалиться из нашей базы :)

https://habrahabr.ru/post/123923

Кликджекинг – технология, известная еще с 2008 года. Она используется недобросовестными компаниями для накрутки посещаемости и лайков в соцсетях, незаконного получения персональных данных, и даже для кражи пароля и логина к банковскому счету... Нужно только разместить невидимую кнопку поверх существующей, причем для этого злоумышленнику необязательно быть программистом. Достаточно обратиться в один из многочисленных сервисов, которые предлагают, например, «Определение профилей Вконтакте и Facebook посетителей вашего сайта», и получить готовые коды для установки на сайт.

Например, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных банков Android-троянец Android.SmsSpy.88.origin показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

screen #drweb

http://news.drweb.ru/show/?c=5&i=9956&lng=ru

Банкер Android.ZBot интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, которые загружаются с управляющего сервера по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО.

http://news.drweb.com/show/?c=5&i=9754&lng=ru

#Clickjacking #кликджекинг #мошенничество #Google_Play #банкер #троянец #браузер

Антивирусная правДА! рекомендует

  • Используйте актуальные версии интернет-браузеров и подключаемых плагинов (таких как Flash, устаревшие версии которых уязвимы для кликджекинговых атак). Вне зависимости от наименования браузера и установленной на устройстве операционной системы необходимо использовать его последнюю версию со всеми установленными обновлениями безопасности.
  • Настройте браузер, используя его встроенные механизмы защиты от кликджекинга, или установите соответствующие плагины при их наличии.
  • Используйте безопасный или приватный режим просмотра страниц в браузере.
  • Не спешите нажимать на различные ссылки и кнопки, запускать приложения в социальных сетях – сначала удостоверьтесь, что это действительно именно то, что вам нужно.
  • Используйте антивирус. Наличие в Антивирусе Dr.Web и Dr.Web Security Space технологии Dr.Web Script Heuristics позволяет предотвратить модификацию страницы браузера вредоносными скриптами.
  • Защита от кликджекинга – забота не только самих пользователей. Разработчики веб-сайтов и приложений также должны принимать превентивные меры. Для них существуют эффективные рекомендации по написанию кода, помогающего обнаружить и предотвратить кликджекинг (например, на сайте Code Secure Blog). Ознакомиться с некоторыми рекомендациями можно, например, здесь https://learn.javascript.ru/clickjacking.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: