Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (86)
  • добавить в избранное
    Добавить в закладки

Угонщики кликов

Прочитали: 1959 Комментариев: 74 Рейтинг: 67

Все наверняка знают, что нельзя нажимать на всякие ссылки и заходить на странные сайты. Но не все риски видны невооруженным глазом. Сайт может выглядеть вполне безобидно, но при этом пользоваться мошенническими методами. Например, методами составления выгодного предложения именно для вас.

[Используя описанную ниже мошенническую технологию] администратор видит, кто только что был на его странице, его id в социальной сети, а также (в некоторых случаях) телефон и e-mail. Это используется, чтобы начать диалог с посетителем с одной из подобных фраз:

Здравствуйте. Вы только что были на сайте ____. Вас интересует [название услуги]? Могу ответить на ваши вопросы.

или

У вас скоро [название события, которое однозначно указывает на потребность в услуге]? Можем помочь с [название услуги]

и так далее.

Посетители, как правило, злятся и неприятно удивляются: "откуда они узнали, что я был у них?". Иногда подобные вопросы задаются тут же в чате, на которые администратор дает заготовленный ранее ответ в духе "Современные технологии позволяют нам [дальше идет околотехническая муть, чтобы запутать несчастного посетителя и объяснить, что это нормальный способ сбора данных]

Источник

А как составить предложение, чтобы случайно не предложить мужчине, например, женские колготки?

С конца 2014 года начали появляться десятки сервисов, позволяющих отследить в социальной сети id пользователя, который находится на сайте.

Это давало возможность владельцу сайта во время сессии или после посещения ресурса написать пользователю личное сообщение в социальной сети, тем самым «дожав» его до покупки.

Источник

Данные пользователя, скорее всего, есть в социальной сети. Но чтобы до них добраться, нужно в соцсеть войти. А пользователь на непонятном сайте явно делать это не собирается!

Кликджекинг (англ. clickjacking) — обман пользователя, который позволяет злоумышленникам «угнать» клик пользователя. Для этого на странице сайта-жертвы пользователю предлагается безобидная ссылка (ложная кнопка), поверх которой размещена прозрачная кнопка (например, Like, Facebook). При клике на ссылку пользователь, сам того не подозревая, совершает клик в пользу совершенно иного ресурса.

Источник

Cпециальный скрипт отслеживает первый клик посетителя на сайте. Любой клик на странице (не важно, в пустом месте этой страницы или же по ссылке, картинке или любому другому объекту) считается кликом по невидимому (прозрачному) элементу, который двигается за курсором вашей мышки. При нажатии на этот элемент посетитель дает разрешение специальному приложению на раскрытие информации из своего профиля.

Наглядно это представлено на этой схеме:

#drweb

В результате посетитель как бы добровольно передает свою личную информацию приложению.

Источник

Рассказываем, как это работает. Пользователь нажимает на невидимую кнопку, и, если вы в браузере авторизованы в социальной сети, это действие позволяет сервису перейти к вашему профилю и получить его общедоступные данные (адрес профиля, имя, а также телефон и мейл, если они общедоступны).

Соцфишинг – это одна из технологий определения контактных данных по профилю в социальной сети для пользователя, который зашел на сайт, но не оставлял никаких данных. Для этого нужно выполнить 2 условия: посетитель сайта должен быть авторизован в социальной сети, а также выполнить хотя бы 1 клик на сайте.

Источник

Пример:

Вы заходите не интернет-сайт и на нем появляется чат. Чат перекидывает (редиректит) вас на страницу начала диалога в социальной сети. Затем специальный бот фиксирует ваш заход в чат и опознает вас по идентификационному номеру соцсети.

Источник

Источник

Но «баловаться» подобным могут не только владельцы сайтов. Администраторы сайта могут, например, установить некую кнопку сбора статистики, и уже этот сервис будет собирать ваши данные.

#drweb

Ежедневно появляются новые сервисы, старые меняют названия адресов сайтов, а потому отследить и составить актуальный список сервисов, использующих данную технологию, невозможно.

#drweb

Источник

По ссылке приведен список мошеннических сервисов, однако понятно, что полным он быть не может.

А еще кликджекинг используют вредоносные программы.

При запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных банков Android-троянец Android.SmsSpy.88.origin показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

#drweb

Источник

В завершение – еще несколько методов, которые позволяют собрать информацию или продвинуть сайт.

Социальный замок. часть контента на странице закрыта специальным кодом. Чтобы посмотреть, что там такого интересного спрятали, надо поделиться сообщением в своих социальных сетях.

Форма подписки – на сайте открывается поп-ап и большая часть контента скрыта.

Активный фон сайта (здесь речь идет о том, что пользователь случайно может кликнуть не на ту кнопку или перепутать элементы).

Источник

#Clickjacking #кликджекинг #мошенничество #браузер

Dr.Web рекомендует

Поисковые сервисы борются с кликджекингом. И это пройдет.

Но и пользователи не должны забывать о такой технологии мошенников. Хотя простому пользователю распознать кликджекинг практически нереально.

Однако выполнение некоторых рекомендаций позволит защититься от многих нечестных разработчиков сайтов:

  1. Установи плагин, блокирующий выполнение скриптов на страницах (Noscript для Firefox, ScriptSafe для Chrome). На безопасных страницах плагин можно отключить (или занести адреса доверенных сайтов в белый список), а при посещении незнакомых сайтов – задействовать.
  2. Своевременно обновляй браузер и плагины для воспроизведения мультимедийного содержимого (такого, как Flash). Часто недобросовестные разработчики сайтов пользуются уязвимостями в старых версиях программного обеспечения.
  3. Неизвестные сайты открывай в приватном окне. В режиме приватного просмотра браузер не сохраняет настройки и пароли пользователя, поэтому их будет гораздо сложнее перехватить.
  4. И главное: не переходи по рекламным ссылкам с неизвестных сайтов, не запускай подозрительные приложения в социальных сетях.

Источник

Также не забывайте рекомендации, которые мы уже давали в выпуске «Кликджекинг», и используйте Родительский контроль Dr.Web, автоматически блокирующий мошеннические сайты.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: