Кликджекинг атаки, также известные как атаки UI redressing или атаки UI redressing, по-прежнему широко распространены. В этой статье мы расскажем, что такое кликджекинг, как он работает и как его предотвратить.
Значение и определение кликджекинга
Кликджекинг — это атака, которая обманывает пользователей, заставляя их думать, что они нажимают на что-то одно, хотя на самом деле они нажимают на что-то другое. По сути, ничего не подозревающие пользователи полагают, что они используют обычный пользовательский интерфейс веб-страницы, тогда как на самом деле злоумышленники внедрили вместо этого скрытый пользовательский интерфейс. Когда пользователи нажимают кнопки, которые они считают безопасными, скрытый пользовательский интерфейс выполняет другое действие. Это может привести к тому, что пользователи непреднамеренно загрузят вредоносное ПО , предоставят учетные данные или конфиденциальную информацию, посетят вредоносные веб-страницы, переведут деньги или приобретут товары в Интернете.
Существуют различные варианты атак типа «кликджекинг», поэтому для обозначения различных вариантов часто используются термины «восстановление пользовательского интерфейса (UI)» или «атаки с восстановлением пользовательского интерфейса».
Как это работает?
Кликджекинг стал возможен благодаря HTML-фреймам или iframes, т. е. возможности отображать веб-страницы внутри других веб-страниц посредством фреймов. По сути, iframe — это фрейм внутри фрейма. IFrames позволяют вам встраивать контент из других источников на ваши веб-страницы. Например, когда вы посещаете веб-сайт, на котором отображается встроенное видео YouTube, это видео находится внутри iframe.
Это создает кликджекинг e. Если веб-страницу можно отобразить внутри фрейма, злоумышленники могут покрыть исходную веб-страницу скрытым прозрачным слоем с собственными элементами JavaScript и пользовательского интерфейса. Внешний вид веб-страницы остается неизменным, а это значит, что у пользователей нет оснований подозревать, что что-то не так.
Затем пользователи перемещаются по веб-странице, ожидая, что ссылки и кнопки будут работать нормально. Однако скрытый пользовательский интерфейс означает, что вместо него сработает скрипт злоумышленника. Скрипт злоумышленника может работать за кулисами, создавая видимость того, что все в порядке. Это делает возможным ряд вредоносных действий, в том числе:
- Установка вредоносного ПО
- Кража учетных данных
- Активация веб-камеры или микрофона
- Совершение незапрошенных покупок
- Авторизация денежных переводов
- Определение вашего местоположения
- Увеличение статистики кликов на нерелевантных сайтах
- Увеличение доходов от рекламы на сайтах
- Получение лайков на Facebook или увеличение просмотров видео на YouTube
Это не исчерпывающий список. Поскольку пользовательские интерфейсы могут быть замаскированы с помощью любого типа ссылок, возможности разрушения обширны.
Также важно помнить, что кликджекинг — это не только щелчки мышью. Используя комбинацию таблиц стилей, текстовых полей и фреймов, злоумышленник может обмануть ничего не подозревающего пользователя, заставив его подумать, что он вводит свой пароль на сайте своего онлайн-банкинга, хотя на самом деле он вводит его на сайте, контролируемом злоумышленником.
Как и другие формы киберпреступности, атаки методом кликджекинга часто опираются на ту или иную форму социальной инженерии , чтобы направить жертву на скомпрометированный или вредоносный сайт. Это может быть электронное письмо, текстовое сообщение, публикация в социальной сети и т. д.
Типы атак
Лайкджекинг
Лайкджекинг обманывает пользователей социальных сетей, заставляя их ставить отметки «Нравится» тому, чего они не собирались делать. Например, страница злоумышленника в Facebook может быть встроена в невидимый iframe, а это значит, что пользователь не осознает, что на самом деле он нажимает невидимую кнопку «Нравится» злоумышленника.
Взлом курсора
Cursorjacking изменяет положение курсора пользователя на место, отличное от того, где пользователь его воспринимает. Типичная атака с использованием курсорджекинга заменяет реальный курсор поддельным, используя изображение, и смещает его относительно местоположения настоящего курсора. В результате пользователь думает, что совершает определенное действие, хотя на самом деле совершает другое. Когда жертва нажимает на предполагаемый элемент с помощью поддельного курсора, настоящий курсор нажимает на вредоносный элемент. При атаке с использованием подмены курсора настоящий курсор может оставаться видимым, хотя предпринимаются попытки сосредоточить внимание жертвы на поддельном курсоре.
Кукиджекинг
Кукиджекинг — это атака с целью восстановления пользовательского интерфейса, которая крадет файлы cookie жертвы. Получив файлы cookie, злоумышленник может получить доступ к содержащейся в них информации и использовать ее, чтобы выдать себя за жертву. Обычно это достигается путем обмана жертвы и ее заставляют перетаскивать элемент на странице. На самом деле они выбирают содержимое своих cookie-файлов на встроенной невидимой странице и передают его злоумышленнику. Затем злоумышленник может выполнять действия на целевом веб-сайте от имени пользователя.
Файлджекинг
Файлджекинг позволяет злоумышленнику получить доступ к локальной файловой системе жертвы и извлечь файлы. Например, когда вы загружаете фотографию в социальную сеть, появляется окно браузера файлов, и вы можете перемещаться по своей файловой системе. При атаке с использованием файлового джекинга нажатие кнопки «Обзор файлов» (или как она называется в вашем браузере) устанавливает активный файловый сервер, потенциально предоставляя злоумышленнику доступ ко всей вашей файловой системе.
Примеры кликджекинга
В 2022 году сообщалось, что исследователь безопасности заявил об обнаружении неисправленной уязвимости в сервисе денежных переводов PayPal, которая могла позволить злоумышленникам обманным путем заставить жертв неосознанно завершить транзакции, направленные злоумышленником, одним щелчком мыши. Исследователь обнаружил, что злоумышленники могут встроить вредоносную конечную точку в iframe, что может заставить жертву, уже вошедшую в веб-браузер, перевести средства на контролируемый злоумышленником счет PayPal одним нажатием кнопки. Это также может иметь катастрофические последствия для онлайн-порталов, интегрированных с PayPal для совершения покупок, поскольку, если не устранить проблему, злоумышленник сможет списывать произвольные суммы со счетов пользователей PayPal.
В 2017 году вирусное распространение получил тип вредоносного ПО, известный как Svpeng. Первоначально Svpeng появился в 2013 году для кражи банковских данных у пользователей Android-устройств. После загрузки на мобильное устройство он осуществлял кликджекинг пользовательских данных, но проблема была глубже. Получив доступ к привилегиям администратора, вредоносная программа могла выбирать, какие экраны использовать, отправлять и получать текстовые SMS-сообщения, совершать телефонные звонки и читать контакты.
Затем вредоносная программа отправляла скриншоты и другие материалы, похищенные с устройства, обратно на сервер управления и контроля, которым управляли хакеры. Сюда входили контакты, установленные приложения, журналы вызовов и текстовые сообщения SMS, и это было особенно проблематично, поскольку банки обычно отправляют пользователям коды подтверждения через текстовые сообщения SMS. За одну неделю Svpeng распространился в 23 странах.
Предотвращение кликджекинга
Идеальной защиты от кликджекинга не существует. Большинство шагов, необходимых для защиты от кликджекинга, должны выполняться веб-мастерами. Однако существуют действия, которые люди могут предпринять, чтобы снизить свой риск, в том числе:
Следите за электронными письмами, в которых утверждается, что они касаются срочного вопроса
Одним из наиболее распространенных способов проникновения программного обеспечения для кликджекинга на устройства является целевая рассылка электронных писем. К сожалению, в мире, где хакеры украли миллиарды учетных записей клиентов с контактными данными, покупка этой информации обходится киберпреступникам всего в копейки за учетную запись. Вероятность того, что киберпреступники имеют в своем распоряжении как минимум ваш адрес электронной почты и связанный с ним банк, весьма высока.
Следите за электронными письмами, которые приходят на ваш почтовый ящик и в которых якобы рассматриваются срочные вопросы, требующие вашего внимания. В этих письмах вам предлагается нажать на ссылку, и эта ссылка может перенаправить вас на веб-сайт, который выглядит идентично вашему банковскому или другому официальному веб-сайту, чтобы обманом заставить вас загрузить последнюю версию приложения учреждения или заполнить информацию о профиле.
Не загружайте подозрительные приложения.
Если цель кликджекинга — заставить вас загрузить приложение, то, скорее всего, это вредоносное ПО, которое захватывает и крадет все ваши учетные данные. В других случаях сам веб-сайт может быть источником вредоносного ПО, проникающего на ваше устройство. Независимо от того, как это происходит, вредоносная программа предоставляет вам ложные входные данные для заполнения. Будьте бдительны и не загружайте приложения, в которых вы не уверены. Всегда загружайте приложения на устройства через авторизованные магазины приложений. В официальных магазинах приложений есть как программные агенты, так и люди, работающие над отсеиванием вредоносного ПО и нежелательного контента.
Избегайте кликов по слишком хорошим, чтобы быть правдой рекламным объявлениям
Важно избегать нажатия на рекламные объявления на страницах результатов поиска или в социальных сетях, которые предлагают что-то слишком хорошее, чтобы быть правдой, или продвигают новости или истории, которые кажутся необычными. В некоторых случаях нажатие на эти элементы может перенаправить вас на веб-сайт, который загружает на ваш компьютер программное обеспечение для кликджекинга. Вместо этого поищите новости на альтернативном канале, например, на авторитетном, давно существующем источнике новостей. Если новость правдива, ее несложно будет найти в официальных СМИ.
Установите расширения браузера, защищающие от кликджекинга
Доступны надстройки браузера для защиты от кликджекинга, но поскольку они деактивируют весь JavaScript на загруженных страницах, они обычно не обеспечивают оптимального взаимодействия с пользователем. Большинство популярных платформ, включая Facebook, Twitter и YouTube, используют JavaScript, а эти плагины мешают их работе. Для развертывания приложения JavaScript в доверенных источниках необходимо явно задать список разрешенных источников. Надстройки для блокировки JavaScript для различных браузеров включают в себя:
- Scriptsafe для Chrome
- NoScript для Mozilla Firefox
- Блокировщик JS для Safari
Используйте комплексное антивирусное решение
Чтобы защитить себя от киберпреступлений, включая кликджекинг, настоятельно рекомендуется использовать комплексный антивирус на всех устройствах. Качественный антивирус должен работать круглосуточно, защищая ваши устройства и данные, блокируя распространенные и сложные угрозы, такие как вирусы, вредоносные программы, программы-вымогатели , шпионские приложения и все новейшие хакерские уловки.
Важно сохранять бдительность в отношении атак типа «кликджекинг». К счастью, большинство современных браузеров имеют встроенную защиту от кликджекинга, которая либо блокирует вредоносные веб-сайты, либо предупреждает пользователей о том, что они собираются перейти на потенциально опасный сайт. Соблюдая правила кибергигиены и избегая поставщиков онлайн-услуг, предлагающих бесплатные или пиратские услуги, можно защитить себя от кликджекинга.
Статьи по теме:
Рекомендуемые продукты:
