Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Наш Youtube-канал
Канал Telegram

Прямой эфир

Сабина
Сабина
Отмените подписку мне, я не пользуюсь уже давно последние капейки забирают каждый раз
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
живое существо
живое существо
Удалила акк в тг, полностью . Но по непонятной причине при попытке создать новый акк появляется надпись :«Мы оправили код в ваш аккаунт телеграмм». Что мне делать? Все устройства где был этот аккаунт отключились от него сразу после удаления .
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
Abdishukur
Abdishukur
Верните денег
Как отключить подписку на Game Sport Sankt-Peterb RUS и почему они списали деньги
Анна
Анна
Меня тоже отписаться от платных услуг
Как можно отписаться от платных услуг сервиса МКК Аквариус займ – инструкция
Ирина
Ирина
Мне не отключить подписку иви на телевизоре. Что делать? У меня нет компьютера
Как войти в личный кабинет кинотеатра ИВИ и отключить подписку – инструкция
ввввв
ввввв
Короче находите в истории операций данный платеж, и отменяете, только что вернул 967 рублей. Эти козлы списали за телеграмм премиум, а по факту у меня нет телеграмм премиум.
Как отменить подписку Банка 131 и почему он списал деньги – инструкция
Мария
Мария
😘🐰спс! :)
Что это за приложение Boomplay, его описание, установка и использование
Ирина
Ирина
Сегодня списались 399рублей за подписку. Подписку отключила. Прошу вернуть деньги
Как отписаться от платных услуг и подписок сервиса Info Portal – инструкция
Света
Света
Здравствуйте Подскажите, создала ссылку в тг и перехожу в своё избранное?
Кто видит папку Избранное в Телеграме и для чего она нужна, как что-то добавить
Екатерина
Екатерина
Как думаете, если курс удалить из своих курсов, они перестанут за него списывать?
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Любовь
Любовь
И с другой карты сняли четыре раза по 1999 и один раз 1000,верите
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Любовь
Любовь
С меня сняли 5600,как вернуть???
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Сер
Сер
Не важно какой способ оплаты - по ФЗ 54 каждая оплата услуг такси должна быть учтена в ККО и сгенерирован электронный чек. Яндекс это уже признал и генерирует электронные чеки в приложении даже при оплате наличными
Как можно получить чек в сервисе Яндекс Такси – инструкция и зачем он нужен
alex
alex
what to be set into name of connection and name of server ???
Инструкция по подключению и настройке VPN в системе Windows 10
Наталья
Наталья
Верните деньги
Как отключить подписку на Game Sport Sankt-Peterb RUS и почему они списали деньги
Наталья
Наталья
Списали деньги незаконно, никакие подписки не подписывала верните деньги
Как отключить подписку на Game Sport Sankt-Peterb RUS и почему они списали деньги
Артур
Артур
Задумка неплохая, но реализация это полный мрак!!! У меня не слабое железо, но эта оптимизация это что-то страшное!!! Версия программы 22. А уж про последние версии я молчу. Ваших програмистов надо посадить на ibm 286. Вот тогда они поймут с чем пользователи сталкиваются при монтаже. Работать невозможно от слова совсем!!! Рузумеется новые версии покупать не буду а тем более подписываться.
Почему долго сохраняются HD-клипы в Movavi и как оптимизировать видео
Валерий
Валерий
Ох как здорово Яндекс1585 Плюс впаривают платную подписку ,апотом из потерпевшего рревращают тебя в мошенника, лишь бы не возвращать деньги
Что это за подписка Яндекс 5815 Плюс, как ее отключить и вернуть средства
Евгений
Евгений
Отписка от платных услуг банкилайт 89101357421
Как отписаться от платных услуг и подписок сервиса BankLite.ru – инструкция
Евгений
Евгений
Отписка от платных услуг банкилайт
Как отписаться от платных услуг и подписок сервиса BankLite.ru – инструкция
Ксения
Ксения
Отключить подписку и не списывать деньги
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
тсшб
Как добавить человека в приложение Локатор на айфоне – инструкция и настройка
Василий
Василий
Отключите подписку
Как отменить подписку сервиса 24h.tv и можно ли вернуть средства
Влад
Влад
Отключить подписку подалуйста
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
Александр
Александр
Верните деньги
Как отключить подписку на Game Sport Sankt-Peterb RUS и почему они списали деньги
Марина
Марина
Добрый день , без моего согласия списали денежные средства, передаю жалобу в Генеральную прокуратуру, Следственный комитет
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
александр александрович ветеран вов житель осажденного Сталинграда инвалид 2 группы
александр александрович ветеран вов житель осажденного Сталинграда инвалид 2 группы
13ноября Вы списали с карты сбер 399руб Я подписку не оформлял верните деньги ветерану ВОВ
Как войти в личный кабинет кинотеатра ИВИ и отключить подписку – инструкция
Катя
Катя
Не могу закрыть подписку,зашла один раз в эту хрень.Теперь каждый месяц списывают деньги
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Елена
Елена
ОСФР - отделение социального Фонда России, а не объединённый.... Не выдумывайте!
Почему пришли деньги на карту от ОСФР, что это за выплата и как реагировать
Роза
Роза
Здравствуйте. Прошу вернуть деньги, за якобы подписку на вашем сайте. Хотя этого не было. Какое имели право решать за других?
Как отключить подписку на Izuchai Dance и вернуть деньги – инструкция
Олеся
Олеся
Отключите пожалуйста подписку
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
Марина
Марина
Отписаться от платных услуг
Как отписаться от платных услуг и подписок QRGET NOVOSIBIRSK RUS и почему списали деньги
Константин
Константин
Верните деньги 10000 списали
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Людмила
Людмила
Пожалуйста, помогите отключить Газпром бонус.
Что это за программа Газпром Бонус и как можно отключить подписку
Вера 12,11,2024
Вера 12,11,2024
Отключите пожалуйста подписку, списание денежных средств было 25.10.2024
Как войти в личный кабинет кинотеатра ИВИ и отключить подписку – инструкция
Ебу мам ТуторПлейс
Ебу мам ТуторПлейс
Ага конечно, типа вы реально проверяете, не ссыте в уши, чтоб ваших бабушек черти насиловали, МОШЕННИКИ!!!
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Джабраил
Джабраил
Вертите мои деньги
Как можно отписаться от платных услуг Fresh-zaim ru и вернуть свои деньги
Вагид
Вагид
Здравствуйте с меня удержали 399.рублей яндекс плюсь за подписки который я не подписывался прашу вас вернуть маи кровные деньги
Как можно написать в поддержку сервиса Яндекс Плюс – 4 способа
Данил
Данил
хз мне помогло
3 способа исправления ошибки 0x800f0988 при установке обновления Windows 10
алексей
алексей
почта россии и post rus seris мошенники в сговоре . заказал пилу макита с осмотром на почте за 6157 р. пришла китайская пила за 1500 р. на почте в осмотре отказали .вернуть деньги не хотят
Что это за пометка Post RUS Service, почему они списали деньги и как отписаться
Ирина
Ирина
Я не понимаю за что высчитывает ночью каждый месяц 399р.?я не подписывалась вам и не знаю. ЧТО ЗА САЙТ. как отписаться. Что бы не высчитывал. Безобразие
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Khurshed
Khurshed
За что списали деньги
Что это такое Nebuchadnezzar fz LLC Kazan RUS, почему списали деньги и как их вернуть
анастасия
анастасия
Не пользуюсь вашим сервером. Прошу отменить подписку и вернуть деньги.
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
Лиана
Лиана
Отключить подписку
Как можно отключить подписку на сервис SMSPoisk ru – инструкция
Светлана
Светлана
Я согласия на подписку не довала у мужа у инвали списывают деньги последние 4 месяца отменить
Что это за сайт Shtrafoff.net, как отключить его подписку и вернуть деньги
Mymood
Mymood
Стоп 9874
Что это за подписка MyMood в Билайн и как от нее отписаться – инструкция
Мошенник и подонок
Мошенник и подонок
+79649210150 отъявленный мерзавец и мошенник. Кинул кучу людей. Просьба забомбить его номер
Топ-5 рабочих ботов и сервисов СМС-бомберов 2024, последствия использования
Ахмед
Ахмед
Отключить подписку
Как можно отключить подписку на сервис SMSPoisk ru – инструкция
Максим
Максим
Та же проблема - не приходит код для подтверждения
Как зарегистрироваться в мобильном приложении Wearfit Pro – инструкция
Арье
Арье
Трансляция на внешний экран была, после недавнего обновления (ВИНДЫ 10) пропала опция.
Настройка Media Player в Windows 10