Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Наш Youtube-канал
Канал Telegram

Прямой эфир

Артем
Артем
Я вообще пользуюсь alltv.club, там okko-спорт со всеми трансляциями есть - а они буду ЧМ транслировать скоро
ТОП 11 лучших провайдеров платного IPTV-телевидения 2026 года
вера
вера
не могу зайти на сайт
Вход на Мою страницу в социальной сети «Фотострана»
Азамат
Азамат
И мне так же что делать
Что значит, если от Retail Sol приходят СМС о кредите, и как это отключить
Александр
Александр
Зделал все как написано, высветилось "у вас нет активных подписок, закрытых 2" А списания продолжаются, попытки списания на этой карте у меня денег нет, буду ее закрывать.
Как отменить подписку на Avpnbot – пошаговая инструкция
Kastet-4
Kastet-4
Ничего из вышеперечисленного нет. Откуда скрины хз
Как можно узнать, прочитано ли ваше сообщение в Дискорде – инструкция
Артур
Артур
Устал искать эти моей бесплатные листы, все сайты перенаправляют на другие. Осталось сказать иди ты на ХУЙ со своими листами
Лучшие бесплатные самообновляемые IPTV-плейлисты для скачивания в 2026
Борис
Борис
Устный договор с фирмой поставляющей лекарства был на сумму 12200р. пришел курьер и озвучил сумму 12900р. я перевел эту сумму. хотелось бы узнать название фирмы. Ни каких документов на руках нет. ни телефона ни адреса. вы можете узнать куда ушли деньги?
Что это за пометка Post RUS Service, почему они списали деньги и как отписаться
ЁмаЁ
ЁмаЁ
а где же ссылка на скачивание этой чудо-проги?
Как пользоваться программой Тотал Коммандер для Андроид – инструкция
Елена
Елена
Не работает приложение газ онлайн. Перезагружала, удаляла и вновь устанавливала. Как оплачивать?!!!! mrg54.ru так же не грузится. Ваша смородина не работает!!! Как платить???
Почему не работает приложение Мой газ сегодня, причины проблемы и что делать
Я не знаю почему Доканитже что не роббот отключить телефон Google удалить? если может никто
Не пытайтесь отключать эти сервисы Google Play – это приведет к поломке телефона
12 12
12 12
Блин, умеют же писать ни очем, а потом призывать подписываться на канал... Если статья - гавно - то и канал гавно!
3 способа отключения двойного клика мыши вместо одного в ОС Windows10
Анастасия
Анастасия
Отключите подписку , не пользуюсь
Как можно отписаться от платных услуг и подписок сервиса Vidoku Online
Лариса
Лариса
Аферисты! Всё устроено так, чтобы человек не сразу у понял, что оформил подписку. Давно не сталкивалась с таким непорядочными компаниями, потеряла бдительность. Спасибо за урок, мелкие жулики
Если Resumeria Moskva RUS списали деньги, как можно отменить подписку и вернуть средства
павел
павел
кирпич это когда не куда не заходит не фаст бут не в рекавери не в ос
Как восстановить кирпич Андроид после неудачной прошивки с помощью Flashtool
Лариса Смирнова
Лариса Смирнова
Заблокировали фейсбук за нарушения. Можно ли разблокировать? Я не могла найти код для подтверждения,не знала где его искать. На номер телефона он неприходил,на почту тоже. Когда нашла,они уже были не действительны. Сделала фото и меня сразу заблокировали.
Как разблокировать аккаунт в Фейсбук, если заблокировали, забанили
Леонид
Леонид
покупал у area ufa подписку яндекс плюс гораздо дешевле чем у офицалов, при этом не надо заморачиваться с поиском промокодов
Что это за игра Плюс Сити и сколько в ней уровней – как проходить и получать награды
Serg
Serg
Бред полный, это шпионское ПО, устанавливаемое без разрешения пользователя.
Что это за программа Infatica P2B Network и для чего она нужна, ее плюсы и минусы
KIRILL
KIRILL
Как избавиться от этой подписки
Как можно отписаться от платных услуг и подписок сервиса GameSuite
Виктор
Виктор
Здравствуйте.второй день не могу зайти в телеграм. Не приходит смс с кодо
Почему не приходит СМС с кодом подтверждения для Телеграма и что делать
Роман
Роман
Уверен, что по подобной схеме никто вм ничего не вернет. Контора - чистые кидалы. Странно что до сих пор роспотребнадзор их не прикрыл
Как можно отказаться от подписки сервиса Checkyour Name com и вернуть свои деньги
Илья
Илья
Уже 4 сутки не могу попасть на аккаунт из-за «слишком частых попыток, повторите позже». Уже не знаю, что мне делать. На почту не отвечает, и на сайте с жалобами выходит ошибка о неверной капче.
Почему в Телеграме пишет слишком много попыток, попробуйте позже и сколько ждать
Павел
Павел
Загрузился в безопасном режиме - в нем работает. Загрузился в обычном режиме - тоже стало работать. Чудеса. Заметил,что файл "C:\Windows\ImmersiveControlPanel\SystemSettings.exe.manifest" перезаписался, т.к. я его переименовывал.
Что делать, если в Windows 10 не открываются Параметры, 6 способов исправления
Ольга
Ольга
Вы единственные, которые помогли решить проблему !!! Огромнейшее спасибо.
Что делать, если пишет – к сожалению, группа временно недоступна на вашем устройстве, поскольку ее модераторам необходимо удалить, как исправить
Алексей
Алексей
Как можно вернуть деньги
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Без подписи
Без подписи
Слушайте, а как эта бодяга вообще работает? У них строка для ввода номера телефона прямо на стартовой странице. Я так понимаю, это для видимости, а по факту ссылка формируется и уходит искомому абоненту только после регистрации и оформления подписки?
Как можно отключить подписку на сервис SMSPoisk ru – инструкция
Алексей
Алексей
Отключите подписку чтобы деньги несымали с карты
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Максим
Максим
а это нормально если когда я включаю диспетчер задач то он пропадает?
Обзор процесса Taskmgr.exe в Windows — за что отвечает, можно ли отключить
Дима
Дима
Списали деньги 799 рублей прошу вернуть деньги
Как отписаться от платных услуг и подписок сервиса Info Portal – инструкция
ZendoAyatik007COMEWATCH?
ZendoAyatik007COMEWATCH?
А я думал бесплатно
Что это за приложение Zenkit Partner Config и зачем оно нужно, его функционал
Тимофей
Тимофей
Помогите мне с отключение подписки и что бы 899 рублей мне пришло на карту
Как можно отключить подписку на сервис Instandgames и вернуть деньги
Eugene Rimm
Eugene Rimm
все не в тему на винде все равно требуют подтверждение- увы, на дворе 2025-й год!!
Как можно создать аккаунт Гугл без ввода номера телефона – 2 способа
Nik
Nik
Записки из 2025 гада. Май месяц. На фоне развивающегося бешенного ЖаДнобесия, сегодня очень важно было бы найти хороший инструмент общения, между людьми, без присуствия бесов, повсюду и везде всё злее и всё наглее контролирующего нас. Конечно, сегодня в 2025 гаду, понятна их тревога! Тревога по поводу того, что в 7 млрд. населении очень рудно удержать народы мира в повиновении жаднодьяволобесию и сатанизму? Тем более, сли вы составляете сотую часть одного процента всего населения Планеты Земля. Но на фоне того, что многие из них визжат, потрясая правами человека, которые к ним не относятся, можно было бы оставить для разнообразия, хотя бы Скайп? или даже он уже мешает? Как и не серверный Виндовс 7? Или на самом деле, в планах жаднобесов, грядёт массове уничтожение населения на более чем 95%? Плановое уничтожение подобное недавнему ПЛАНОбесию, о котором супернаглым образом обьявил нам по всему Миру же всё тот же один сотый процент одного процента населения Мира Человека РАзумного? Неужели, этот незначительный процент, даже с учётом супертехнологий сможет удержать дьявольско-бесовскую диктатуру Ада Нелюдей Безумных над всей Планетой Земля? Поэтому у меня резонный вопрос? Кто знает самый лучшую замену почившему от международного гадья Скайпу?
Что это за приложение Gem Space и для чего оно нужно, как скачать и установить
9874
9874
Стоп
Что это за подписка MyMood в Билайн и как от нее отписаться – инструкция
Дарья
Дарья
Как после обновления сделать так, чтобы все было на русском написано?
Что это за приложение Visha, функционал плеера и как его удалить
Witman
Witman
Скачай взломанную версию этой программы с ключом активации. Всё будет работать бесплатно.
Driver Booster Free — бесплатное обновление драйверов, исправление неполадок
ШяПю
Топ-6 Телеграм-ботов для скачивания видео с Ютуба и как ими пользоваться
Александр
Александр
Хочу от ключить подписку
Как отключить подписку сервиса Chatgram.me в Телеграме – инструкция
Эдуард
Эдуард
Списали деньги я хочу их вернуть и отключить IMP_DAZAEM.SU код 8999
Как можно отписаться от платных услуг НКО МСС 8999 и свои вернуть деньги
Ирина
Ирина
Прошу вернуть деньги списанные сегодня ночью 17.05.2025
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Сергей
Сергей
Спасибо, отключение NFC сработало. Проблема была, что на телефон карта-метка наклеена была
Телефон издает звук уведомлений, но их нет – что это такое?
Дарья
Дарья
Помогите пожалуйста, что делать , мой номер заблокирован уже месяцев 6-7 .
Почему иногда блокируют номер телефона в Телеграме и как можно снять бан
Данил
Данил
Верните деньги мои 20.999 быстро и в милицию абращусь
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Юрова Мария
Юрова Мария
Можно разблокировать мой профиль
Как разблокировать свой аккаунт на Авито – пошаговая инструкция
Серафим
Серафим
В старых версиях Windows 10 это работало отключением интернета. Сейчас с отключением интернета вообще не прокатывает, надо как-то выкручиваться.
Как можно пользоваться персонализацией компьютера без активации Windows 10
Анна
Анна
Прошу вернуть мои списанные вами средства с 20.04 по 27.04 ни какие я подписки не делала , согласия не давала . сколько это будет продолжаться ,я что на вашу игру что ли зарабатываю деньги ? Совсесть имейте , я взрослый человек и для чего мне эти ваши игры и тем-более свои последние деньги отдавать вам в игры .
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Бердияр.
Бердияр.
Здраствуйте. Я написал сообщение. И удалил аккаунт. Она сообщение видет
Что такое удаленный аккаунт в Телеграме и как деактивировать свой профиль
Руслан
Руслан
Отключите пожалуйста подписку
Как можно отключить подписку на сервис SMSPoisk ru – инструкция
Столкнулись с блокировкой на Авито? Не оставайтесь в стороне! Досудебная претензия – эффективное средство для восстановления вашего профиля и защиты ваших прав как продавца. Узнайте, как правильно составить претензию и какие документы необходимо предоставить, по ссылке: avitounblock.ru. Восстановите справедливость и верните свой аккаунт!
Как разблокировать свой аккаунт на Авито – пошаговая инструкция
Как то так
Как то так
Если есть какие то изменения, пишут прямо в приложении, а не просят перейти по ссылке!!!!! Так что не надо умничать, и вводить людей в заблуждение
Настоящий ли сайт s.sber.ru или подделка под Сбербанк, стоит ли доверять
Карина
Карина
У меня списали деньги с онлайн банка за подписку smart global Kazan за что ? Очень хотелось бы понять . Если кто может помогите отключить от нее , надоело за вот такое сомольничество не спросив списать деньги в наглую.
Как отключить подписку на Smart Glocal Kazan RU, если он списывает деньги с карты