Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Читайте нас в Яндекс Дзен
Наш Youtube-канал
Канал Telegram

Прямой эфир

Сенатор
Сенатор
кто нибудь здесь набил друг другу морды или нет?
Плюсы использования Режима полета и зачем включать его на ночь
Диана
Диана
Деньги списывают постоянно. shtrafoff. ner
Что это за сайт Shtrafoff.net, как отключить его подписку и вернуть деньги
Любовь
Любовь
Благодарю за полезную статью. Все настроила очень быстро!
Как на Windows 10 сделать, чтобы не гас экран – 3 способа отключить затемнение
Kira Domnikovskaya
Kira Domnikovskaya
Здравствуйте! Мой номер телефона забанен уже как 2-3 недели. Я не нарушала правила Telegram. Меня забанили по ошибке! Пожалуйста помогите! Или скажите длительность бана. Номер телефона: 89165254956
Почему иногда блокируют номер телефона в Телеграме и как можно снять бан
Людмила
Людмила
Чем оно мне помогает? Оно мне жизнь отравляет, я не могу позвонить, посмотреть, одна его реклама, пока писала, три рекламы было. А что то случится серьёзное и я без связи. 4 ая реклама, пока пишу.
Что это за приложение такое Feedback на Xiaomi и нужно ли на Андроид
Игорь
Игорь
еще раз хочу спросить , помогите удалить дзен вообще
Как можно отключить рекомендуемые ролики в сервисе Яндекс Дзен – способы
Игорь
Игорь
вообще нахрен ничего не понять у вас
Как можно отключить рекомендуемые ролики в сервисе Яндекс Дзен – способы
Семен
Семен
Настройки>приложения>зашита приложений
Как снять блокировку и убрать пароль с приложений на Андроид
Катюшка
Катюшка
Хочу сказать, что долго решалась подключиться к шаравоз, изучала, смотрела, что и как, но потом решилась, и оказывается все просто супер. Архив просто бомба-6 дней, стабильность на высшем уровне, тех.поддержка на высоте, все мне нравится, цена не колется 3 бакса.
ТОП 11 лучших провайдеров платного IPTV-телевидения 2023 года
Vasya
Vasya
России в общем-то уже и нет. Если НЕ врать самим себе. Четверть страны просто утеряна или уничтожена. Половина населения сбежало с этой раздолбанной помойки навсегда. Экономики больше нет. В стране нищета, разруха и безработица. Копеечные зарплаты. И абсолютно никакой надежды на будущее....................
Где находится калькулятор в системе Виндовс 10, как его обновить и добавить
Мария
Мария
Здравствуйте! На данной модели часов не могу установить день недели на русский язык. Хотя все меню на русском языке. Помогите
Как сопоставить функцию Watch Call на часах X8 Pro – пошаговая инструкция
сВЕТЛАНА
сВЕТЛАНА
НЕУДОБНАЯ ФОРМА.ДОЛГО ИЩЕМ КУДА ОТПРАВИТЬ,НА КАКОЙ САЙТ.ПРАКТИЧЕСКИ ПРИХОДИТСЯ ОТПРАВЛЯТЬ СМС.,А ХОТЕЛОСЬ БЫ ОТКРЫТЬ САЙТ И ОТПРАВИТЬ
Как передать показания счетчика за свет в СПГЭС по лицевому счету в Саратове
Татьяна
Татьяна
Добрый день. Я также повелась на уловки мошенников, скачала приложение, дала им доступ. Подскажите, если я удалила программу, то мошенники больше не смогут подключиться к моему телефону?
Что это за программа Rustdesk – ее описание и функции, стоит ли удалять
Нина
Нина
У меня honor 9: в корзине ничего нет, резервная копия не делалась, в облако не копировалось, но должен же быть способ восстановить удалённые файлы как на компьютере, даже если почистили корзину.
Как на Андроиде можно восстановить заметки – 3 способа и инструкция
Заур
Заур
у меня такая же беда. У вас получилось в конце концов?
Что это за сайт Shtrafoff.net, как отключить его подписку и вернуть деньги
Точка
Точка
Подскажите, если наушники исправны и ты уже переподключал их ко всем usb портам, а они до сих пор пишут нехватка электропитания и переодически включаются на время. С чем это может быть связано.
8 способов решения проблемы нехватки электропитания порта USB в Windows 10
Александр
Александр
Можно ли мили поменять на километры?
Что за приложение Zepp Life, инструкция и ответы на вопросы, настройка
Ольга
Ольга
Я чуть не клюнула на их удочку.
Реальные отзывы о компании Quantum System – развод это или нет, фактчекинг
Олег
Олег
Что делать если в ноутбук попала вода и простояла там 10часов скажите пожалуйста 🙏
Залили ноутбук, не включается? Запомните эти правила первой помощи!
Вася
Вася
Какая то гора мусора которая к вашей ссылке дорисовывает сокращение длл и шлет на сайт сейффром. А я хотел чтобы файл сразу в телеге был и мне не надо было его перекачивать 10 раз в нее и из нее.
Топ-6 Телеграм-ботов для скачивания видео с Ютуба и как ими пользоваться
Эркин Тилабов
Эркин Тилабов
Как востановит удаленную telegram ?
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
Эркин Тилабов
Эркин Тилабов
Как востановит случайн удаленний telegram без востановление кантактов. Данние не важно.
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
WhiteRooms
WhiteRooms
конечно все понимаю что гайд для 10-й винды но не могли бы вы сделать и для 11-й?
Почему Дискорд заглушает звуки остальных приложений и как это исправить
Алексей
Алексей
История такая: (на windows) скачивал файлы, но из-за занятости диска переместил, затупил и потом поменял папку загрузки. Можно чтоб телеграмм провелил папку и не качал уже существующие? А то рядом с существующим появляется такой же с пометкой (2). А в чате не пишется что уже такой есть.
Куда Телеграм сохраняет скачанные файлы на смартфонах и компьютере
валентина
валентина
спасибо, большое, Вы мне помогли, как Вы и сказали, пустяк бывает проблемой, так и вышло, клавиша fn была отключена случайно когда то видимо.
Почему не работают сочетания горячих клавиш на Windows 10 и как исправить
Сергей
Сергей
Почему не получается зайти на сайт zabava.ru
Как платно и бесплатно скачать самообновляемый IPTV-плейлист ZABAVA
Илья
Илья
Красавчик, спасибо, мне помогло!
Устраняем ошибку: неправильная секция установки службы в этом inf файле MTP
яяяяя
яяяяя
шифт + э на ENG раскладке и все.
Как на клавиатуре набрать «собаку» — три способа для ПК и ноутбука
Анна
Анна
Здраствуйтевладимирвладимировичпутинименязавутаннаяабращяюськвамзаматериальнайпомащьюперечислитемнеадинмилионвосемсотдвадц
Как написать письмо президенту России Путину лично
Анна
Анна
Здраствуйте
Как написать письмо президенту России Путину лично
Анна
Анна
здраствуйтевладимирвладимировичпутинменязавутлегошынааннасергеевнаяжывувгораденижняятураяабращяюськвамзаматериальнайпомащьюяпенсианеркапалучяюпенсиюдевятнадцатьдевядцотмнеэтихденякнехватитперечислитемнеадинмиллионвосемсотдвадцатьрублейнасрочнаеличенияябудуждатьотвасэсэмэсуведамленияанна
Как написать письмо президенту России Путину лично
Moderator
Moderator
Здравствуйте. А консоль не сообщает о том, какие именно компоненты не удалось восстановить? Также попробуйте воспользоваться утилитой DISM, введя команду DISM /Online /Cleanup-Image /CheckHealth для проверки состояния системы или DISM /Online /Cleanup-Image /RestoreHealth для автоматического исправления ошибок и загрузки недостающих компонентов.
5 способов устранения ошибки системы Windows 10 – Page Fault In Nonpaged Area
Moderator
Moderator
Здравствуйте. К сожалению, технология потихоньку уходит в прошлое. Поэтому каналов с каждым днем становится все меньше и меньше Скорее всего скоро и каналы из материала станут неактивными.
IPTV-плейлисты для просмотра онлайн каналов телевидения и радио домена GE
Moderator
Moderator
Здравствуйте. Прекрасно, раз проблема решилась. Благодарим за обратную связь.
Почему компьютер не видит колонки и 7 способов решения на ОС Windows 10
Moderator
Moderator
Здравствуйте. Обычно в таком случае помогает переустановка приложения и повторная регистрация. Однако предложу Вам еще дополнительно подождать 48 часов. Обычно после этого времени снимаются блокировки с аккаунта и обновляется база.
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
Moderator
Moderator
Здравствуйте. Рады, что смогли помочь. Благодарим за обратную связь.
Что это за программа Meta App Manager и нужна ли она на Андроид
Рукият
Рукият
Как вернуть канал если ты случайно вышла с аккаунта
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
Карина
Карина
Весьма интересная статья, но ни одним из предоставленных в тексте операторов не пользовалась. Я с Безлимитом рука об руку иду 11 лет. Советую попробовать оператора сотовой связи Безлимит!
Рейтинг топ-4 лучших сотовых операторов России по качеству связи в 2023
Абоба
Абоба
А не надо было его кормить просроченным вискасом!!!!!
Что это такое – Cat Controls, как активировать и отключить игру на Android 12
Глеб8
Глеб8
Заказал гоу-прошку из Китая, с заказом проблем не возникло, оформление как и любого товара через озона. Техническое отличие есть в сроках доставки и в том что первый раз пришлось там паспортные данные указать, но в целом это пустяки. Товаром доволен, в хорошем состоянии и сэкономить неплохо так удалось.
Что значит доставка Озон Глобал и сколько это стоит, сроки и как вернуть заказ
Дима
Дима
У мня горел восклицательный знак на видеоодаптере я его отключил и снова подключил через свойства и все ок
Как в Windows 10 настроить рабочий стол, если он выходит за рамки монитора
Авладимир
Авладимир
Помогло.рекомендую спасибо
12 шагов по исправлению ошибки Windows 10 – Не удается войти в учетную запись
Вячеслав
Вячеслав
Здравствуйте. При сканировании Sfc в отчете указано что найдены поврежденные файлы но виндовс не может их восстановить. Подскажите дальнейшие действия пожалуйста.
5 способов устранения ошибки системы Windows 10 – Page Fault In Nonpaged Area
Саша
Саша
Отстой этот не берите я 2200 выкинул
Как можно подключить консоль Game Stick Lite к телевизору –инструкция
Аслан
Аслан
Билайн самый худший интернет из всех, каждые несколько минут переходит на EDGE а потом обратно , поэтому например в игры требующие постоянного подключения к интернету невозможно играть. И сам по себе интернет ужасный
Самый худший оператор сотовой связи в России: что говорит народное мнение
Бука
Бука
SmallPDF это разводка, якобы конвертируют онлайн, но скачать результат вы не сможете. Требуют бабок уроды.
ТОП лучших онлайн конверторов из PDF в Word
Нега
Нега
Здравствуйте,вы разобрались с проблемой ? У меня просто тоже самое не знаю как войти в аккаунт
Как восстановить аккаунт в Телеграме после удаления страницы и проблемы
Ашот
Ашот
Позвоните срочно.
Как отписаться от платных услуг Kopeechka.su (Копеечка займ) и вернуть деньги
alik
alik
здравствуйте а можно больше телеканалов маловато
IPTV-плейлисты для просмотра онлайн каналов телевидения и радио домена GE
Пон
Пон
о боже, и спаси господь. Здоровье тебе и близким
6 способов исправления не работающей кнопки Windows на клавиатуре Windows 10