Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Наш Youtube-канал
Канал Telegram

Прямой эфир

Сергей
Сергей
Отпишите меня!!!
Как отписаться от платных услуг и подписок сервиса Zanizaem – инструкция
Сергей
Сергей
Отпишите меня от потписок!!!
Как отписаться от платных услуг и подписок сервиса Zanizaem – инструкция
Тимур
Тимур
Отключите подписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
fur
fur
Ссылки не работают, день испорчен
Как стандартные игры для Виндовс 7 скачать бесплатно на русском языке
NW-6-403
NW-6-403
NW-6-403
Как пошагово исправить ошибку с кодом Нетфликс NW-6-403 и причины ее появления
Заира
Заира
Я хочу вернуть деньги и отменить подписку
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Анонимно
Анонимно
Дорогие родители, деньги могли списать ваши дети, если они знают пароль от карты!
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Таня
Таня
Отписаться от платных услуг. Отвязать карту
Как отписаться от платных услуг и подписок сервиса А ДЕНЬГИ – инструкция
Мамуржон
Мамуржон
Денги верни на карту не медлинно
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Мамуржон
Мамуржон
Верни денги
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Юлия
Юлия
Отписаться от платных услуг и вернуть деньги а деньги ру
Как отписаться от платных услуг и подписок сервиса А ДЕНЬГИ – инструкция
Анастасия
Анастасия
Я не регистрировались даже на сайте , как мне отменить подписку ?и вернуть деньги ?
Как можно отменить подписку на сервис YM Rezume, если он списал деньги
Кристина
Кристина
Согласна со всеми комментариями. Пол года назад пыталась скачать файл за 1 руб, в итоге сайт заблокировался. А сегодня оксзалось что списалось 135р. Попробовала войти, чтоб отписаться, а код по тел.не приходит. Все тщетно. Прийдеться менять карту. Твари, горите в аду... мошенники...
Как отменить подписку сервиса Safefile Tikhvin RUS и можно ли вернуть деньги
полина
полина
отключите подписку!!😡😡😡
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
user
user
статья фигня ссылки не предоставили
Как сменить язык интерфейса в Single Language для системы Windows 10
Светлана
Светлана
Отмените подписку, срочно! Задолбали уже, каждый месяц списываете деньги ни за что!!!
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Егорова жанна
Егорова жанна
Отписаться от платных услуг займ а- деньги
Как отписаться от платных услуг и подписок сервиса А ДЕНЬГИ – инструкция
Мария
Мария
Здравствуйте было снятие 1р. Потом сняли ещё два раза по 993р без согласия . Просьба вернуть деньги. Буду писать заявление в полицию
Как отписаться от платных услуг сервиса Fresh Starts Moskva RUS и вернуть деньги
Наталья
Наталья
Здравствуйте, с меня списали 2000р. Искала источник МСС, нашла, но он закрыт, а деньги списывают.
Как можно отписаться от платных услуг НКО МСС 8999 и свои вернуть деньги
Наталья
Наталья
Что делать, если МСС пишет сайт не работает?
Как можно отписаться от платных услуг НКО МСС 8999 и свои вернуть деньги
Максим
Максим
Спасибо Вам огромное. Отписался от подписки, хотя думал пойду в банк писать жалобу. Посмотрю недельку если больше не будет списаний попробую удалиться целиком там. Вы очень помогли!
Как отписаться от платных услуг сервиса vinpedia ru и почему он списал деньги
Дарья
Дарья
Мы не подключали услугу,верните деньги, отключите услугу
Как можно отменить подписку на сервис YM Rezume, если он списал деньги
Олег57
Олег57
вау ПРЯМ КАК ПОМОГЛО КРНЕЧНО
Что делать, если приложение не было установлено, так как его пакет недействителен, например, поврежден
Наташа
Наташа
Отключите подписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Татьяна
Татьяна
Как интересно, сегодня этими мошенниками заинтересовалась не только я, но и автор и комментаторы. Да, отсутствие кассового чека - это нарушение, но у этих фирм (мн.ч верно использовано) гораздо интереснее финансовая история, чем мы думаем. Я искренне, надеюсь, на то что проверка не только блогеров по дроблению бизнеса будет, но и таких сетей на УСН (чистое дробление бизнеса), как сайт Dietsnfit. Руководителю компании Мувион принадлежит по одному и тому же виду деятельности еще 2 фирмы и ИП, где выручка слегка доходит до предела перехода с УСН на Осно. А если, доказать, как в случае с блогерами Блиновская, Чекалины дробление бизнеса, то в бюджет поступят суммы приличные от 115млн налога в недоплате именно по этой сети данного сайта. Дополнительно: Сайт с 2022 года Регистрация домена: 2023-06-13 12:41:34 Регистрация компании 24 апреля 2024 г. Это говорит о том, что дробление бизнеса на лицо, как только выручка приближается к 200млн, сразу меняют данные на новую фирму и так по кругу все 3 фирмы и ИП участвуют каждый год.
Как отменить подписку на сервис Dietsnfit и почему он списывает деньги
Виолетта
Виолетта
На сайте сейчас указаны данные внизу ООО "Мувион" ИНН 7100052580, зарегистрирована 3 мес назад ФНС России по Тульской области Т.к. списание с карты происходит через платежный сервис, то должны получить электронный кассовый чек с QR-кодом об оплаченной услуги. Больше всего уверена, что его не было. Поэтому необходимо написать ОБЯЗАТЕЛЬНО онлайн обращение в УФНС России по Тульской области код инспекции 7100. Т.к. на лицо факт мошенничества по кассовой дисциплине и ухода от налогов. На предмет: проверки по вашему списанию с карты и отражения операции по кассе онлайн у компании ООО "Мувион" ИНН 7100052580
Как отменить подписку на сервис Dietsnfit и почему он списывает деньги
Валентина.
Валентина.
Так же,ни с того,ни с сего 87 р за подключение файлообменных сетей! Конкретно что не указывают.Отключить не могут,связь интернета хреновая! Обнаглели в корень! Буду менять оператора!
Что такое файлообменные сети и почему МТС списывает деньги, как отключить
Валентина.
Валентина.
Та же история....
Что такое файлообменные сети и почему МТС списывает деньги, как отключить
Валентина.
Валентина.
Сказали от них это не зависит.Они не могут отключить.(
Что такое файлообменные сети и почему МТС списывает деньги, как отключить
Валентина.
Валентина.
Имея только телефон и не раздаю и не подключаюсь никуда,всеравно прислали смс о начислении оплаты за использование файлообменных сетей.Начала уточнять на что именно было,если я в этот момент вообще не использовала интернет Ответы разные- раздача интернета,не подтвердила,скачивание,тоже не было,Вообщем прислали 100 р компенсации типа за недоразумение и указали,что надо следить за использованием некоторых сетей! И мне это надо,чтобы сидеть и отслеживать...Отключить они не могут,Вообщем самый голимый оператор! Зато связь самая худшая,часто вообще пропадает.
Что такое файлообменные сети и почему МТС списывает деньги, как отключить
Оксана
Оксана
В прокуратуру заявление пора писать на этот сайт. Почему наши правохранительные органы ещеим не заинтересовались
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Оксана
Оксана
Да на эту организацию уже пора заявление в прокуратуру писать. Деньги снимают просто ни за что. Не знаю, почему до сих порнаши правоохранительные органы не заинтересовались этим сайтом.
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
TRT
TRT
нихуя не работает
Ошибка Windows 10 – Не удалось выполнить перечисление объектов в контейнере
Алексей
Алексей
Отписаться от платных услуг и вернуть деньги списанные
Как отписаться от платных услуг и подписок сервиса А ДЕНЬГИ – инструкция
Алексей
Алексей
Отписаться от платных услуг и возврат списанных денег
Как отписаться от платных услуг и подписок сервиса А ДЕНЬГИ – инструкция
Кирилл
Кирилл
Это же мошенники!
Как отписаться от платных услуг и подписок сервиса Info Portal – инструкция
Кирилл
Кирилл
Это же мошенники! Где вы видели, чтобы мошенник вернул ворованные деньги?
Как отписаться от платных услуг и подписок сервиса Info Portal – инструкция
Здравствуйте
Здравствуйте
Мы не подключали услугу,верните деньги, отключите услугу
Как можно отменить подписку на сервис YM Rezume, если он списал деньги
Александр
Александр
Верните деньги Иначе буду обращаться в суд
Что это за сайт Shtrafoff.net, как отключить его подписку и вернуть деньги
Давлатзода Сирочидин
Давлатзода Сирочидин
вернуть сумму, снятую с моего счета
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Мария
Мария
Пипец, пишу три месяца в поддержку , и ни кто не отвечает, а деньги списывают стабильно
Как можно отключить подписку на сервис Loveanalizator и вернуть свои деньги
Мария
Мария
Пишу в поддержку , телеграм, уже три месяца и хрен кто отвечает
Как можно отключить подписку на сервис Loveanalizator и вернуть свои деньги
ТвО
Как пользоваться мобильной версией Zona Mobi и смотреть фильмы и сериалы  
Ксения
Ксения
Я тоже не подписана а деньги снимают. Бред…
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
ростикс
ростикс
ВЕРНИТЕ ДЕНЬГА --
Как отменить подписку на Igstore Fryazino RUS и почему они списали деньги с карты
Анна
Анна
Отмените подписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Андрей
Андрей
Сайт резюме.инфо не доступен, постоянно высвечивает ошибку. Отправил письмо на электронную почту пришел ответ что автоматическое списание отключено и деньги больше списываться не будут.
Как можно отменить подписку на сервис YM Rezume, если он списал деньги
Снежана
Снежана
По какой бля причине вы имеете списывать деньги с моей карты верните мне деньги бля или я на вас пожалуюсь 1600 мне на карту верните обратно
Как отписаться от платных услуг сервиса Кредит Хит и вернуть деньги – инструкция
Зарема
Зарема
Верните деньги то что вы списали это не законно вы не имели право!
Как отписаться от платных услуг и подписок сервиса Creditory – инструкция
Тулуш Чойган Мергенович
Тулуш Чойган Мергенович
Дайте мне свой ном телефона
Как можно отписаться от платных услуг Тимфо Займа – пошаговая инструкция