Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Наш Youtube-канал
Канал Telegram

Прямой эфир

Владимир
Владимир
Браузер давно не обновлялся, версия его устарела, в нём много дыр из за этого и стрёмно использовать в виду безопасности. Обновится он ещё не скоро и обновится ли? Да, браузер классный. но использовать его уже нельзя.
Браузер Cent — 5 причин, почему он лучший для компьютера
федя
федя
я не могу зайти сейчас в телеграмм
Почему иногда блокируют номер телефона в Телеграме и как можно снять бан
АМ АМ АМ
АМ АМ АМ
АБАЮДНО
Что это такое – Podpiska Paket Moscow RUS и как отключить подписку, если списывает 199 руб
Обиджон
Обиджон
Хочу отключить
Как отключить подписку на Smart Glocal Kazan RU, если он списывает деньги с карты
Александр
Александр
здравствуйте,а линцезионый ключ есть на бусстер?
Driver Booster Free — бесплатное обновление драйверов, исправление неполадок
Михаил
Михаил
Только что Яндекс отказал в предоставлении чека при оплате наличными, посылает к водителю
Как можно получить чек в сервисе Яндекс Такси – инструкция и зачем он нужен
Роман
Роман
Упомянута Xiaomi. Не знаю как у кого, у меня Xiaomi Mi A2 Lite с ноября 2018 года, много раз падал на деревянный (и подобные поверхности) пол, дважды на бетон (с высоты примерно 1,2 метра), работает в штатном режиме и это при том что я не использую чехол, защиту дисплея и т.д. и т.п.. Есть небольшие царапины, потёртости, но в глаза не бросается, правда немного раздражает, что заряда хватает только на день, хотелось бы больше.
Список самых ненадёжных телефонов 2025 года, которые чаще всего попадают в ремонт
Алексей
Алексей
Смирнов Алексей Валерьевич 28.10.1994
Как найти водительское удостоверение по имени отчеству, фамилии и дате рождения
Stilet2016
Stilet2016
Приветствую! Так ведь после удаления папки под именем «QHAActiveDefense» остается еще 8 папок в этой же директории, смотрите выше, как быть с ними? Оставить или удалить ? Этот 360 тый везде наследил и этого катайца трудно выселить. Тот еще друг в наглую ставит еще и свой браузер, его выпилишь , а он опять лезет.
Как полностью удалить с компьютера с ОС Windows 10 360 Total Security – 4 способа
Андрей
Андрей
Проверить водительское удостоверение
Как найти водительское удостоверение по имени отчеству, фамилии и дате рождения
РУСЛАНА
РУСЛАНА
ОТПИШИТЕ МЕНЯ ОТ СВОЕЙ ПОДПИСКИ И НЕ СПИСЫВАЙТЕ ДЕНЬГИ.СПАСИБО.
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Александр
Александр
Explorer
Почему при удалении файла на Андроиде выскакивает ошибка и как исправить
ЯНА СОЛЯХ
ЯНА СОЛЯХ
И КАК РЕШИТЬ?
Что это Shell Experience Host в системе Windows 10 и как отключить процесс
Alex
Alex
Позвонили с номера 1000 от якобы банка ВТБ, с которым у меня никаких дел не было. Предлагали выпуск карты. Звонок не санкционирован. Неоднократный запрет на озвучивание рекламной информации игнорировался. Налицо нарушение закона о рекламе. Однозначно мошенники.
Что за номер 1000 постоянно звонит в Вайбере, как поступить и обезопасить себя
Линуксоид 228
Линуксоид 228
Ля, вы говорите про Винду, при это показываете Линукс. ОК
Изменения переменных сред в ОС Windows 10, где они находятся и как зайти
Андрей
Андрей
Остаюсь в потоке последних новостей с Биткоганом. Приложение в этом плане хорошо сделано и продумано. Простотое и надежное Не виснет. Оценка 5/5. Плюс записи эфиров для подписчиков можно посмотреть.
Что это за приложение Bitkogan и для чего оно нужно, как его использовать
Сергей
Сергей
Попользовался приложением Биткоган. Интересное. Не могу судить активы по типу США или Китая, так как не в зоне моих интересов. Но по российским активам пуши точные. Сейчас активно слежу за Татнефью. Много было слухов, что они перестали давать доходность. Но пока пуши в Биткогане показывают более точную картину.
Что это за приложение Bitkogan и для чего оно нужно, как его использовать
Елена
Елена
Здравствуйте подскажите пожалуйста если 2 мес не заходить в телеграмм удалится ли аккаунт?
Что такое удаленный аккаунт в Телеграме и как деактивировать свой профиль
Аксана
Аксана
Как отключить подписку смартглокал
Как отключить подписку на Smart Glocal Kazan RU, если он списывает деньги с карты
Олеся
Олеся
Поделитесь пожалуйста историей, чем закончилась? У меня аналогичная, списали почти 40 тысяч
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Анлдрей
Анлдрей
Клутой маделатол, што тут скасать
Что такое Windows To Go и как создать переносную ОС Windows 10 на флешке
ТВОЙ-ИНФОРМАТОР.РУ поиск любых данных
ТВОЙ-ИНФОРМАТОР.РУ поиск любых данных
Единственная статья в интернете, написанная без воды:)
Как можно пробить любого человека по номеру его телефона – 7 способов
Ольга
Ольга
Как вернуть деньги
Как можно отписаться от платных услуг НКО МСС 8999 и свои вернуть деньги
Atrix
Atrix
Спасибо ребятам давно не мог решить эту проблему теперь это не будет меня раздражать каждый раз когда я запускаю пк, спосибо ещё раз)))
Включение и способы настройки меню автозапуска приложений в ОС Windows 10
карина
карина
здравствуйте,это ваша кл. руководительница Елена Геннадьевна карина, ты очень съехала по учебе! чтоб завтра с бабушкой в школу
Топ-4 лучших пранк-ботов в Телеграме для розыгрыша по телефону бесплатно
Виктор
Виктор
Отключить подписку
Как можно отключить подписку на сервис SMSPoisk ru – инструкция
Anton Berg
Anton Berg
Страшно, очень страшно! Мы не знаем, что это такое, вот если бы мы знали, что это такое, но мы не знаем, что это такое!
Что это за приложение CustCoreApp и нужно ли оно, как его настроить
Ник
Ник
Могил Бабы - это серьёзно!!
Что это за приложение Xclub и нужно ли оно, плюсы и минусы, как удалить
Дэн
Дэн
А чё не ответил?
Как удалить и отключить зарезервированное хранилище в системе Windows 10
Moderator
Moderator
Пожалуйста. Читайте наши статьи
Как можно восстановить закрытые вкладки в Microsoft Edge – инструкция
Moderator
Moderator
Это все в вашем праве. Узнавайте в банках, МФО
Что значит, если от Retail Sol приходят СМС о кредите, и как это отключить
Moderator
Moderator
Видимо, достичь возраста 18) И подтвердить потом
Отзывы о сайте знакомств Moi.chat и как можно удалить свою анкету
Moderator
Moderator
Сама додумала или сперла у кого? Авторские права не заявила. Такова жизнь
Почему вместо Яндекса открывается Яндекс Дзен и как этого избежать
Moderator
Moderator
Увы, универсальных решений не бывает. Попробуйте найти ответ самостоятельно
Как на ноутбуке отключить Fn на клавиатуре
Moderator
Moderator
Ну респект вам. И за рекламу сервиса тоже
Что это такое – разделение ответственности по ШК на Вайлдберриз и как быть
Moderator
Moderator
Попробуйте отказаться от подписки. В крайнем случае - заблокируйте карту
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Зема
Зема
Вот я не понимаю, чего ждут эти рекламодатели? Что кто-то клюнет? Ооочень глупая мысль с их стороны. Уже давно никто не покупается на рекламу.
Как отключить и заблокировать рекламу в ВК на телефоне Андроид – способы
Марк
Марк
Спасибо огромное🔥
Как можно восстановить закрытые вкладки в Microsoft Edge – инструкция
Марк
Марк
Боже спасибо огромное автору, я уже 100 раз 060$₽@л$R думая что сбросил всю работу за 3 дня
Как можно восстановить закрытые вкладки в Microsoft Edge – инструкция
Кристина
Кристина
2 недели назад мой аккаунт взломали мошенники. Установили облачный пароль и все. Я потеряла доступ к своему же аккаунту...а самое страшное, что я не могу его восстановить через номер телефона. Все попытки восстановить ведут к тому, что я должна ввести облачный пароль...и на жтрм все обрывается. Никогда не думала, что могу оказаться в настолько абсурдно ситуации 😱 а техподдержки нет вовсе! Раз 10 писала куда только можно, но ни ответа, ни привета!!! А аккаунт мой рабочий, файлы, контакты - все утеряно!!!
Как работает служба техподдержки в Телеграме и как написать на горячую линию
Наталья
Наталья
Я хочу узнать какой я брала кредит 03 2024 года
Что значит, если от Retail Sol приходят СМС о кредите, и как это отключить
Ирина
Ирина
здравствуйте, как отключить инфоурок, он мне не востребован в данное время
Как отменить подписку на портале Инфоурок и вернуть деньги, отзывы
Александр
Александр
Как продолжить общение на сайте, если у меня не получается подтвердить что мне есть 18 лет
Отзывы о сайте знакомств Moi.chat и как можно удалить свою анкету
Людмила
Людмила
Спасибо. Сегодня столкнулась с такой проблемой. Вчера на BW видела всплывающее окно: завтра спишем 313 рублей оплату частями. Я посчитала, что меня это не касается, т.к. не заключала с ними такого соглашения. Посчитала просто рекламой не для меня. Не тут-то было сегодня с меня списали эти 313 руб. Зашла в СБЕР и увидела код списания 7399. Теперь буду решать эту проблему, спасибо вам за информацию.
Почему списали деньги с кодом торговой точки МСС 7399 и что делать
Роман
Роман
вот еще неплохой бот в телеге для поиска музыки @Music_quickbot часто пользуюсь
Каналы для скачивания музыки в Телеграме и как пользоваться ботами
Кристина
Кристина
Впервые в жизни не могу восстановить аккаунт. Ну как так, чтобы нельзя было по номеру телефона свой же аккаунт вернуть? 😨😭
Как работает служба техподдержки в Телеграме и как написать на горячую линию
Кристина
Кристина
Здравствуйте! У меня уже крик души😱 ну помогите, пожалуйста!!! Несколько дней назад подруга прислала архив фото (как оказалось её взломали), как впоследствии и меня (( потому что я пыталась открыть эту папку. В итоге я потеряла доступ в телеграм, мошенники от моего имени всем пишут, а я ничего не могу сделать, установили облачный пароль. А почту я не привязывать, да и не предлагал телеграм почту привязать при регистрации. А теперь все мои рабочие контакты утеряны...мои чаты. Ну помогите, как быть? Почему при запросе кода на номер телефона, просит приобрести премиум аккаунт на телеграм? Как восстановить свой аккаунт? 🙏🙏🙏
Как работает служба техподдержки в Телеграме и как написать на горячую линию
Светлана
Светлана
Как вы отключили подписку только на компьютере можно это сделать ?
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Ефросиний
Ефросиний
У меня была проблема с "активным разрешением экрана", кот. не совпадал с "разрешением рабочего стола". Началось после того как я для проверки работоспособности воткнул другой монитор (покруче), потом отключил его и вернул свой старый и началось. Было мыльное изображение на экране, вроде разрешение обычное старое, но как будто в мыле весь экран. Переустановил драйвера с оф сайта Нвидиа (gtx 660), потыкал-перетыкал провода (VGA синенькие), Не помогло ничего. РЕШЕНИЕ. ПКМ-Панель управления Нвидиа - Дисплей- Изменение разрешения (Там частоту поменял со своей 60Гц на 70 Гц (хотя мой моник не поддерживает 70 Гц). После этого экран опять сделелся резким (перестал быть мыльным)!!!!. Вылезло стандартное окошко мелкое, что через 12 сек настройки сбросятся на старые, я нажал ОТМЕНА (вернулся опять к 60 Гц то есть) и все после этого осталось Четким. Зашел проверить в ПКМ-Параметры экрана-Дополнит.настройки дисплея. Там активное разрешение поменялось на старое мое и стало совпадать с Разрешением рабочего стола (короче, проблема решилась). Шаманства, может они только на моем бубне работают))
3 способа изменения не совпадающего активного разрешения сигнала Windows 10
Евгений
Евгений
Короче 10 нормальная, но вот уже 11 требует 4 Гб, а 12 - и все 8 Гб - что немного напряжно.
Минимальные и максимальные системные требования для 32 и 64 бит Windows 10