Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

СОДЕРЖАНИЕ СТАТЬИ:

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

Авторизуйтесь в VK.
Очистите cookies для подозрительного сайта.
Откройте новую вкладку.
Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
Введите в адресную строку URL-адрес подозрительной страницы.
Перейдите во вкладку «Сеть».
Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
Далее устанавливается зависимость сайта командой «npm install».
Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

В окне терминала выполняется команда «node attacker-server.js».
В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

социальный замок;
подписка;
активный фон сайта;
push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

14.01.2022 17:49 103

Евгений Верещака

Вам помогло? Поделитесь с друзьями - помогите и нам!

Прямой эфир

Сенатор

1 час назад

кто нибудь здесь набил друг другу морды или нет?

Плюсы использования Режима полета и зачем включать его на ночь

Диана

8 часов назад

Деньги списывают постоянно. shtrafoff. ner

Что это за сайт Shtrafoff.net, как отключить его подписку и вернуть деньги

Любовь

10 часов назад

Благодарю за полезную статью. Все настроила очень быстро!

Как на Windows 10 сделать, чтобы не гас экран – 3 способа отключить затемнение

Kira Domnikovskaya

11 часов назад

Здравствуйте! Мой номер телефона забанен уже как 2-3 недели. Я не нарушала правила Telegram. Меня забанили по ошибке! Пожалуйста помогите! Или скажите длительность бана. Номер телефона: 89165254956

Почему иногда блокируют номер телефона в Телеграме и как можно снять бан

Людмила

12 часов назад

Чем оно мне помогает? Оно мне жизнь отравляет, я не могу позвонить, посмотреть, одна его реклама, пока писала, три рекламы было. А что то случится серьёзное и я без связи. 4 ая реклама, пока пишу.

Что это за приложение такое Feedback на Xiaomi и нужно ли на Андроид

Игорь

1 день назад

еще раз хочу спросить , помогите удалить дзен вообще

Как можно отключить рекомендуемые ролики в сервисе Яндекс Дзен – способы

вообще нахрен ничего не понять у вас

Семен

Настройки>приложения>зашита приложений

Как снять блокировку и убрать пароль с приложений на Андроид

Катюшка

Хочу сказать, что долго решалась подключиться к шаравоз, изучала, смотрела, что и как, но потом решилась, и оказывается все просто супер. Архив просто бомба-6 дней, стабильность на высшем уровне, тех.поддержка на высоте, все мне нравится, цена не колется 3 бакса.

ТОП 11 лучших провайдеров платного IPTV-телевидения 2023 года

Vasya

2 дня назад

России в общем-то уже и нет. Если НЕ врать самим себе. Четверть страны просто утеряна или уничтожена. Половина населения сбежало с этой раздолбанной помойки навсегда. Экономики больше нет. В стране нищета, разруха и безработица. Копеечные зарплаты. И абсолютно никакой надежды на будущее....................

Где находится калькулятор в системе Виндовс 10, как его обновить и добавить

Мария

Здравствуйте! На данной модели часов не могу установить день недели на русский язык. Хотя все меню на русском языке. Помогите

Как сопоставить функцию Watch Call на часах X8 Pro – пошаговая инструкция

сВЕТЛАНА

НЕУДОБНАЯ ФОРМА.ДОЛГО ИЩЕМ КУДА ОТПРАВИТЬ,НА КАКОЙ САЙТ.ПРАКТИЧЕСКИ ПРИХОДИТСЯ ОТПРАВЛЯТЬ СМС.,А ХОТЕЛОСЬ БЫ ОТКРЫТЬ САЙТ И ОТПРАВИТЬ

Как передать показания счетчика за свет в СПГЭС по лицевому счету в Саратове

Татьяна

Добрый день. Я также повелась на уловки мошенников, скачала приложение, дала им доступ. Подскажите, если я удалила программу, то мошенники больше не смогут подключиться к моему телефону?

Что это за программа Rustdesk – ее описание и функции, стоит ли удалять

Нина

У меня honor 9: в корзине ничего нет, резервная копия не делалась, в облако не копировалось, но должен же быть способ восстановить удалённые файлы как на компьютере, даже если почистили корзину.

Как на Андроиде можно восстановить заметки – 3 способа и инструкция

Заур

у меня такая же беда. У вас получилось в конце концов?

Точка

3 дня назад

Подскажите, если наушники исправны и ты уже переподключал их ко всем usb портам, а они до сих пор пишут нехватка электропитания и переодически включаются на время. С чем это может быть связано.

8 способов решения проблемы нехватки электропитания порта USB в Windows 10

Александр

Можно ли мили поменять на километры?

Что за приложение Zepp Life, инструкция и ответы на вопросы, настройка

Ольга

Я чуть не клюнула на их удочку.

Реальные отзывы о компании Quantum System – развод это или нет, фактчекинг

Олег

Что делать если в ноутбук попала вода и простояла там 10часов скажите пожалуйста 🙏

Залили ноутбук, не включается? Запомните эти правила первой помощи!

Вася

Какая то гора мусора которая к вашей ссылке дорисовывает сокращение длл и шлет на сайт сейффром. А я хотел чтобы файл сразу в телеге был и мне не надо было его перекачивать 10 раз в нее и из нее.

Топ-6 Телеграм-ботов для скачивания видео с Ютуба и как ими пользоваться

Эркин Тилабов

Как востановит удаленную telegram ?

Как восстановить аккаунт в Телеграме после удаления страницы и проблемы

Как востановит случайн удаленний telegram без востановление кантактов. Данние не важно.

WhiteRooms

4 дня назад

конечно все понимаю что гайд для 10-й винды но не могли бы вы сделать и для 11-й?

Почему Дискорд заглушает звуки остальных приложений и как это исправить

Алексей

История такая: (на windows) скачивал файлы, но из-за занятости диска переместил, затупил и потом поменял папку загрузки. Можно чтоб телеграмм провелил папку и не качал уже существующие? А то рядом с существующим появляется такой же с пометкой (2). А в чате не пишется что уже такой есть.

Куда Телеграм сохраняет скачанные файлы на смартфонах и компьютере

валентина

5 дней назад

спасибо, большое, Вы мне помогли, как Вы и сказали, пустяк бывает проблемой, так и вышло, клавиша fn была отключена случайно когда то видимо.

Почему не работают сочетания горячих клавиш на Windows 10 и как исправить

Сергей

Почему не получается зайти на сайт zabava.ru

Как платно и бесплатно скачать самообновляемый IPTV-плейлист ZABAVA

Илья

Красавчик, спасибо, мне помогло!

Устраняем ошибку: неправильная секция установки службы в этом inf файле MTP

яяяяя

шифт + э на ENG раскладке и все.

Как на клавиатуре набрать «собаку» — три способа для ПК и ноутбука

Анна

7 дней назад

Здраствуйтевладимирвладимировичпутинименязавутаннаяабращяюськвамзаматериальнайпомащьюперечислитемнеадинмилионвосемсотдвадц

Как написать письмо президенту России Путину лично

Здраствуйте

здраствуйтевладимирвладимировичпутинменязавутлегошынааннасергеевнаяжывувгораденижняятураяабращяюськвамзаматериальнайпомащьюяпенсианеркапалучяюпенсиюдевятнадцатьдевядцотмнеэтихденякнехватитперечислитемнеадинмиллионвосемсотдвадцатьрублейнасрочнаеличенияябудуждатьотвасэсэмэсуведамленияанна

Moderator

Здравствуйте. А консоль не сообщает о том, какие именно компоненты не удалось восстановить? Также попробуйте воспользоваться утилитой DISM, введя команду DISM /Online /Cleanup-Image /CheckHealth для проверки состояния системы или DISM /Online /Cleanup-Image /RestoreHealth для автоматического исправления ошибок и загрузки недостающих компонентов.

5 способов устранения ошибки системы Windows 10 – Page Fault In Nonpaged Area

Здравствуйте. К сожалению, технология потихоньку уходит в прошлое. Поэтому каналов с каждым днем становится все меньше и меньше Скорее всего скоро и каналы из материала станут неактивными.

IPTV-плейлисты для просмотра онлайн каналов телевидения и радио домена GE

Здравствуйте. Прекрасно, раз проблема решилась. Благодарим за обратную связь.

Почему компьютер не видит колонки и 7 способов решения на ОС Windows 10

Здравствуйте. Обычно в таком случае помогает переустановка приложения и повторная регистрация. Однако предложу Вам еще дополнительно подождать 48 часов. Обычно после этого времени снимаются блокировки с аккаунта и обновляется база.

Здравствуйте. Рады, что смогли помочь. Благодарим за обратную связь.

Что это за программа Meta App Manager и нужна ли она на Андроид

Рукият

Как вернуть канал если ты случайно вышла с аккаунта

Карина

Весьма интересная статья, но ни одним из предоставленных в тексте операторов не пользовалась. Я с Безлимитом рука об руку иду 11 лет. Советую попробовать оператора сотовой связи Безлимит!

Рейтинг топ-4 лучших сотовых операторов России по качеству связи в 2023

Абоба

А не надо было его кормить просроченным вискасом!!!!!

Что это такое – Cat Controls, как активировать и отключить игру на Android 12

Глеб8

Заказал гоу-прошку из Китая, с заказом проблем не возникло, оформление как и любого товара через озона. Техническое отличие есть в сроках доставки и в том что первый раз пришлось там паспортные данные указать, но в целом это пустяки. Товаром доволен, в хорошем состоянии и сэкономить неплохо так удалось.

Что значит доставка Озон Глобал и сколько это стоит, сроки и как вернуть заказ

Дима

У мня горел восклицательный знак на видеоодаптере я его отключил и снова подключил через свойства и все ок

Как в Windows 10 настроить рабочий стол, если он выходит за рамки монитора

Авладимир

8 дней назад

Помогло.рекомендую спасибо

12 шагов по исправлению ошибки Windows 10 – Не удается войти в учетную запись

Вячеслав

Здравствуйте. При сканировании Sfc в отчете указано что найдены поврежденные файлы но виндовс не может их восстановить. Подскажите дальнейшие действия пожалуйста.

Саша

Отстой этот не берите я 2200 выкинул

Как можно подключить консоль Game Stick Lite к телевизору –инструкция

Аслан

Билайн самый худший интернет из всех, каждые несколько минут переходит на EDGE а потом обратно , поэтому например в игры требующие постоянного подключения к интернету невозможно играть. И сам по себе интернет ужасный

Самый худший оператор сотовой связи в России: что говорит народное мнение

Бука

SmallPDF это разводка, якобы конвертируют онлайн, но скачать результат вы не сможете. Требуют бабок уроды.

ТОП лучших онлайн конверторов из PDF в Word

Нега

9 дней назад

Здравствуйте,вы разобрались с проблемой ? У меня просто тоже самое не знаю как войти в аккаунт

Ашот

Позвоните срочно.

Как отписаться от платных услуг Kopeechka.su (Копеечка займ) и вернуть деньги

alik

здравствуйте а можно больше телеканалов маловато

Пон

10 дней назад

о боже, и спаси господь. Здоровье тебе и близким

6 способов исправления не работающей кнопки Windows на клавиатуре Windows 10