Все секреты компьютера для новичка и профессионала

Что такое кликджекинга простыми словами и типы атак

Что такое кликджекинга простыми словами и типы атак

Интернет является незаменимой вещью, позволяющей общаться и находить нужную информацию. Однако глобальная паутина таит в себе немало угроз в виде вредоносных файлов и сайтов, которые способны не только нанести вред устройству, но и похитить персональные данные владельца. Сегодня рассмотрим понятие кликджекинга. Сейчас он набрал невероятную популярность у злоумышленников, из-за чего каждый пользователь может пострадать от внешней атаки.

Что это такое?

Clickjacking – термин, состоящий из двух частей: «click» (клик) и «jacking» (взлом). Им называют механизм обмана пользователей интернета, который построен на «похищении» кликов. Как правило, задачей кликджекинга становится похищение персональных данных владельца того или иного устройства, включая личную переписку и даже банковские карты. Кроме того, подобная атака способна обеспечить доступ к компьютеру или другому гаджету для дальнейшего управления им.

klikdzheking_1

В технические аспекты кликджекинга мы углубимся чуть позже, а пока сосредоточимся на общем принципе работы данного вида атак. Злоумышленник заманивает пользователя на страницу веб-сайта, который внешне выглядит совершенно безобидно. На видимый слой ресурса накладывается вредоносный код, представляющий собой определенный элемент управления (например, кнопку).

Таким образом, совершив клик, казалось бы, по пустой части окна, пользователь может оформить подписку на получение уведомлений от фишингового сайта или вовсе приобрести совершенно ненужный товар. При этом сам человек не видит, какое действие совершается, ведь целевые для злоумышленника элементы интерфейса оказываются скрыты.

klikdzheking_2

Рассмотрим принцип действия кликджекинга на одном из множества примеров. Допустим, вы проводите время в какой-то социальной сети и решаете посмотреть видеоролик. Вы нажимаете кнопку «Play», под которой скрывается другая невидимая кнопка, но вместо воспроизведения попадаете на главную страницу опасного сайта.

И это лишь малая из бед, которые могут с вами произойти. Порой злоумышленникам удается встроить в страницу код, который крадет персональные данные со страницы в социальной сети, что впоследствии используется для деанонимизации человека.

История

Кликджекинг – это довольно старое явление, которое впервые было использовано еще в 2002 году. Именно тогда была выявлена уязвимость сайтов, позволяющая разместить на странице прозрачный слой, незаметный для обывателя.

klikdzheking_3

До 2008 году данной проблеме не уделялось должного внимания, но, когда создатели термина «clickjacking» Иеремия Гроссман и Роберт Хансен обнаружили уязвимость Adobe Flash Player, это заставило говорить о кликджекинге, как о глобальном и очень опасном явлении на просторах интернета.

Типы атак

Кликджекинг характеризуется множеством форм, которые используются злоумышленниками в разных ситуациях. Сегодня можно выделить следующие типы атак:

  1. Классический (Clickjacking). Мошенник использует скрытый слой интернет-страницы для совершения целевых действий на другом сайте. При помощи подобного типа атак в США было оформлено немало покупок на Amazon.
  2. Лайкджекинг (Likejacking). Технология обмана, впервые замеченная на Facebook. Запуская видео или кликая по другому элементу интерфейса, пользователь нажимает невидимую кнопку лайка и незаметно для себя ставит отметку «Нравится».
  3. Курсорджекинг (Cursorjacking). Незаметное перемещение курсора компьютерной мышки для совершения тех или иных действий на веб-странице. Данная атака впервые была замечена в 2010 году на операционных системах Mac OS X при взаимодействии с некоторыми браузерами.
  4. Маусджекинг (Mousejacking). Подвид курсорджекинга, впервые выявленный в 2016 году. Эта технология работает с беспроводными компьютерными мышками, позволяя злоумышленнику управлять действиями пользователя.
  5. Кукиджекинг (Cookiejacking). Вид кликджекинга, направленный на похищение данных cookie путем совершения пользователем нажатий по невидимому слою страницы.
  6. Файлджекинг (Filejacking). Продвинутый тип атак, построенный на базе возможностей интернет-браузеров. Пользователь невольно создает файловый сервер через стандартное окно выбора файлов Windows, после чего к его ПК подключается мошенник.
  7. Парольджекинг (Passwordjacking). Принцип похищения паролей через использование небезопасного автозаполнения форм. Встречается на компьютерах, где пароли сохраняются через https.

Поскольку кликджекинг не побежден и до сих пор продолжает существовать, увеличивая размеры кошельков мошенников, продолжают появляться новые виды. Поэтому не исключено, что в ходе прочтения материала где-то на просторах интернета появился еще один тип атаки через взлом кликов.

klikdzheking_4

Как найти кликджекинг на сайте

Увы, признаки кликджекинга невозможно заметить, не прибегая к дополнительным средствам. Ведь принцип работы «вредителя» строится на невидимой оболочке веб-сайта. Однако его следы удается обнаружить в коде страницы. Рассмотрим принцип поиска кликджекинга на примере веб-консоли Mozilla Firefox:

  • Авторизуйтесь в VK.
  • Очистите cookies для подозрительного сайта.
  • Откройте новую вкладку.
  • Запустите веб-консоль комбинацией клавиш «Ctrl» + «Shift» + «K».
  • Введите в адресную строку URL-адрес подозрительной страницы.
  • Перейдите во вкладку «Сеть».
  • Если здесь присутствует обращения формата «widget_auth.php», то подозрительный сайт использует кликджекинг для авторизации в VK, а наличие обращения «widget_like.php» свидетельствует о работе лайкджекинга.

klikdzheking_5

Конечно, описанный способ поиска кликджекинга подходит для выявления ограниченного количества атак. Рассмотреть их все не представляется возможным, поэтому оптимальным вариантом защиты от подобного является полное понимание работы Clickjacking. Далее мы подробно расскажем об этом.

Clickjacking в действии

Чтобы не попасться на кликджекинг, нужно понимать, как он работает. Сначала мошенник настраивает среду, которая будет использоваться для атаки, а потом запускает угрозу. Давайте посмотрим, как злоумышленники это делают.

На заметку. В нашем примере будет рассматриваться пример создания кликджекинга через программу Node.js, которую вы можете установить на компьютер - https://nodejs.org/.

klikdzheking_6

Настройка среды

Итак, первым делом злоумышленник готовит почву для совершения атаки. Он клонирует интерфейс сайта, чтобы встроить в него элементы кликджекинга. Вот как выглядит настройка среды для github.com:

  1. Клонирование осуществляется командой «git clone https://github.com/auth0-blog/clickjacking-sample-app.git».
  2. Далее устанавливается зависимость сайта командой «npm install».
  3. Для просмотра уязвимого сайта используется запрос «npm start».

Как видите, создание опасной среды не отнимает у злоумышленника много времени. Далее он может ознакомиться с получившейся страницей-подделкой, введя в адресной строке запрос http://localhost:3000.

klikdzheking_7

В следующем пункте материала при анализе способа запуска атаки мы будем рассматривать пример работы кликджекинга, когда пользователь случайно оформляет покупку фильма, сам того не зная.

Запуск атаки кликджекинга

Чтобы ничего не подозревающий пользователь оформил ненужную покупку, злоумышленник создает фейковую страницу, не имеющую ничего общего с представленным ресурсом.

klikdzheking_8

Так, например, на экране появляется окно с информацией о том, что он выиграл приз. Ему останется лишь кликнуть по кнопке, и покупка будет оформлена. Вот, как это выглядит со стороны мошенника:

  1. В окне терминала выполняется команда «node attacker-server.js».
  2. В новом окне браузера открывается фейковая страница с призом, расположенная по адресу http://localhost:4000.
  3. Если посмотреть ее код, то можно увидеть, что в нем используется запрос к той самой кнопке покупки фильма по адресу http://localhost:3000/purchase.

Таким образом, одна кнопка наслаивается на другую. Но как злоумышленнику удалось добиться такого результата?

klikdzheking_9

Анатомия атаки

Если ознакомиться с телом страницы злоумышленника, открыв «index.ejs» из папки «view», то можно заметить видимую (attacker_website) и невидимую (vulnerable_website) часть шаблона.

klikdzheking_10

Объединение двух компонентов происходит за счет правил CSS. Чтобы сделать элемент невидимым (в нашем случае это «vulnerable_website»), ему присваивается значение «0.0» для компонента «opacity». По своему расположению он перекрывает «attacker_website» и накладывается на него.

klikdzheking_11

Что не относится к кликджекингу

Чтобы закрыть тему с кликджекингом, нужно выделить примеры абсолютно легальных элементов интерфейса, которые действуют практически так же, как и рассмотренная форма атаки:

  • социальный замок;
  • подписка;
  • активный фон сайта;
  • push-рассылки.

Чаще всего с кликджекингом путают push-рассылки от сайтов. Однако здесь нет никакого нарушения конфиденциальности пользователя. Ведь он сам нажимает кнопку «ОК», соглашаясь тем самым с получением пуш-уведомлений от выбранного ресурса.

klikdzheking_12

Информационный портал IT Техник
Вам помогло? Поделитесь с друзьями - помогите и нам!
Поделиться
Отправить
Класснуть
Линкануть
Вотсапнуть
Запинить
Комментарии к статье: 0
Добавить комментарий


Наш Youtube-канал
Канал Telegram

Прямой эфир

Светлана
Светлана
Как отменить подписку и вернуть деньги
Как можно отписаться от платных услуг сервиса Pse my-finance barnaul rus
Анастасия
Анастасия
Отключите подписку, и верните деньги! Писала вам на электронную почту не кто не отвечает, если не отключите подписку и не вернёте деньги пойду в полицию
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Галина
Галина
Отключите мне эту подписку , я ей ни когда не пользовалась ,а деньги списывает уже давно.
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
юоЛ
Как отключить подписку на сервис EvoCloud Moskva RUS и почему он списал деньги
Светлана
Светлана
Как вы отписались
Как можно отписаться от платных услуг и подписок сервиса Snackinhealth
Валентина
Валентина
Отписаться от платных услуг
Как можно отписаться от платных услуг и подписок сервиса Займы.рф (Zaimy.rf)
Ирина
Ирина
Вот я смотрю модератор оправдывает сайт а сколько таких людей как я за сегодня кинули на деньги они даже не стесняются я им сегодня этим мошейникам написала опять о покупке собачки и они со мной опять вели переписку ,а переписку ведут только по ватсапу,а когда поняли они и этот номер заблокировали
Leboard ru — что это за сайт, стоит ли его опасаться?
Ирина
Ирина
Надо в суд я так думаю подать наверно завтра просто седня в шоке сижу
Leboard ru — что это за сайт, стоит ли его опасаться?
Ирина
Ирина
Мне кажется те объявления какие опобликовывают нормальные люди перехватывают мошейники потом разводят людей как меня сегодня
Leboard ru — что это за сайт, стоит ли его опасаться?
Ирина
Ирина
Виктор, а меня там развели 15 000 какие были последние
Leboard ru — что это за сайт, стоит ли его опасаться?
Алламов уктам
Алламов уктам
Обратно деньги 1999 отключить payzaim
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Алламов уктам
Алламов уктам
Отключить payzaim обратно деньги 1999
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Алламов уктам
Алламов уктам
Отключить payzaim обратно деньги 1999
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Алламов уктам
Алламов уктам
Отключить payzaim обратно деньги 1999
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Алламов уктам
Алламов уктам
Обратно деньги можно 1999
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Алламов уктам
Алламов уктам
Обратно деньги 1999
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Иван
Иван
Хуесосы
Как можно отменить подписку на сервис Vsegda love и вернуть свои деньги
Фдуч
Фдуч
Из за 4 городав держать в памяти этот мусор? У нас у всех тарифы по России - без роуминга. Ради чего этот мусор? В Китай я не собираюсь, чтоб 100% ощутить чудоработоспособность этой программы.
Что это за приложение Geniex Service – его плюсы и минусы, использование
Фдуч
Фдуч
Что то плюсов то и не обнаружил. Походу очередная лажа для слежки. Удаляю.
Что это за приложение Geniex Service – его плюсы и минусы, использование
надежда
надежда
стрельцова надежда константиновна тел 89609581851 т ребую отписать меня от рассылки я у вас ничего не выписывала и удалите мою карту с сайта иначе пойду в прокуратуру верните деньги которые списали с карты
Как отменить подписку на Юнону и почему она списывает деньги с карты
Анастасия
Анастасия
Отключите подписку я даже не знаю что это и кто вы!
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Олеся
Олеся
Такая же фигня, кругом одни мошенники. Ни какого договора не было вообще, что будут списывать и на что то подписаться!!!!
Как отменить подписку сервиса Safefile Tikhvin RUS и можно ли вернуть деньги
Татьяна
Татьяна
Пожалуйста отключите подписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Сергей
Сергей
Верните 488 рублей
Как отписаться от платных подписок и услуг сервиса RusKred и вернуть деньги
Сергей
Сергей
Хочу отписаться от платных услуг и вернуть 488 рублей
Как отписаться от платных подписок и услуг сервиса RusKred и вернуть деньги
...
...
Удалены абсолютно все возможные папки с Discord. Использованы все методы, однако всё ещё что-то мешает, чтобы переустановить программу заново.
Как полностью удалить Дискорд с компьютера с ОС Виндовс – инструкция
Галина
Галина
Отпишите меня пожалуйста от платных услуг и подписак? fishkazaim.org
Как описаться от платных услуг и подписок сервиса FishkaZaim – инструкция
Алиса
Алиса
Добрый день! Спасибо большое за совет, помогла перезагрузка телефона 👍😄
Пропал звук динамика на смартфоне, а в наушниках есть — что делать?
Мартин
Мартин
Прошу отписать меня от платных услуг кнопка деньги +79654952606
Как отписаться от платных услуг и подписок сервиса Кнопка Деньги – инструкция
Супер егор
Супер егор
Вы не знаете? Как отключить рекламу из игр. Сообщите вам
Как отключить и заблокировать рекламу в играх на Андроид, можно ли убрать
Ольга
Ольга
Не могу от отписаться от джомин кашмар помогите пожалуйста
Как отписаться от платных услуг и подписок сервиса Jomin – инструкция  
Людмила
Людмила
Спасибо, все получилось! Случайно удалила и вернула значок на экран , нажав на квадратик.А дальше как написано все сделала.
Что делать, если на Андроиде пропал значок настройки, как восстановить
Александр
Александр
Сегодня с моей карты было списано 3 раза по 299.99 руб верните
Как можно написать в поддержку сервиса Яндекс Плюс – 4 способа
Майя
Майя
Вы че , совсем не боитесь законов РФ? Вам пишут жалобы, вы всех пользователей площадки тик тока, игнорируете, Думаете, мы не сможем написать в Китай на рецепшн? Кса в РФ , нагло блокирует подписчиков? У вас могут быть Огромные онпиятности
Как написать в службу поддержки ТикТока и что делать, если не отвечают
Майя
Майя
Что за ерунда, Тик ттк заблокировали мои х подписчиков, якобы за нарушение, я не могу общаться с моими подписчиками, вообщетотэто нарушение закона рф по правам пользователей площадки ☝️ тик тока, 100 раз писала в тех поддержку, безопасность полностью игнорируют пользователей , Требую разблокировать мои личные переписки с моими подписчиками,
Как написать в службу поддержки ТикТока и что делать, если не отвечают
Татьяна
Татьяна
Мошенники, не отменяют подписку!!! И верните деньги!!!
Как отключить подписку на сервис DomograMRF и почему он списал деньги
Сусана
Сусана
Отписаться от подписки
Как можно отписаться от платных услуг и подписок сервиса Vzaemo ru
вайфай
вайфай
Пробуйте старые драйвера от Windows 7, 8, не новые. Может помочь. Перед установкой удалите wifi драйвер, а на устанавливаемый нажмите правой кнопкой мыги, свойства, совместимость, выбрать Windows 7, ок. И устанавливайте
Что делать, если ноутбук не видит сети Wi-Fi в Windows 10
Алексей
Алексей
Я вообще не подписывался и не знаю что это ,отключите подписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
пикабу
пикабу
Здравствуйте, кто хочет АКВАПАРК ЗВОНИТЕ ПО ТЕЛ. 8 (8452) 500 900
Никогда не перезванивайте на эти номера — 4 вида телефонного мошенничества
Лидия
Лидия
Вы их сняли???? Как???
Что значит в ВТБ пометка Standing Payment Order, когда деньги приходят и списываются
саид
саид
здравствуйте сегодня мне пришли деньги и я потратил их что будет?
Что значит в ВТБ пометка Standing Payment Order, когда деньги приходят и списываются
Бахтиëр
Бахтиëр
Отключите потписку
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Екатерина
Екатерина
Отключите пожалуйста чат грамм
Как отключить подписку сервиса Chatgram.me в Телеграме – инструкция
Ольга Талагаева
Ольга Талагаева
За что вы с меня 10 раз списали деньги. Верните их обратно 2250
Как отменить подписку на ООО «Аб Софт» и почему они списали деньги
Марина
Марина
Верните деньги которые были списаны с карты сегодня без моего согласия Мошенники
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Марина
Марина
Верните мне деньги которые были списаны сегодня С карты были списаны без моего согласия Это несанкционировснное списание Мошенники
Как отключить списывание средств PayZaim и можно ли вернуть деньги
Татьяна
Татьяна
Отпишите меня от платных услуг 89027947474
Как отписаться от платных услуг и подписок сервиса Credity g.St.Petersb RUS
Регина
Регина
Отключите подписку пожалуйста и верите мне деньги
Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция
Кирилл
Кирилл
ой извините не etc а host нету нивкаких папках
CompatTelRunner.exe что за процесс и почему грузит систему?