Что такое кликджекинг?

Кликджекинг, также известный как атака типа «кликджекинг» или «кликджек» — это кибератака, в которой с помощью скрытых ссылок пользователей обманом заставляют совершить непредусмотренное действие, что приводит к раскрытию конфиденциальной информации и взлому.

Читайте дальше, чтобы узнать больше о кликджекинге и о том, как он работает.

Понимание кликджекинга

При кликджеке пользователи нажимают на что-то в Интернете, рассчитывая выполнить одно действие, но при этом не понимают, что фактически выполняют другое, непреднамеренное, действие. Это означает, что злоумышленники могут обманом заставить вас загрузить вредоносное программное обеспечение (вредоносное ПО) и, таким образом, случайно раскрыть личную идентифицируемую информацию (PII) или столкнуться с другими серьезными последствиями.

Кликджекинг используется в качестве средства для проведения различных кибератак. Его трудно обнаружить, и в результате злоумышленники могут похитить ваши пароли или конфиденциальную информацию, например номера банковских счетов, кредитных карт и социального страхования. Конечной целью сбора этой информации является кража денег, завладение вашими учетными записями или хищение персональных данных.

Как работает кликджекинг

Злоумышленники используют кликджекинг для обмана и манипуляций с тем, что пользователь видит на экране. Они накладывают невидимые поля поверх вполне правдоподобных, чтобы замаскировать совершаемые пользователем действия. Это может выполняться с целым веб-сайтом или просто с всплывающей рекламой. Иногда хакер даже встраивает настоящий веб-сайт в свой собственный, чтобы он выглядел максимально реальным. Его также называют поддельным веб-сайтом.

Вы будете нажимать содержимое вводить учетные данные или предоставлять другую конфиденциальную информацию, считая, что находитесь на настоящем сайте. Вам будет казаться, что вы выполняете законные действия, но из-за невидимых полей случайно загрузите вредоносное ПО или отправите информацию злоумышленникам.

Злоумышленники направляют вас на свой ненастоящий интерфейс, размещая поддельную рекламу, которая выглядит так, будто ведет на настоящие сайты, отправляя вам поддельные электронные письма и текстовые сообщения, делая публикации в социальных сетях или запуская зараженные всплывающие окна.

Примеры кликджекинга

Вот несколько примеров того, как кликджекинг может работать в реальных условиях:

• Пользователь получает электронное письмо, как ему кажется от настоящего сайта социальной сети, например Facebook. Он нажимает ссылку, которая приводит его на поддельный сайт, в который встроен настоящий сайт Facebook. Пользователь пытается войти в учетную запись Facebook, вводя в полях свои учетные данные. Однако на поддельном сайте накладываются невидимые поля поверх полей Facebook, что позволяет злоумышленнику украсть учетные данные пользователя.
• Пользователь видит объявление, которое, судя по всему, разместил известный банк, например Chase. Он решает создать учетную запись, нажимая объявление, которое приводит его на поддельный веб-сайт, в который встроен веб-сайт Chase. Он пытается создать учетную запись, заполнив конфиденциальную информацию, например номер социального страхования. Однако невидимые поля, наложенные на реальные, копируют информацию и отправляют ее злоумышленнику.
• При навигации по веб-сайту появляется всплывающее окно. Пользователь нажимает «X», чтобы закрыть всплывающее окно, но «X» — это ссылка для загрузки, которая устанавливает вредоносное программное обеспечение на его компьютер.

Последствия кликджекинга

Если кликджек выполнен успешно, злоумышленник может украсть информацию, например личную идентифицируемую информацию или учетные данные, или установить вредоносное ПО на ваше устройство. Это может быть любое вредоносное ПО, включая шпионское ПО или кейлоггер, то есть вредоносное ПО, которое крадет пароли из вашего браузера.

Крадут ли злоумышленники данные сами или устанавливают программное обеспечение, которое крадет данные вместо них, их конечная цель — либо продать ваши данные другим злоумышленникам, либо использовать данные для кражи денег или персональных данных.

Доказать, что ваши персональные данные были украдены или что кто-то завладел вашим банковским счетом, может быть сложно и дорого. На полное восстановление после подобных атак могут уйти годы.

Предотвращение кликджекинговых атак

Ответственность за предотвращение кликджекинговых атак несет владелец веб-сайта, на котором может произойти кликджек. Существуют методы, которые не позволяют злоумышленникам встраивать подлинный сайт в поддельный, например с помощью X-frame, то есть кода, который не дает встроить веб-сайт в кадр. Это будет серьезным препятствием для кликджека.

Владельцы веб-сайтов также должны тщательно проверять потенциальных рекламодателей на своем ресурсе. Следует удостовериться, что любая реклама на их сайте является настоящей и не приведет к кликджекингу.

Как пользователи могут защитить себя?

Хотя владельцы веб-сайтов несут ответственность за защиту пользователей, иногда и они совершают ошибки. К счастью, есть основные советы по безопасности в Интернете, которые помогут вам защитить себя от кликджекинга.

• Просматривайте надежные веб-сайты. Известные и часто посещаемые сайты с большей долей вероятности смогут защитить своих пользователей от таких атак, как кликджекинг.
• Переходите на веб-сайты, используя официальный URL-адрес. Если не знаете, найдите веб-сайт в Google. Первым результатом поисковой системы должен быть действительный URL-адрес, также известный как адрес веб-сайта.
• Не нажимайте всплывающие окна. Поскольку любое нажатие может привести к загрузке вредоносного ПО, самый безопасный способ покинуть всплывающее окно — это закрыть окно браузера.
• Изучите достоверность срочных писем и текстовых сообщений. Злоумышленники часто используют призыв к срочным действиям, чтобы не дать вам времени проверить достоверность сообщения. Всегда связывайтесь с предполагаемым отправителем напрямую с помощью официальной контактной информации, чтобы узнать, действительно ли сообщение пришло от него.
• Загружайте приложения или файлы из надежных источников. Случайные ссылки в Интернете для загрузки файлов или приложений могут содержать вредоносное ПО. Всегда загружайте приложения из официального Apple App Store или Google Play Store, даже если это дороже.
• С подозрением относитесь к слишком выгодным предложениям. Злоумышленники часто обманом заставляют пользователей нажимать рекламу, которая перенаправляет на поддельные сайты, делая, казалось бы, удивительные предложения, например большие скидки на дорогие и популярные товары.
• Используйте менеджер паролей. Многие менеджеры паролей имеют функцию автозаполнения, которая работает только с тем URL-адресом, который был сохранен с помощью пароля. Если вы находитесь на поддельном веб-сайте компании, в которой у вас есть учетная запись, менеджер паролей не будет автоматически заполнять ваши учетные данные, и вы будете знать, что этот сайт является ненадежным.

Будьте бдительны, чтобы не стать жертвой

Кликджекинг — это всего лишь один из способов, которым злоумышленники могут атаковать вас. Следуя рекомендациям по кибербезопасности и оставаясь в курсе новостей в области кибербезопасности, вы будете знать обо всех киберугрозах, а также защитите свои данные и личность.