查看所有博客

什么是点击劫持？

网络安全

出版日期： 24 7 月, 2023

写的 Aranza Trevino

编辑的 Anne Cutler

审查了 Darren Guccione

点击劫持，也被称为点击劫持攻击，为一种网络攻击，它通过隐藏的链接诱骗用户不小心执行无意中的操作，导致敏感信息的暴露和被黑客攻击。

继续阅读，详细了解点击劫持及其原理。

了解点击劫持

在点击劫持中，用户可能点击线上的某些内容来完成一项操作，然而不知不觉中该操作却出现了预料之外的结果。这说明网络犯罪分子可能会诱骗您下载恶意软件，导致您意外暴露敏感的个人身份信息 (PII)，或者面临其他严重后果。

点击劫持是一种用来发动各种网络攻击的媒介。它很难被发现，并可以帮助网络犯罪分子窃取您的密码或敏感信息，例如银行账户、信用卡和社保号码等。收集这些信息的最终目的包含窃取您的钱财、接管您的账户或夺取您的身份。

点击劫持的原理

网络犯罪分子会暗中操纵您在屏幕上看到的内容，然后利用点击劫持来诱骗您。他们会在有效区域的上方叠上不可见的区域，来遮住您实际做的操作。这些可能在整个网站或弹出式广告上出现。有时黑客甚至将合法网站嵌入到自己的网站中，让它看起来尽可能真实。这也被称为欺骗网站。

当您相信您浏览的是正当网站的时候，您就会点击里面的内容、输入您的凭证或提供其他敏感信息。您会以为自己做的是正当操作，但这些隐藏区域会导致您意外下载恶意软件，或将信息发送给网络犯罪分子。

网络犯罪分子会通过投放看似能引导入正当网站的虚假广告、向您发送虚假电子邮件和短信、在社交媒体上发表帖子或运行受感染的弹出窗口等方式诱导您进入他们的非正当页面。

点击劫持示例

以下是点击劫持如何在实际中运行的一些示例：

用户从他们认为是真实的社交媒体网站（如 Facebook ）中收到电子邮件。他们点击链接后，进入一个虚假的网站，该网站仅嵌入了一个真实的 Facebook 网站。用户会尝试通过在字段中输入他们的凭证来登录他们的 Facebook 账户。然而，该虚假网站在 Facebook 的字段中隐藏了不可见的字段，使网络犯罪分子能够窃取用户的凭证。
用户看到的是似乎由大通银行等知名银行公司运营的广告。他们决定创建一个账户，于是点击广告，并被带到一个虚假的网站，里面嵌入了大通银行网站。他们尝试填写敏感信息（例如他们的社会保障号码等）来创建账户。然而，覆盖在真实字段上的隐藏字段会复制里面的信息，并将其发送给网络犯罪分子。
当用户浏览网站时，会出现弹出窗口。用户点击“X”来关闭弹出窗口，但“X”实际上是在用户电脑上安装恶意软件的下载链接。

点击劫持的影响

如果点击劫持成功，网络犯罪分子可以窃取 PII 或凭证等信息，或在您的设备上安装恶意软件。它可以是任何类型的恶意软件，包括间谍软件或键盘记录器，键盘记录器是一种能从您的浏览器中窃取密码的恶意软件。

无论网络犯罪分子通过自行还是通过安装软件窃取数据，他们的最终目标是想将您的数据出售给其他网络犯罪分子，或利用这些数据来盗取金钱或您的身份。

想要证明您的身份被盗，或者有人盗用了您的银行账户，可以是既困难又昂贵。可能需要数年时间才能从这些攻击中完全恢复。

防止点击劫持攻击

防止点击劫持攻击是网站所有者的责任。有一些方法可以防止网络犯罪分子将合法网站嵌入到虚假网站，例如使用 X 帧选项，这是一种防止网站被嵌入到框架中的代码。这将是防止点击劫持的一个主要屏障。

网站所有者还应该仔细审查他们网站上的广告商。他们应该确保在网站上投放的任何广告都是正当的，并且不会出现点击劫持。

用户如何保护自己

虽然网站所有者有责任保护用户，但他们有时也会疏忽。有幸的是，基本的互联网安全技巧可以帮助您免受点击劫持。

浏览可信网站。 知名和流量大的网站更有可能真正地保护他们的用户免受点击劫持等攻击。
使用官方 URL 导航到网站。 如果您不确定，请在 Google 搜索该网站。正当的 URL （即网站地址）一般是第一个搜索引擎结果。
避免点击弹出窗口。 由于任何点击都可能导致下载恶意软件，所以离开弹出窗口的最安全方法是关闭浏览器窗口。
调查收到的紧急电子邮件和短信是否真实。 网络犯罪分子通常使用紧迫性强的语言来阻挠您停下来检查该消息是否真实。始终只直接联系官方提供的发件人，向他们询问这条消息是否真的来自他们。
从可信的地方下载应用程序或文件。 在随便看到的链接下载文件或应用程序，可能会下载到恶意软件。始终从官方的 Apple App Store 或 GooglePlay Store 下载应用程序，即使有些应用程序的价格更高。
对好得令人难以置信的广告保持怀疑。 网络犯罪分子通常会通过展示一些非常诱人的优惠（例如，为昂贵的热门商品提供大幅折扣等）来诱骗用户点击他们的广告，然后这些广告会重定向到虚假网站。
使用一款密码管理器 许多密码管理器都有自动填充功能，该功能仅用于您以该密码保存的 URL 。如果您是在一个有欺骗性的公司网站上，密码管理器不会自动填充您的凭证，您也能知道该网站是非正当的。

保持警惕，避免成为受害者

点击劫持只是网络犯罪分子攻击您的其中一种方式。遵循网络安全最佳实践、及时跟进网络安全新闻可以帮助您及时了解最新的网络威胁，同时保护您的数据和身份。

Aranza Trevino

作者： Aranza Trevino

Aranza Trevino 是 Keeper Security 的高级 SEO 内容专家。她是一位经验丰富的网络安全趋势和数据分析师，通过她的博客努力不断获取行业知识以教育读者。Aranza 的博客旨在帮助公众和企业更好地了解密码管理、密码安全和防范网络威胁的重要性。Aranza 拥有理学学士学位，毕业于德保罗大学数字营销专业。