Кликджекинг (clickjacking) — это обманный метод, используемый злоумышленниками, при котором пользователь обманом вынуждается кликнуть на невидимую или маскированную ссылку, что может привести к нежелательным действиям, таким как передача конфиденциальной информации, подписка на платные услуги, загрузка вредоносного ПО или выполнение других нежелательных действий.
В кликджекинге пользователь видит, например, кнопку или ссылку, которая выглядит как обычный элемент веб-страницы (например, кнопка "Пропустить рекламу" или "Открыть"), но при клике на неё пользователь случайно взаимодействует с невидимым слоем или другим действием, не подозревая об этом.
Основные механизмы кликджекинга
Скрытая область клика
Злоумышленник может наложить на веб-страницу невидимый слой, который реагирует на клики пользователя. При клике пользователь может случайно выполнить целевое действие, например, подписаться на платный сервис.
Использование iframe
Вредоносный сайт может встроить (в iframe) целевую ссылку поверх другой страницы, чтобы пользователь случайно кликнул на неё, даже если кажется, что клик направлен на другой элемент.
Кнопки-маскировки
Кнопки, маскированные под функциональные элементы, такие как "Сохранить" или "Пропустить", но при этом перенаправляющие пользователя на другие действия или страницы.
Предположим, пользователь зашёл на новостной сайт и видит кнопку "Открыть статью". При клике на эту кнопку, на самом деле, срабатывает скрытая ссылка, которая подписывает пользователя на платную SMS-услугу или загружает вредоносный файл.
Опасности кликджекинга
- Кража данных - кликджекинг может использоваться для кражи информации, например, паролей, банковских данных или другой конфиденциальной информации.
- Подписки на платные сервисы - пользователь может случайно подписаться на платные подписки или услуги, не понимая, как это произошло.
- Распространение вредоносного ПО - клик может запустить скрытую загрузку вредоносного ПО, которое способно нанести ущерб системе.
- Кража учётных данных через социальные сети - злоумышленники могут воспользоваться кликджекингом, чтобы вынудить пользователя выполнить вход в социальные сети или авторизовать вредоносное приложение.
Как защититься от кликджекинга
Защита от кликджекинга требует как технических решений со стороны разработчиков, так и осторожности со стороны пользователей:
Для пользователей:
- Будьте осторожны при клике на подозрительные ссылки, никогда не переходите по ссылкам, полученным по электронной почте или через мессенджеры, если не уверены в их безопасности.
- Проверяйте адреса сайтов, на которые вы переходите, чтобы убедиться, что они действительно безопасны.
- Используйте блокировщики рекламы и инструменты защиты, которые могут помочь предотвратить кликджекинг.
Для разработчиков и владельцев сайтов:
- Настройка и использование механизма CSP помогают блокировать нежелательные iframe и обрамления
- X-Frame-Options - это HTTP-заголовок, который может запретить вставку сайта в iframe на сторонних страницах. Пример заголовка:
X-Frame-Options: DENY
- Аутентификация и подтверждение действий путем внедрения подтверждающих диалогов, чтобы пользователю требовалось подтвердить свои намерения перед выполнением важных действий
- Регулярное обновление системы безопасности
- Добавьте двухфакторную аутентификацию для повышения уровня защиты учетных данных.
Кликджекинг — это опасная и обманная техника, которая может привести к краже данных, подпискам на платные услуги и другим нежелательным действиям. Как пользователи, мы должны быть осторожны при кликах на подозрительные ссылки, а разработчики — использовать современные механизмы защиты, чтобы минимизировать риск.
Понимание этого метода позволяет нам быть внимательнее, защищать личные данные и обеспечивать более безопасный пользовательский опыт в интернете.