Что такое кликджекинг, или как обманывают в Сети

Что скрывается за сложным термином

Это сочетание английских слов: click – «нажатие» и jacking – жаргонный вариант слова «захват». Среднестатистический интернет-пользователь обычно не знаком с термином «кликджекинг». Однако явление, которое он описывает, встречается гораздо чаще, чем подозревает большинство людей. Это своеобразный захват действия пользователя обманом, чтобы заставить его щелкнуть элемент веб-страницы, который невидим или замаскирован под другой элемент.

Человек считает, что он щелкает видимую страницу, но в действительности он щелкает невидимый элемент на дополнительной странице, расположенной поверх нее. Это может привести к тому, что пользователи непреднамеренно загрузят вредоносное ПО, посетят опасные веб-сайты, предоставят учетные данные или конфиденциальную информацию, переведут деньги или приобретут товары в интернете.

Сергей Кузьменко

РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ЦИФРОВОЙ ЭКСПЕРТИЗЫ РОСКАЧЕСТВА

Технически кликджекинг выполняется путем отображения невидимого HTML-элемента поверх страницы, которую видит пользователь. Невидимая страница может быть вредоносной или неблагонадежной. Представьте, что под кнопкой «Получить подарок» может прятаться, например, согласие на платную подписку или единоразовый денежный перевод.

В худшем случае поддельная страница приведет пользователя на автоматически скачиваемый файл, который может оказаться вредоносным ПО. Возможные варианты последствий – кража конфиденциальных или платежных данных, вымогательство (в случае с трояном-шифровальщиком), несанкционированное использование мощности и возможностей устройства пользователя. В особо тяжелых случаях – форматирование жесткого диска.

Пример атаки «кликджекинг»

Пользователь хочет нажать на кнопку «лайк», а над ней уже стоит подложная кнопка, невидимая. И человек таким образом совершит не то действие, которое намеревался. Его лайк отправится другому пользователю, либо же вообще откроется реклама.

Окно с рекламой – это самое распространенное и в то же время безобидное, что может произойти. Страшнее, если после нажатия безобидных кнопок появится запрос на получение данных с микрофона или камеры. Большинство пользователей на автомате просто нажмут «oк». Однако сначала нужно прочитать запрос и подумать, кому и для каких целей это может быть нужно. Если текст сформулирован непонятно, то лучше закрыть окно вовсе.

Виктория Власова

эксперт по кибербезопасности «Лаборатории Касперского»

Кликджекинг – это один из механизмов обмана посетителей сайтов. Человек думает, что щелкает по настоящему элементу интерфейса сайта, а на самом деле кликает по объекту, встроенному в страницу злоумышленником. Например, это может произойти, если злоумышленники размещают прозрачный слой с активными элементами поверх основного содержимого страницы. Таким образом они «перехватывают клик» жертвы. Используя технику кликджекинга, мошенники могут, например, перенаправлять пользователей на другие страницы. Если злоумышленник разместит невидимое диалоговое окно поверх формы авторизации, то сможет украсть учетные данные, которые введет посетитель. Чтобы обезопасить себя от этой киберугрозы, мы рекомендуем обновлять установленные программы, например браузеры, а также использовать надежное защитное решение, которое заблокирует вредоносное содержимое сайта.

Кнопка-невидимка может привести на сайт, где попросят ввести личные данные, реквизиты счета или номер карты. Если вы на сайте банка и нажали кнопку «Оплатить», то все хорошо, но, если на сайте, например, турфирмы вы жмете «Забрать подарок», а после вас выкидывает на страницу платежа – бегите!

Советы по кибербезопасности

Хорошо бы проверять сайты, которые вы посещаете. Для этого скопируйте адрес и зайдите на сервис для проверки доменного имени. В полученной информации вас должно интересовать два пункта – кому принадлежит сайт и дата регистрации. Если сайту меньше месяца или вообще пара недель, то стоит задуматься о его благонадежности.

• Регулярно обновляйте браузер, последние версии содержат новейшую защиту от киберугроз.

• Проверяйте сайт, прежде чем переводить деньги с его помощью.

• Если проверить сайт нет возможности, попросите у продавца выставить вам счет для безналичной оплаты. Официально зарегистрированные юридические лица сделают это без вопросов.

• Не вступайте в диалог с людьми, которые просят деньги либо присылают подозрительные ссылки.

• Если знакомый человек просит срочно перевести ему деньги, уточните у него лично, действительно ли он в этом нуждается. Часто мошенники пишут со взломанных страниц друзьям жертвы.