- Кликджекинг манипулирует интерфейсом с помощью невидимых слоев, чтобы перенаправить клики на скрытые и потенциально опасные действия.
- Существует множество вариантов (лайкджекинг, курсорджекинг, кукеджекинг, двойное кликджекинг), которые затрагивают веб-сайты, мобильные приложения и онлайн-банкинг.
- Для защиты необходимо сочетание осмотрительности пользователей, обновленного программного обеспечения и технических мер, таких как X-Frame-Options, CSP и скрипты защиты.
- Многоуровневая стратегия безопасности и постоянное повышение осведомленности значительно снижают риск подобных атак.
Кликджекинг стал одним из самых скрытных способов заработка. В мире кибербезопасности: на экране все выглядит нормально, вы нажимаете туда, куда, как вам кажется, нужно… и, сами того не осознавая, в фоновом режиме активируете нечто совершенно иное. Нет никаких странных окон или необычных загрузок, просто интерфейс, настроенный таким образом, чтобы заставить вас нажимать именно туда, куда хочет злоумышленник.
Этот тип атаки также известен как клик-хиджинг или перенаправление пользовательского интерфейса.Это вредоносная программа, сочетающая социальную инженерию и веб-технологии, такие как iframe и таблицы стилей, для наложения невидимых слоев на легитимные страницы. В результате вы можете установить вредоносное ПО, передать свои банковские данные или активировать камеру, даже не подозревая об этом. Давайте разберемся, что это такое, какие существуют варианты и, самое главное, что вы можете сделать, чтобы защитить себя как пользователь и как администратор веб-сайта.
Что такое кликджекинг и почему он так опасен?
Кликджекинг — это метод, при котором злоумышленник «перехватывает» ваши клики. чтобы перенаправить вас на скрытые элементы на другой странице, нежели та, которую вы, как вам кажется, используете. Вы видите, казалось бы, безобидную кнопку (закрыть рекламу, принять участие в розыгрыше, поставить лайк…), но над или под ней находится iframe или прозрачный слой, содержащий настоящую и опасную кнопку.
Ключ кроется в пересечении интерфейсов.Легитимный сайт загружается нормально, но киберпреступник добавляет поверх него прозрачный, почти невидимый интерфейс, который и принимает клик. Этого можно добиться с помощью HTML, пользовательских CSS и iframe, загружающих контент с других доменов, используя стандартные веб-функции.
В отличие от классического фишинга, при котором создается поддельный веб-сайт, При кликджекинге пользователь часто заходит на настоящий сайт своего банка, социальной сети или другого известного сервиса, чтобы ввести свои данные. Хитрость заключается не в полной подделке сайта, а в более сложном механизме, перехватывающем взаимодействие.
Термин «кликджекинг» был придуман в 2008 году Джереми Гроссманом и Робертом Хансеном.С тех пор эта техника значительно эволюционировала. Сегодня атаки могут варьироваться от простых ловушек для искусственного завышения количества «лайков» до сложных схем, активирующих веб-камеры, записывающих нажатия клавиш или изменяющих критически важные настройки безопасности корпоративных сервисов.
Реальные последствия для пользователя могут быть катастрофическими.Кража банковских учетных данных, несанкционированные переводы, покупки в интернет-магазинах, размещение контента в социальных сетях без разрешения, установка шпионского ПО или удаленный доступ к ресурсам устройства (камера, микрофон, SMS, контакты и т. д.). И все это с помощью таких обычных действий, как двойное нажатие на, казалось бы, легитимную кнопку.
Как технически работает атака кликджекинга
Механизмы атаки типа «кликджекинг» обычно имеют довольно схожую структуру.Хотя существует множество вариаций и уровней сложности, в общих чертах процесс выглядит следующим образом:
1. Подготовка страницы ловушки
Злоумышленник создает привлекательный или, казалось бы, безобидный веб-сайт: это может быть страница игры, якобы сенсационная новость, поддельная форма, очень заманчивая реклама или целевая страница с неотразимым призом. Цель — заставить пользователя посетить эту страницу и мотивировать его к клику.
2. Вставка целевого контента в скрытый iframe.
На этой странице киберпреступник встраивает iframe, который загружает другой веб-сайт: это может быть часть онлайн-банка, настройки безопасности SaaS-сервиса, экран разрешений приложения или функция социальных сетей. Этот iframe позиционируется с помощью CSS таким образом, чтобы он выравнивался с кнопкой, отображаемой пользователю, но оставался невидимым или почти прозрачным.
3. Визуальная обработка с использованием прозрачных слоев.
С помощью CSS-стилей (абсолютное позиционирование, z-индекс, очень низкая прозрачность и т. д.) сенсорный слой размещается непосредственно под областью, где, по мнению пользователя, он нажимает. Иногда для введения пользователя в заблуждение используются пользовательские курсоры, а также поддельные баннеры или огромные кнопки, чтобы точно направить курсор мыши в нужную точку.
4. Клик пользователя запускает скрытое действие.
Когда пользователь нажимает на кнопку, он думает, что закрывает всплывающее окно, запускает игру или соглашается на что-то безобидное. Однако на самом деле клик применяется к кнопке iframe: это может быть «Авторизовать платеж», «Удалить учетную запись», «Предоставить права администратора» или «Включить камеру/микрофон». Пользователь не видит фактического действия, но оно тем не менее выполняется.
5. При более сложных атаках жертва в конечном итоге вводит конфиденциальную информацию.
В некоторых случаях речь идёт не просто о кликах, а о вводе текста. Злоумышленник может наложить поддельную форму поверх легитимной формы входа в систему банка или другой дорогостоящей организации. Жертва вводит своё имя пользователя, пароль, номер карты или коды подтверждения, полагая, что находится на правильном интерфейсе, и эти данные отправляются напрямую на сервер, контролируемый преступниками.
Кликджекинг на мобильных телефонах и в онлайн-банкинге
Мобильные устройства, и особенно банковские приложения, являются очень прибыльным целевым сегментом. Для такого типа атак. С одной стороны, они концентрируют крайне конфиденциальную информацию; с другой — сенсорное взаимодействие идеально подходит для создания невидимых слоев «между пальцем и экраном».
В типичном сценарии пользователь открывает свое банковское приложение.Пользователь вводит свой логин и пароль и считает, что видит свою обычную панель управления. Однако ранее установленное вредоносное приложение может наложить поверх неё пользовательский интерфейс, имитирующий этот экран, так что всё, что вводит пользователь, отправляется на сервер, контролируемый злоумышленниками.
Вредоносные программы, такие как Svpeng, продемонстрировали, насколько прибыльным может быть этот подход.Этот банковский троян для Android, распространившийся на десятки стран, использовал методы кликджекинга и наложения экрана для кражи учетных данных, доступа к SMS-сообщениям (включая банковские коды подтверждения), чтения контактов, совершения звонков, создания скриншотов и, в целом, захвата контроля над устройством после получения прав администратора.
Как только вредоносная программа получает эти повышенные привилегии, она тут же начинает действовать.Они могут выбирать, какие экраны накладывать, решать, когда отображать поддельные формы, и отправлять на сервер управления и контроля всевозможную информацию: список установленных приложений, журналы звонков, SMS-сообщения, контакты… Благодаря этому злоумышленники могут даже обходить системы двухфакторной аутентификации на основе текстовых сообщений.
Этот тип угроз не ограничивается только Android.Любая платформа с доступом в интернет и возможностью отображения интерфейсов (планшеты, ноутбуки, настольные компьютеры, другие мобильные системы) может стать целью подобных атак, хотя технические механизмы различаются в зависимости от операционной системы и разрешений, предоставленных приложениями.
Реальные примеры и распространенные способы применения кликджекинга
Хотя кликджекинг часто обсуждается в абстрактном ключе, существуют и вполне конкретные примеры. Эти примеры демонстрируют, насколько успешно эта тактика применялась против крупных платформ и обычных пользователей. Некоторые распространенные примеры включают:
Кликджекинг в социальных сетях (лайкекинг)
Цель здесь обычно состоит в том, чтобы завысить статистику или распространить вредоносные ссылки. Злоумышленник скрывает настоящую кнопку «Нравится» в социальной сети за привлекательным изображением или сообщением. Пользователь думает, что кликает на привлекательную фотографию или текст, но на самом деле он ставит лайки или подписывается на страницы и профили, на которые не собирался подписываться, способствуя распространению спам-кампаний или мошеннических схем.
Кликджекинг в онлайн-банкинге и платежах
В финансовой сфере этот метод используется для того, чтобы обманом заставить пользователей разрешить переводы, изменить настройки безопасности или предоставить доступ к API. Клик, который, казалось бы, закрывает окно или принимает безобидные условия, на самом деле может подтверждать крупную финансовую транзакцию.
Аппаратная активация: камера, микрофон или важные разрешения.
Еще один особенно тревожный способ использования — это применение кликджекинга для обмана пользователей с целью получения разрешения на доступ к их веб-камере, микрофону или местоположению. Диалоговое окно, которое выглядит как простое подтверждение, может скрывать типичное окно «Вы хотите разрешить этому сайту использовать вашу камеру?». Одним ошибочным щелчком злоумышленник может открыть дверь для слежки.
Вводящая в заблуждение реклама и нежелательные загрузки
Были обнаружены рекламные объявления с прозрачными наложениями, которые при нажатии перенаправляют на сайты, содержащие рекламное ПО, шпионские программы или установщики вредоносного ПО. Во многих случаях пользователь даже не осознает, что инициировал загрузку или разрешил установку вредоносного компонента, поскольку визуальное взаимодействие казалось безобидным.
Мошенничество в электронной коммерции и на торговых площадках
Некоторые вредоносные кампании используют взломанные веб-сайты для запуска запросов на «покупку в один клик» в интернет-магазинах, таких как Amazon, с помощью скрытых фреймов. Пользователь думает, что участвует в конкурсе или заполняет форму, но на самом деле совершает нежелательную покупку, используя свои собственные способы оплаты.
Основные типы и варианты кликджекинга
Основная цель всегда одна и та же: обманом заставить пользователя кликнуть туда, куда не следует.Однако существует несколько специализированных вариантов, которые заслуживают отдельного рассмотрения, поскольку они используют разные методы и нацелены на разные цели.
Likejacking
Это включает в себя манипулирование кнопками «Нравится» или аналогичными действиями в социальных сетях. Пользователь считает, что взаимодействует с конкретным контентом (новостью, фотографией, видео), но на самом деле он ставит лайки, подписывается или делится другим контентом, обычно с сомнительными коммерческими или откровенно злонамеренными намерениями.
Курсорджекинг
В данном случае уловка заключается в смещении курсора. Злоумышленник маскирует фактическое положение указателя, отображая слегка смещенную, поддельную иконку. Это заставляет жертву думать, что она щелкает по одному элементу, тогда как на самом деле щелчок приходится на другой элемент страницы или невидимый iframe. Это особенно раздражает и трудно обнаружить, если сделано точно.
Кукиджекинг
Целью здесь являются файлы cookie браузера. С помощью наложений и визуального обмана злоумышленники обманом заставляют пользователей разрешать действия, которые в конечном итоге раскрывают их файлы cookie, содержащие информацию о сессии и другие конфиденциальные данные. Затем эти данные могут быть использованы для выдачи себя за других лиц и получения контроля над учетными записями без пароля.
Файлджекинг
При таком типе атаки хакеры размещают невидимые фреймы поверх кнопок «Просмотреть файлы» или подобных им. Жертва считает, что загружает файл с законной целью, но на самом деле предоставляет доступ к местам или документам, которые злоумышленник может прочитать или загрузить без её ведома. Это может затронуть облачные сервисы или веб-интерфейсы хранения данных.
Мышезахват
Этот вариант идёт ещё дальше, стремясь удалённо управлять функциями устройства, включая движения мыши и ввод с клавиатуры. Используя уязвимости в беспроводных устройствах или определённом программном обеспечении, злоумышленник может выполнять команды, нажимать кнопки или писать код, не требуя от пользователя никакого вмешательства.
Бесбраузерный кликджекинг и многошаговые атаки
Не все кликджекинговые атаки выполняются непосредственно в браузере классическим способом.Существуют методы, которые воздействуют на мобильные системы и используют время, прошедшее между оповещением и ответом пользователя.
Кликджекинг без браузера (особенно на Android)
На некоторых смартфонах, особенно на Android, злоумышленники размещают поддельные значки или наложения в промежутке между появлением всплывающего уведомления и его полным отображением. Это обманывает пользователя, заставляя его думать, что он реагирует на оповещение, тогда как на самом деле он нажимает на наложение, предоставляющее разрешения или запускающее вредоносные действия.
Автономные атаки в один клик
В так называемых автономных атаках достаточно одного клика. Над кнопкой на странице размещается невидимый фрейм, и этим единственным щелчком выполняется несанкционированное действие: подписка на услугу, предоставление доступа к API, совершение покупки или удаление учетной записи. Они быстрые и очень сложные для обнаружения пользователем.
Многоступенчатые атаки
В других сценариях киберпреступнику необходимо несколько связанных между собой взаимодействий. Например, для совершения несанкционированной покупки пользователь должен сначала добавить товар в корзину, затем подтвердить адрес и, наконец, нажать кнопку «Оформить заказ». Злоумышленник может создать несколько невидимых фреймов, расположенных последовательно, так что каждый клик пользователя выполняет один из этих шагов, оставаясь незамеченным.
Атаки в сочетании с другими уязвимостями (такими как DOM XSS)
Атаки с использованием кликджекинга также могут служить лазейкой для более сложных угроз. Распространенное сочетание — кликджекинг с DOM XSS, который использует уязвимости в коде на стороне клиента для изменения поведения страницы и выполнения несанкционированных действий.
В таких комбинированных атаках первый обманный клик может оказаться именно тем, что нужно. это часть более крупной цепочки эксплойтов, в которой внедряется код, похищаются токены сессии, манипулируются формы или перехватывается обмен данными между пользователем и сервером.
Двойной кликджекинг: когда проблема заключается во втором клике.
Особенно поразительным недавним явлением является так называемый двойной кликджекинг.Это эксплойтирует такую распространенную ошибку, как быстрое двойное нажатие кнопки. Браузеры уже много лет внедряют средства защиты от атак с одним щелчком мыши, но они не всегда хорошо справляются с двумя последовательными щелчками.
В этой схеме злоумышленник внедряет вредоносный элемент между первым и вторым кликами.Представьте, что появляется подозрительная кнопка подтверждения или капча. При первом нажатии вместо непосредственного выполнения действия закрывается невидимое окно или интерфейс перестраивается, и под указателем для второго нажатия размещается другой элемент (важная кнопка).
Когда пользователь совершает второй клик «по привычке».Думая, что это всего лишь подтверждение чего-то обычного, на самом деле происходит совершенно другое и важное действие: одобрение платежа, предоставление расширенных прав доступа, активация интеграции с API высокого риска или изменение настроек безопасности в корпоративной панели управления.
Подобные атаки уже успешно применялись на легальных и широко распространенных платформах.например, в таких сервисах, как Slack, Shopify или Salesforce, где простой двойной щелчок в нужном контексте позволил внести изменения в политики безопасности, принять опасные интеграции или авторизовать экономические операции.
Главная проблема с двойным кликджекингом заключается в том, что его крайне сложно обнаружить. С точки зрения пользователя, здесь нет поддельных сайтов или подозрительных загрузок, и зачастую даже нет внешних перенаправлений: всё происходит внутри самой легитимной платформы, используя уязвимости интерфейса. Кроме того, встроенные в браузеры и приложения средства защиты, как правило, ориентированы на один клик, а не на логику второго клика.
Последствия кликджекинга для пользователей и компаний
Последствия кликджекинга выходят далеко за рамки простого раздражения.В зависимости от контекста и целей злоумышленника, последствия для жертвы могут быть как незначительными, так и абсолютно критическими, как на личном, так и на корпоративном уровне.
Кража учетных данных и цифровой идентичности
Когда эти слои накладываются поверх форм входа в систему или восстановления учетной записи, злоумышленник может перехватить имена пользователей, пароли, PIN-коды или коды подтверждения. Имея эти данные, он может напрямую получить доступ к онлайн-банкингу, электронной почте, социальным сетям или панелям управления.
Несанкционированные финансовые операции и покупки
В платежных системах и системах электронной коммерции одного взломанного клика может быть достаточно для авторизации переводов, совершения покупок, изменения платежных данных или принятия регулярных платежей. Многие жертвы не осознают происходящего, пока не проверят свои банковские выписки или не получат уведомления о подозрительной активности.
Вредоносные и шпионские программы распространяются
Некоторые атаки типа «кликджекинг» предназначены для инициирования скрытой загрузки вредоносного ПО. Жертва кликает на ссылку, которая выглядит как новостная статья или видео, но на самом деле загружает троянскую программу, программу-вымогатель или шпионское ПО, которое установится в фоновом режиме, если система не защищена должным образом.
Управление устройствами и шпионаж
В самых серьезных случаях использование невидимых слоев позволяет злоумышленнику получить доступ к камере, микрофону, SMS-сообщениям, местоположению или хранилищу устройства. Оттуда он может шпионить, записывать разговоры, захватывать документы или даже получить полный контроль над системой.
Ущерб репутации и злоупотребление социальными сетями.
В социальных сетях кликджекинг может использоваться для получения лайков, подписчиков или автоматических публикаций без ведома пользователя. Это не только наносит ущерб репутации жертвы, но и способствует распространению мошеннических кампаний, обманов и афер, которые злоупотребляют доверием её контактов.
Как защитить себя от кликджекинга, будучи пользователем
Ваша первая линия защиты — это вы сами.Несмотря на то, что разработчики и браузеры внедрили очень мощные технические меры, в реальности многие атаки типа «кликджекинг» основаны на любопытстве, спешке и невнимательности пользователей. Вот несколько практических советов:
Остерегайтесь электронных писем, рекламы и ссылок, которые кажутся слишком хорошими, чтобы быть правдой.
Многие из этих рекламных кампаний начинаются с «срочного» электронного письма, невероятного предложения или сенсационной новости, призванной заставить вас кликнуть. Если что-то звучит слишком хорошо (или слишком пугающе), чтобы быть правдой, уделите немного времени проверке источника и, если возможно, самостоятельно изучите информацию на надежном веб-сайте, вместо того чтобы полагаться на ссылку.
Избегайте установки приложений из неофициальных источников.
На мобильных устройствах, особенно на Android, многие вредоносные приложения проникают извне официальных магазинов приложений. Установка только из Google Play, App Store или других авторизованных хранилищ значительно снижает вероятность заражения вредоносным ПО, предназначенным для наложения на экран и кражи данных.
Всегда обновляйте свою операционную систему и браузер.
Уязвимости, позволяющие осуществлять определенные виды кликджекинга, довольно быстро устраняются после обнаружения. Если ваш браузер, операционная система или ключевые приложения устарели, вы даете злоумышленнику преимущество. Включайте автоматические обновления, когда это возможно.
Используйте проверенные расширения безопасности (NoScript, ScriptSafe, uBlock Origin…).
Некоторые плагины позволяют блокировать скрипты и подозрительный встроенный контент, а также делать невидимые фреймы видимыми. Однако следует помнить, что они могут нарушать работу легитимных страниц и ухудшать пользовательский опыт, поэтому лучше настраивать их тщательно и всегда выбирать проверенные источники.
Обратите внимание на странные детали в интерфейсе.
Если вы заметили неожиданные всплывающие окна, смещенные кнопки, перекрывающиеся элементы или необычные подсказки при двойном щелчке, лучше остановиться и проверить. Также рекомендуется избегать быстрого двойного щелчка по важным элементам и внимательно читать сообщения с подтверждением, прежде чем нажимать «ОК».
Технические меры защиты для разработчиков и компаний
Со стороны серверной и веб-разработки существует несколько очень эффективных способов защиты. что значительно снижает риск использования вашего сайта в атаке типа «кликджекинг». Хотя ни одна отдельная мера не является абсолютно надежной, многоуровневая стратегия значительно усложняет жизнь злоумышленнику.
Заголовок X-Frame-Options
Это один из классических механизмов. Это HTTP-заголовок, который сообщает браузеру, можно ли отображать страницу внутри iframe. Его основные значения:
- ОТКАЗЫВАТЬСЯ ОТ: предотвращает отображение страницы в фрейме на любом домене.
- САМЕОРИГИН: позволяет размещать его в фрейме только на оригинальном сайте.
- ALLOW-FROM https://example.com: разрешает доступ только к определенным доменам (хотя это значение поддерживается не всеми современными браузерами).
Хотя X-Frame-Options имеет ограничения в многодоменных средахЭто простой в применении уровень защиты, очень полезный в сочетании с другими политиками безопасности.
Политика безопасности контента (CSP) и директива frame-ancestors
CSP позволяет определить, каким источникам контента разрешено загружать ресурсы на ваш сайт. Что касается кликджекинга, то директива frame-ancestors Это ключевой момент: вы можете указать, каким источникам разрешено встраивать ваши страницы в фреймы.
- Content-Security-Policy: frame-ancestors 'none': запрещает любому сайту размещать ваш контент в iframe.
- Content-Security-Policy: frame-ancestors 'self': ограничивает отображение кадров только данным доменом.
- Content-Security-Policy: frame-ancestors https://example.com: разрешает доступ только к определенным доменам.
Сочетание CSP с X-Frame-Options обеспечивает гораздо более надежную защиту. противодействуют попыткам загрузки вашего сайта в сторонние iframe-элементы в злонамеренных целях.
Скрипты для обнаружения и удаления кадров
Ещё один метод, особенно полезный в старых браузерах, заключается в использовании скриптов, которые определяют, загружена ли ваша страница внутри фрейма, и, если да, принудительно выводят её оттуда (например, открывая страницу в главном окне). Эти скрипты также могут пытаться сделать невидимые фреймы видимыми или предотвратить клики по ним.
Хотя эти методы могут быть обойдены злоумышленниками, обладающими глубокими знаниями.Они остаются дополнительным препятствием, особенно в сочетании с современными коллекторами и хорошей конфигурацией CSP.
API наблюдателя перекрестков и элементы управления видимостью
API Intersection Observer позволяет разработчикам определять, виден ли элемент пользователю и в какой степени. С его помощью можно проверить, не скрыта ли важная часть интерфейса (например, кнопка «Удалить учетную запись») другим слоем, даже внутри iframe. Если кнопка видна не полностью, можно отключить действие или потребовать дополнительного подтверждения.
Корпоративные расширения и безопасность электронной почты
В деловой среде целесообразно сочетать эти меры с надежными спам-фильтрами, блокирующими фишинговые письма или письма, предназначенные для заманивания сотрудников на мошеннические сайты. Кроме того, регулярное информирование персонала о подобных угрозах снижает вероятность того, что они перейдут по опасным ссылкам, отправленным по электронной почте.
Дополнительные рекомендации по работе с конфиденциальными сайтами.
Помимо заголовков и политических решений, существуют и стратегии дизайна. которые помогают минимизировать последствия потенциальной атаки типа «кликджекинг» или значительно затрудняют ее успешное осуществление.
Не допускайте, чтобы хотя бы одно нажатие клавиши приводило к деструктивным действиям.
При выполнении критически важных операций (удаление учетных записей, перевод крупных сумм денег, изменение настроек безопасности) целесообразно использовать более одного фактора аутентификации: повторный запрос пароля, запрос кода двухфакторной аутентификации, отображение сводки операции и требование четкого подтверждения в контексте, который сложно воспроизвести с помощью невидимого фрейма.
Проверка контекста источника
В конфиденциальных формах и действиях разработчикам следует проверять не только содержимое запроса, но и его источник, заголовки, токены CSRF и другую соответствующую информацию. Хотя это не предотвращает все случаи кликджекинга, это усложняет эксплуатацию уязвимостей и уменьшает поверхность атаки.
Мониторинг аномальных паттернов кликов
Если сервис обнаруживает, что несколько пользователей неоднократно щелкают по одной и той же координате, или что критически важные действия всегда выполняются после одного и того же типа визуального события, могут быть сгенерированы и проанализированы оповещения, чтобы определить, не ведется ли возможная атака на интерфейс.
Внутреннее обучение и повышение осведомленности
В организациях, использующих приложения, доступные из интернета, крайне важно, чтобы команды разработчиков, специалистов по безопасности и поддержки понимали, что такое кликджекинг и как с ним бороться. Это включает в себя регулярный анализ приложений, проведение аудитов безопасности и использование таких ресурсов, как руководства OWASP или специализированные тренинги.
В конечном счете, кликджекинг — это сочетание визуального обмана и злоупотребления законными функциями веб-сайта.Она незаметна, невидима невооруженным глазом и может использовать более сложные цепочки атак, но ее также можно предотвратить, сочетая здравый смысл при просмотре веб-страниц, постоянные обновления, соответствующие инструменты безопасности и передовые методы разработки веб- и мобильных приложений.