Активний розвиток технологій захисту даних породжує активний розвиток та вдосконалення кіберзлочинних методів. Злочинці використовують витончені методи, щоб залишитися непоміченими та досягати своїх цілей. Наприклад, хакери можуть використовувати такий вид кібератаки, як клікджекінг та змусити користувачів активувати веб-камеру або переказати гроші з власного банківського рахунку на рахунок зловмисника.
Клікджекінг (перехоплення кліків) – це тип кібератаки, коли зловмисник розміщує невидиме посилання поверх веб-контенту. Хакери ховають кнопку в прозорому iframe, що дозволяє залишатися невидимою. Зазвичай користувачі не можуть визначити, що відбувається атака клікджекінгу. Користувачі, думаючи, що натискають на кнопку, яку бачать на власні очі, насправді потрапляють у пастку, підготовлену зловмисником.
Найпоширеніші цілі клікджекінгу:
- Крадіжка облікових даних для входу в систему;
- Активація веб-камери або мікрофона;
- Завантаження шкідливих програм;
- Авторизація грошових переказів;
- Здійснення небажаних покупок;
- Визначення розташування;
Цей список не обмежується лише цими прикладами, оскільки деструктивні можливості необмежені.
Приклади клікджекінгу
Шахрайство з грошовими переказами: зловмисник обманним шляхом змушує користувача клацнути посилання на шкідливій сторінці, яка авторизує переказ коштів з банківського рахунку користувача. Зазвичай сайт, на якому розміщено посилання, містить привабливу пропозицію (подарунок, знижку тощо). Жертва завантажує сайт, натискає кнопку, щоб отримати «подарунок» і в такий спосіб дозволяє переказ своїх коштів. Якщо жертва у цей час увійшла до свого банку – її гроші миттєво переказують на рахунок зловмисника. Передача грошей відбувається у фоновому режимі, коли жертва перенаправляється на сторінку з додатковою інформацією про «подарунок».
Активація веб-камери та/або мікрофона: під час такої атаки налаштування користувача Adobe Flash непомітно завантажуються за іншим посиланням. В процесі переходу за шкідливим посиланням, користувач змінює свої налаштування, що дозволяє зловмисникам отримати доступ до камери та мікрофону.
Лайкджекінг – атака з використанням лайків. Користувачів обманним шляхом змушують ставити лайки на сторінці Facebook. Натискаючи кнопку «Подобається», користувач натискає на вставлене зловмисниками посилання. Для «успішної» атаки користувач повинен увійти до свого облікового запису при переході за посиланням. Аккаунти в соціальних мережах уразливі для клікджекінгу. Так, у 2009 році Twitter став жертвою успішної атаки, відомої як «tweet bomb».
Завантаження шкідливих програм: зловмисник ініціює завантаження шкідливого програмного забезпечення при натисканні користувачем на посилання. Таке програмне забезпечення може пошкодити програмне забезпечення системи або створити умови для постійних загроз.
Інструменти для захисту від клікджекінгу
- Content-Security-Policy (політика безпеки контенту)
- X-Frame-Options
- Framebusting