Кликджекинг: новая техника в арсенале мошенников в сети

Специалисты Центра цифровой экспертизы Роскачества рассказывают о способах защититься от изощренного вида интернет-мошенничества, когда вы всего лишь клацаете мышкой по экрану.

Что скрывается за сложным термином

Это сочетание английский слов click — «нажатие» и jacking — жаргонный вариант слова «захват». Среднестатистический интернет-пользователь обычно не знаком с термином «кликджекинг». Однако явление, которое он описывает, встречается гораздо чаще, чем подозревают большинство людей. Это своеобразный захват действия пользователя обманом, чтобы заставить его щелкнуть элемент веб-страницы, который невидим или замаскирован под другой элемент.

Человек считает, что он щелкает видимую страницу, но в действительности он щелкает невидимый элемент на дополнительной странице, расположенной поверх нее. Это может привести к тому, что пользователи непреднамеренно загрузят вредоносное ПО, посетят опасные веб-сайты, предоставят учетные данные или конфиденциальную информацию, переведут деньги или приобретут товары в Интернете.

Сергей Кузьменко, руководитель направления информационной безопасности Центра цифровой экспертизы Роскачества: «Технически кликджекинг выполняется путем отображения невидимого HTML-элемента поверх страницы, которую видит пользователь. Невидимая страница может быть вредоносной или неблагонадежной. Представьте, что под кнопкой «Получить подарок» может прятаться, например, согласие на платную подписку или единоразовый денежный перевод.

В худшем случае, поддельная страница приведет пользователя на автоматически скачиваемый файл, который может оказаться вредоносным ПО. Возможные варианты последствий — кража конфиденциальных или платежных данных, вымогательство (в случае с трояном-шифровальщиком), несанкционированное использование мощности и возможностей устройства пользователя. В особо тяжелых случаях — форматирование жесткого диска».

Пример атаки кликджекинг

Пользователь хочет нажать на кнопку «лайк», а над ней уже стоит подложная кнопка, невидимая. И человек таким образом совершит не то действие, которое намеревался.

Окно с рекламой – это самое распространенное и в то же время безобидное, что может произойти. Страшнее, если после нажатия безобидных кнопок появится запрос на получение данных с микрофона или камеры. Большинство пользователей на автомате просто нажмут «Ок». Однако сначала нужно прочитать запрос и подумать, кому и для каких целей это может быть нужно. Если текст сформулирован непонятно, то лучше закрыть окно вовсе.

Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского»:

«Кликджекинг — это один из механизмов обмана посетителей сайтов. Человек думает, что щёлкает по настоящему элементу интерфейса сайта, а на самом деле кликает по объекту, встроенному в страницу злоумышленником. Например, это может произойти, если злоумышленники размещают прозрачный слой с активными элементами поверх основного содержимого страницы. Таким образом они «перехватывают клик» жертвы. Используя технику кликджекинга мошенники могут, например, перенаправлять пользователей на другие страницы. Если злоумышленник разместит невидимое диалоговое окно поверх формы авторизации, то сможет украсть учётные данные, которые введёт посетитель. Чтобы обезопасить себя от этой киберугрозы, мы рекомендуем обновлять установленные программы, например, браузеры, а также использовать надёжное защитное решение, которое заблокирует вредоносное содержимое сайта».

Кнопка-невидимка может привести на сайт, где попросят ввести личные данные, реквизиты счета или номер карты. Если вы на сайте банка и нажали кнопку «Оплатить», то все хорошо, но если на сайте, например, турфирмы вы жмете «Забрать подарок», а после вас выкидывает на страницу платежа — бегите.