Хакер може да ви шпионира чрез вашата уеб камера и микрофон. И ти им разреши този достъп. Ето как.
Отваряте сайт, за да гледате видео. Достатъчно невинен, нали? Но просто като щракне върху бутон, кибератака може да е получил достъп до вашата камера и микрофон. Те може да ви наблюдават, без дори да знаете за това. Това е форма на атака, наречена clickjacking.
И така, какво всъщност означава това? Как работи кликджакингът? И как можете да се предпазите?
Какво е Clickjacking?
Clickjacking е вид атака чрез социално инженерство, която киберпрестъпниците могат да използват, за да получат достъп до информацията на потребителите.
Основната цел на кликджекинга е да подмами потребителя, за да го накара да кликне върху нещо конкретно, което кибератакерът иска. Чрез това те могат да конфискуват вашето устройство, особено когато използват камерата и микрофона. В повечето браузъри просто трябва да щракнете върху един бутон, за да предоставите разрешения за микрофон и камера; тогава потребителите могат несъзнателно да споделят своите камери с кибератакуващ, което може да има сериозни последствия, особено за поверителността.
Как Clickjacking работи с прозрачни сайтове
Нападателите създават фалшиви среди, за да подмамят потребителите. Фалшивите уебсайтове могат да достигнат до голям брой хора и по този начин увеличават вероятността за успех на атаката. Измамниците създават сайт, който изглежда невинен, но има истинската цел да получи достъп до вашата камера и микрофон или да ви накара да изтеглите зловреден софтуер.
Например, помислете за проста кликер игра, която работи изцяло във вашия браузър. Основната му цел е да оцени способността ви да координирате движенията на ръцете и очите. За да постигнете това, играта ви представя цветни бутони, които се появяват в различни части на екрана и ви подканва да щракнете върху тях. Колкото по-бързо можете да изпълните тази дейност, толкова по-високо ще бъде вашето ниво на постижение.
Въпреки че изглежда безобидно, координатите на бутоните, които ще се появят на екрана, са предварително определени от нападателя. Мислите, че щракнете върху бутон и печелите играта, но всъщност щракнете върху напълно различен бутон на заден план.
Достъп до вашата камера с Clickjacking
Същото важи и за достъпа до вашия разрешения за микрофон и камера. Понякога сайтовете се нуждаят от вашата камера и микрофон. Например приложение като Zoom изисква тези разрешения, за да можете да говорите и вашето изображение да се показва във видеоконференции. За да предоставите разрешения, ще видите бутон „разреши“ някъде в интерфейса на вашия браузър. Разбира се, не всички платформи са толкова сигурни, колкото Zoom.
Така че, когато щракнете върху невинно изглеждащ бутон за възпроизвеждане, за да гледате телевизионно предаване или филм, това може да е бутон за разрешаване на задния край, създаден от хакера, за да отвори вашата камера.
Как се предпазвате от атаки за кликване?
Злонамерен нападател използва различни кодове и скриптове, за да ви накара да щракнете точно където искат и да манипулират екрана ви. Много разработчици дори с малко опит с HTML и CSS може лесно да направи това: те просто трябва да играят със стойностите на непрозрачност на двете страници, които са проектирали една върху друга, и да не показват задната страница на крайния потребител.
За да не станете жертва на привидно прост трик, базиран на скрипт, един от най-ефективните подходи е да деактивирате JavaScript. Повечето уеб браузъри предоставят функция за сигурност, която ви позволява да изключете JavaScript код, който работи във фонов режим на уебсайтове. Например в Chrome можете да получите достъп до страницата, като напишете „chrome://settings/content/javascript“ в адресната лента. Когато стигнете до тази страница, ще попаднете на Не позволявайте на сайтовете да използват Javascript опция.
Трябва обаче да бъдете внимателни, когато избирате тази опция, тъй като тя ще блокира всички съществуващи кодове на всеки уебсайт. Активирайте го само когато влизате в сайтове, на които нямате доверие и смятате за опасни. Винаги можете да обърнете тази настройка по-късно.
Като алтернатива можете да използвате надеждни плъгини без отворен код, за да активирате и деактивирате JavaScript по-лесно. NoScript Security Suite е добро решение за това и предлага поддръжка за много различни браузъри. Той има за цел да предотврати не само атаки за кликване, но и злонамерен софтуер, който съществува на всеки сайт, който влезете.
Злонамерените нападатели невинаги кодират своите сайтове, за да извършат атака за кликване, използвайки прозрачни сайтове. Те могат също така да се възползват от онлайн уязвимостите, които открият, докато сърфират в интернет. Например, те могат да инжектират код, като използват уязвимост в секцията за коментари на блог. В такива случаи трябва да обърнете внимание върху какво всъщност щраквате, дори ако това звучи малко параноично.
Как да разберете дали даден сайт е надежден?
Как можете да разберете дали можете да се доверите на даден сайт? Нападателите често не отделят твърде много време за проектиране и разработване на сайт; това е ненужна загуба на време и пари. Можете да разберете това от сертификатите за сигурност и дизайна на сайта. Например голям и надежден организационен сайт най-вероятно ще има SSL сертификат. За да проверите това, погледнете URL адреса. Ако адресът започва " https://", това означава, че сайтът има SSL сертификат. Това допълнително „S“ след „HTTP“ означава „Защитено“. Не разчитайте обаче само на това.
Трябва също така да разгледате дизайна и съдържанието на сайта. Информацията на страницата за контакти, политиките за поверителност и дори Предупреждението на GDPR може да покаже дали даден сайт е надежден. Проучете и сайта. Какво казват други потребители на платформи като Twitter, Facebook и Trustpilot за това?
Ако имате познания за кодирането, можете да разгледате изходните кодове на сайта. По този начин ще видите част от фоновата работа и към кои други сайтове се свързва.
Трябва ли да се тревожите за Clickjacking?
Clickjacking е страшно нещо, особено след като киберпрестъпниците могат да получат достъп до вашата уеб камера и активно да шпионират вашите дейности. Това е сериозно нахлуване в поверителността и сигурността.
Така че да, може да изглежда малко OTT да внимавате къде всъщност щраквате върху даден уебсайт. Повечето от нас правят това, без да се замислят. Но също така е важно да останете бдителни, за да не станете жертва на хакер.