Что скрывается за сложным термином
Это сочетание английских слов click — «нажатие» и jacking — жаргонный вариант слова «захват». Среднестатистический интернет-пользователь обычно не знаком с термином кликджекинг, однако явление, которое он описывает, встречается гораздо чаще, чем подозревает большинство людей. Это своеобразный захват действия пользователя обманом, чтобы заставить его щелкнуть элемент веб-страницы, который невидим или замаскирован под другой элемент.Человек считает, что он щелкает видимую страницу, но в действительности он щелкает невидимый элемент на дополнительной странице, расположенной поверх нее. Это может привести к тому, что пользователи непреднамеренно загрузят вредоносное ПО, посетят опасные сайты, предоставят учетные данные или конфиденциальную информацию, переведут деньги или приобретут товары в интернете.
«Технически кликджекинг выполняется путем отображения невидимого HTML-элемента поверх страницы, которую видит пользователь. Невидимая страница может быть вредоносной или неблагонадежной. Представьте, что под кнопкой «Получить подарок» может прятаться, например, согласие на платную подписку или единоразовый денежный перевод, — рассказал руководитель направления информационной безопасности Центра цифровой экспертизы Роскачества Сергей Кузьменко. — В худшем случае, поддельная страница приведет пользователя на автоматически скачиваемый файл, который может оказаться вредоносным ПО. Возможные варианты последствий — кража конфиденциальных или платежных данных, вымогательство (в случае с трояном-шифровальщиком), несанкционированное использование мощности и возможностей устройства пользователя. В особо тяжелых случаях — форматирование жесткого диска».
Пример атаки кликджекинг
Окно с рекламой — это самое распространенное и в то же время безобидное, что может произойти. Страшнее, если после нажатия безобидных кнопок появится запрос на получение данных с микрофона или камеры. Большинство пользователей на автомате просто нажмут «Ок». Однако сначала нужно прочитать запрос и подумать, кому и для каких целей это может быть нужно. Если текст сформулирован непонятно, то лучше закрыть окно вовсе.Кнопка-невидимка может привести на сайт, где попросят ввести личные данные, реквизиты счета или номер карты. Если вы на сайте банка и нажали кнопку «Оплатить», то все хорошо, но если на сайте, например, турфирмы вы жмете «Забрать подарок», а после вас выкидывает на страницу платежа — закрывайте ее.