Clickjacking может звучать как последнее подпольное увлечение танцами, но это далеко не так. Clickjacking происходит, когда мошенник или другой интернет-злоумышленник помещает невидимую кнопку или другой элемент пользовательского интерфейса поверх кажущейся невинной кнопки веб-страницы или элемента интерфейса, используя слой прозрачности (который вы не можете видеть).
На невинной веб-странице может быть кнопка, которая гласит: «Нажмите здесь, чтобы посмотреть видео о том, как пушистый котенок милый и обаятельный», но сверху этой кнопки скрыта невидимая кнопка, которая на самом деле является ссылкой на то, что вы бы не стали в противном случае хотите нажать, например, кнопку, которая:
- Обманывают вас в изменении настроек конфиденциальности в вашей учетной записи Facebook.
- Заставляет вас «любить» то, что вам обычно не нравится (a.k.a Likejacking).
- Обманывают вас, чтобы вы добавили себя в список последователей Twitter для тех, кто не заслуживает вас.
- Заставляет вас включить что-то на вашем компьютере (например, микрофон или камеру).
Много раз Clickjacker загружает законный веб-сайт в рамке, а затем накладывает свои невидимые кнопки поверх реального сайта.
Предотвратите клики от кликов
Если вы не обновили свой браузер до самой последней и доступной версии, то вы не только пропускаете обновление, которое может помешать вам получить Clickjacked, но и не используете другие обновления безопасности, которые являются частью новых версий Firefox, IE, Chrome и других интернет-браузеров. Обновите браузер до последней доступной версии патча. Также полезно проверить, есть ли более свежая версия вашего браузера, чем та, которую вы установили в настоящее время.
Вам также следует обновить плагины браузера, такие как Flash, поскольку некоторые старые версии могут быть уязвимы для атак Clickjacking. Чтобы обновить подключаемые модули браузера, посетите веб-сайт каждого производителя подключаемых модулей и загрузите последнюю версию. Например, чтобы обновить Flash, посетите сайт Adobe Flash.
Для получения дополнительной информации о том, как поддерживать ваш компьютер в актуальном состоянии, ознакомьтесь с нашей статьей Как быть в курсе последних уязвимостей и исправлений безопасности.
Как обнаружить Clickjacking
Хотя некоторые интернет-браузеры предлагают ограниченную встроенную защиту от Clickjacking, для таких браузеров, как Firefox, есть несколько надежных плагинов для обнаружения и предотвращения Clickjacking. Некоторые из них даже бесплатны. Вот пара наиболее широко известных и уважаемых:
- NoScript — бесплатный (пожертвованный) плагин для защиты от кликов для Firefox.
- Comitari Web Protection Suite-Home LE (Limited Edition) — бесплатная версия Comitari Web Protection Suite с ограниченной функциональностью. Версия LE включает в себя функции защиты от Clickjacking.
Предотвращение кликбэкинга — это не только ответственность пользователя. Веб-сайты и разработчики веб-приложений также играют роль в предотвращении использования их контента Clickjackers.
Благодаря лучшему информированию пользователей об опасностях Clickjacking, о том, как распознавать атаки и что с ними делать, в сочетании с поддержкой разработчиков веб-сайтов и веб-приложений в кодировании для предотвращения Clickjacking, возможно, мир когда-нибудь освободится от Clickjackers.
