Интернет занимает большую часть нашей жизни. Мы делаем покупки онлайн, сидим в социальных сетях и мессенджерах, заказываем услуги и еду, смотрим фильмы и сериалы. Но насколько он безопасен?
Botfaqtor, например, борется со скликиванием рекламы — это одна из форм цифрового мошенничества. Антивирусы защищают устройства пользователей от вредоносных программ. А что же такое кликджекинг и как с ним бороться?
Что такое clickjacking
Кликджекинг (от англ. click — клик, нажатие, jacking (сокр. от hijacking) — взлом, похищение) — это техника мошенничества, при которой злоумышленник использует фальшивый интерфейс для обмана пользователя, перехвата его клика и получения от него определенных действий или данных, которые он сам бы не передал или совершил. Клонирование целых оригинальных сайтов и их наслаивание на ресурс злоумышленника — это именно оно.
Например, вы зашли на сайт и выполнили какое-либо действие (нажали на кнопку «Скачать», «Отправить» и т. п.). Но появилось всплывающее окно с просьбой подтвердить действие. Вы нажали на «Oк», и в браузере открылась еще одна вкладка с каким-нибудь сторонним ресурсом или промо-страницей с рекламой.
Когда посетитель сайта щелкает по ссылке, переход на самом деле совершается по скрытому элементу. Как правило, этот элемент встроен в iFrame с прозрачным слоем, который скрывает ссылку или кнопку под ним.
Это один из вариантов кликджекинга. На самом деле их существует несколько видов с разным функционалом.
С помощью него мошенники могут:
- генерировать клики по рекламе,
- запускать скрытую загрузку вредоносного ПО,
- активировать программу для криптомайнинга,
- генерировать лайки в социальных сетях,
- воровать учетные данные,
- предоставлять третьей стороне права доступа к устройству или для удаленного выполнения действий (отправлять команды и управлять),
- вынуждать непреднамеренно совершать покупки и даже переводить денежные средства.
Кликджекинг часто используется во вредоносных приложениях, также его можно найти на сайтах, в расширениях браузера и на других онлайн-платформах.
Виды кликджекинга
Как и во всех формах цифрового мошенничества, злоумышленники могут совершать кликджекинг на своем сайте или в приложении несколькими способами.
С наложением прозрачных слоев
Методы, которые считаются самыми простыми и распространенными и используются для перехвата клика. Сайт содержит iframe (фрейм HTML, внутри которого могут быть размещены элементы), зачастую с призывом к действию.
Поверх контента накладывается невидимый блок, который собирает клики и выполняет вредоносное действие (например, клик по внешней рекламе, загрузка программного обеспечения и т. д.).
— Скрытая пикселизация
Самый старинный и первый обнаруженный метод кликджекинга. Техника скрытого наложения включает в себя создание iframe размером 1×1 пиксель, содержащего вредоносный элемент и помещенного прямо под курсор жертвы.
Вероятность того, что он увидит пиксель, невелика. Пользователи кликают по контенту страницы, в любом случае попадают в этот пиксель, который запускает дальнейшее вредоносное действие.
— Обрезка контента
В этом типе наложения злоумышленник блокирует только часть оригинального контента, вырезая его, блокируя некоторые кнопки и используя вредоносные ссылки для запуска действий.
Например, есть всплывающее окно с вопросом «Разрешить доступ к тому-то» и кнопками «Oк» и «Отмена». Злоумышленник оставляет только кнопки, но обрезает сам вопрос и добавляет окно со своим вопросом. В таких случаях конечный пользователь не видит подмены.
Вместо этого он увидит часть оригинального iframe, но не сможет получить к нему визуальный доступ, потому что он обрезан и заменен другим. Простая перезагрузка страницы несколько раз или блокировка javascript, скорее всего, исправят данную проблему.
— Полностью прозрачное наложение
Метод, при котором на исходный iframe накладывается точная вредоносная копия, но с другим действием. Используется с элементами Adobe Flash.
К примеру, пользователь нажимает на параметр «Выключить микрофон», но вместо этого выполняется на стороннее действие, например, включить камеру.
Это один из самых опасных приемов кликджекинга, который способен «угонять» учетные записи с банковскими данными.
— Событие click
Злоумышленники развертывают вредоносную страницу непосредственно за исходной страницей, но изменяют событие по клику. Для этого используется плавающий div, который полностью закрывает целевой элемент пользовательского интерфейса. Если задать значение none для CSS-свойства pointer-events верхней части страницы, то все события по клику будут регистрироваться на вредоносной странице, а не на оригинальной.
Поскольку в этом случае злоумышленники получают данные кликам пользователя, то может быть запущен захват клавиатуры (кейлоггинг). С его помощью они могут похищать персональные данные, например логины и пароли.
Без оверлеев
Эти виды кликджекинга не скрываются под исходным iframe — вместо этого они полностью меняют его. Ниже приведены некоторые из методов, используемых в атаках без наложения.
— Быстрая замена контента
В этом случае отслеживается поведение пользователя на сайте и предугадывается совершение клика. Перед самым нажатием контент на странице быстро меняется на вредоносный.
Визуально определить такой кликждекинг не получится. Посетитель видит весь оригинальный сайт целиком, без скрытых элементов.
— Drag-and-drop
Меняет цель действия с клика на перетаскивание. К примеру, чтобы загрузить файл на сайт, нужно нажать на кнопку «Загрузить» (или кликнуть по области контейнера с drag-and-drop). Однако параметр «click» в этом случае работать не будет — только перетаскивание. После добавления файла таким образом злоумышленник сможет получить к нему полный доступ.
— Фантомные курсоры мыши
Используя плавающий div, злоумышленник может создать дополнительный курсор мыши и установить его на фиксированном расстоянии от реального указателя мыши жертвы. Затем мошенник настраивает страницу сайта так, чтобы фантомный курсор был более заметен, а затем помещает на него элемент, на который пользователь должен нажать.
— Репозиционирование
Кликджекинг с репозиционированием — это дополнительный шаг к методу с быстрой заменой контента. В этом случае злоумышленник перемещает элемент пользовательского интерфейса прямо под мышь и сразу же определяет, когда пользователь собирается кликнуть.
— Прокрутка
Мошенники частично прокручивают некоторые ключевые части основного содержимого страницы. В этом случае пользователь видит только те части, которые выгодны злоумышленникам.
Примеры атак с использованием кликджекинга
Классический
Классическая атака с перехватом кликов — это когда в невидимый iframe оригинального сайта встраиваются вредоносные коды, чтобы манипулировать контентом, на который пользователь наводит курсор или нажимает.
Пример: вы смотрите встроенное на сайте видео с YouTube. Под ним есть невидимая iframe-кнопка «Купить», которая при нажатии запускает покупку в магазине Amazon. Как только вы нажимаете кнопку «Воспроизвести», вас тут же перенаправляет на Amazon для покупки.
Лайк-джекинг
Это атака кликджекинга, которая обманом заставляет своих жертв ставить лайки в социальных сетях.
Пример: пользователь посещает сайт. Чтобы перейти на следующую страницу, ему нужно нажать на кнопку «Далее» (или «Предыдущая»/«Следующая»). Но вместо ссылки на следующую страницу встроен невидимый iframe с кодом.
Кукиджекинг
Злоумышленник изменяет пользовательский интерфейс сайта для взлома, то есть кражи, файла cookie пользователя в браузере. Для обмана используется метод перетаскивания. Как только посетитель совершает нужное мошеннику действие, тот в дальнейшем может выдавать посещения ботов за человека, используя похищенные куки-файлы.
Читайте, что такое cookie stuffing >>>.
Курсорджекинг
Cursorjacking — это атака, при которой изменяется местоположение курсора пользователя. В этом случае, когда посетитель наводит курсор на один элемент сайта и нажимает на него, то на самом деле клик происходит по элементу, расположенному в другом месте.
Файлджекинг
Для получения доступа к файлам на устройстве пользователя злоумышленники применяют возможности браузера. В этом случае чаще всего атакуют сайты, которые позволяют загружать файлы, а вредоносный код внедряется в кнопку «Открыть файл». Как только пользователь нажимает на нее, хакер немедленно получает доступ ко всем файлам на компьютере.
Контекстная реклама и перехват кликов
С точки зрения современного мошенничества с рекламой и кликами, кликджекинг является распространенной проблемой. И это то, что продолжает поддерживаться мошенническим сообществом.
В отличие от ботов и клик-ферм, кликджекинг позволяет мошенникам генерировать клики от реальных пользователей и монетизировать их различными способами. Эту технику особенно любят использовать для скрытой рекламы на порнографических сайтах или ресурсах с фейковыми новостями, которые не смогут пройти модерацию на основных рекламных платформах и т. п.
Кликджекинг в рамках скликивания в основном осуществляется через приложения или мобильные страницы, чтобы мошенникам было проще генерировать поддельный органический трафик. Они могут делать так, чтобы одним кликом или касанием создавалось сразу большое количество действий.
Отличие перехвата кликов от внедрения заключается в том, что в нем не используется автоматизация. Источником трафика становятся реальные пользователи.
Как защититься от кликджекинга
— Что делать обычным пользователям
Как и в случае с другими киберугрозами, поджидающими вас в интернете, есть способы, с помощью которых можно обезопасить себя самостоятельно:
- Обновите браузер. Это нужно не столько для получения нового интерфейса или дизайна, сколько для своевременного обновления встроенных систем безопасности и исправления ошибок. Большинство браузеров имеют встроенную защиту от кликджекинга. Также они могут сообщать о том, что пользователь посещает вредоносный ресурс. Своевременное обновление браузера обеспечивает постоянную защиту от новейших угроз.
- Обращайте внимание на любые предупреждения браузера, которые появляются для посещаемых вами ресурсов. Если на экране появилось предупреждение о вредоносном контенте, желательно покинуть сайт и не взаимодействовать с ним.
- Всегда включайте двухфакторную авторизацию для доступа к аутентифицированным платформам. Кликджекеры не смогут ее воспроизвести.
- Как и в случае со многими киберугрозами, будьте осторожны с электронными письмами, предлагающими вам решить срочный вопрос. Злоумышленники идут на все, чтобы заставить пользователя перейти по ссылке на их сайт. Это чревато потерей не только персональных данных, но и кражей денежных средств, а также заражением компьютера или смартфона.
- Рассмотрите возможность использования менеджера паролей в браузере. Они помогают определять поддельные ресурсы. Если вы были перенаправлены на фишинговый ресурс, URL-адрес которого не совпадает с адресом в вашем хранилище паролей, менеджер просто не покажет автозаполнение.
- Злоумышленники могут попытаться обманом заставить вас загрузить вредоносное приложение. Не загружайте приложения из непроверенных источников. Всегда используйте для этого официальные магазины: вот ссылка на Google Play и App Store.
- Не нажимайте на объявления, которые обещают невероятное. Иногда, нажав на них, вы можете перейти на сайт, нужный кликджекеру.
- Не нажимайте на всплывающие окна, особенно на сайтах, которые нечасто посещаете. Они могут оказаться вредоносными и использоваться для кликджекинга.
— Что делать веб-мастерам
Яндекс и Google предпринимают меры для борьбы с кликджекингом. Например, в Google Ads проблематично пройти модерацию сайтам, которые размещают рекламу в iframe. Однако это не значит, что это невозможно (и это действительно случается).
Кликджекинг может происходить как на мобильных устройствах, так и на компьютерах. Именно веб-мастера подлинного сайта несут ответственность за меры безопасности. Им рекомендуется использовать параметры X Frame, чтобы гарантировать отсутствие мошеннических методик на сайте.
А еще владельцы сайтов могут поставить Антибот для сайта, который защищает ресурсы от недействительного трафика и бот-атак.
— Что делать рекламодателям
Как и при других методах мошенничества с рекламой, контрольным признаком скликивания через кликджекинг являются такие факторы, как:
- Высокий показатель отказов
- Необычный источник или местоположение
- Несоответствия IP-адресов
Методы, используемые для мошенничества с рекламой и кликами, продолжают развиваться молниеносными темпами. Сервис для защиты от мошенничества Botfaqtor — лучший способ опередить недействительный трафик по рекламе. Алгоритм блокирует ботов и другие мошеннические переходы по рекламе. Каждый визит проверяется по 100 техническим и поведенческим параметрам.
Botfaqtor — современный отечественный инструмент для защиты от киберугроз. Он защищает рекламные кампании в Яндекс.Директ и Google Ads, а также блокирует ботовую активность на сайтах веб-мастеров.
Хотите узнать, сколько денег вы отдаете интернет-мошенникам? У нас есть тестовый период — в течение 7 дней вы можете БЕСПЛАТНО проверить на скликивание свои рекламные кампании.
