Heker morda vohuni za vami prek vaše spletne kamere in mikrofona. In ta dostop ste jim dovolili. Evo kako.
Odprete spletno mesto za ogled videa. Dovolj nedolžno, kajne? Toda s preprostim klikom na gumb je kibernetski napadalec morda pridobil dostop do vaše kamere in mikrofona. Lahko vas opazujejo, ne da bi sploh vedeli. To je oblika napada, imenovana clickjacking.
Torej, kaj to pravzaprav pomeni? Kako deluje clickjacking? In kako se lahko zaščitite?
Kaj je Clickjacking?
Clickjacking je vrsta napada socialnega inženiringa, ki ga lahko kibernetski kriminalci uporabijo za dostop do podatkov uporabnikov.
Glavni namen vgrajevanja klikov je pretentati uporabnika, da klikne nekaj določenega, kar kibernetski napadalec želi. S tem lahko zasežejo vašo napravo, zlasti pri uporabi kamere in mikrofona. V večini brskalnikov morate samo klikniti en gumb, da dodelite dovoljenja za mikrofon in kamero; uporabniki lahko nato nevede delijo svoje kamere s kibernetskim napadalcem, kar ima lahko resne posledice, zlasti za zasebnost.
Kako Clickjacking deluje s preglednimi spletnimi mesti
Napadalci ustvarjajo lažna okolja, da pretentajo uporabnike. Lažne spletne strani lahko dosežejo veliko število ljudi in tako povečajo verjetnost uspeha napada. Prevaranti oblikujejo spletno mesto, ki je videti nedolžno, vendar ima resnični namen dostop do vaše kamere in mikrofona ali vas pripravi do prenosa zlonamerne programske opreme.
Na primer, razmislite o preprosti kliker igri, ki v celoti deluje v vašem brskalniku. Njegov glavni cilj je oceniti vašo sposobnost usklajevanja gibov rok in oči. Da bi to dosegli, vam igra ponudi barvne gumbe, ki se pojavijo na različnih delih zaslona, in vas pozove, da jih kliknete. Hitreje kot lahko izvedete to dejavnost, višja bo vaša raven dosežka.
Čeprav se zdi neškodljivo, so koordinate gumbov, ki se bodo pojavili na zaslonu, vnaprej določene s strani napadalca. Misliš, da klikneš na gumb in zmagaš v igri, a v ozadju klikneš na povsem drug gumb.
Dostop do vaše kamere s Clickjackingom
Enako velja za dostop do vašega dovoljenja za mikrofon in kamero. Včasih spletna mesta potrebujejo vašo kamero in mikrofon. Na primer, aplikacija, kot je Zoom, potrebuje ta dovoljenja, da lahko govorite in da se vaša slika pojavi v videokonferencah. Za dodelitev dovoljenj boste nekje v vmesniku brskalnika videli gumb »dovoli«. Seveda niso vse platforme tako varne kot Zoom.
Torej, ko kliknete gumb za predvajanje nedolžnega videza za ogled TV-oddaje ali filma, je to morda gumb za dovoljenje, ki ga je heker ustvaril za odpiranje vaše kamere.
Kako se zaščitite pred napadi Clickjacking?
Zlonamerni napadalec uporablja različne kode in skripte, da vas pripravi do tega, da kliknete točno tam, kjer želijo, in manipulirate z vašim zaslonom. Veliko razvijalcev s celo malo izkušnje s HTML in CSS lahko to zlahka stori: le poigrati se morajo z vrednostmi motnosti dveh strani, ki sta jih oblikovali eno na drugi, in končnemu uporabniku ne pokazati zadnje strani.
Da ne bi postali žrtev na videz preprostega trika, ki temelji na skriptu, je eden najučinkovitejših pristopov onemogočanje JavaScripta. Večina spletnih brskalnikov ponuja varnostno funkcijo, ki vam omogoča, da izklopi JavaScript kodo, ki teče v ozadju spletnih mest. V Chromu lahko na primer dostopate do strani tako, da v naslovno vrstico vnesete »chrome://settings/content/javascript«. Ko pridete do te strani, boste naleteli na Spletnim mestom ne dovoli uporabe Javascripta možnost.
Vendar pa morate biti pri izbiri te možnosti previdni, saj bo blokirala vse obstoječe kode na vsakem spletnem mestu. Aktivirajte ga le, ko se prijavljate na spletna mesta, ki jim ne zaupate in se vam zdijo nevarna. To nastavitev lahko pozneje kadar koli razveljavite.
Druga možnost je, da uporabite odprtokodne brezplačne in zanesljive vtičnike za lažje omogočanje in onemogočanje JavaScripta. NoScript Security Suite je dobra rešitev za to in ponuja podporo za številne različne brskalnike. Njegov namen je preprečiti ne le napade vgrajevanja klikov, temveč tudi zlonamerno programsko opremo, ki obstaja na katerem koli spletnem mestu, ki ga obiščete.
Zlonamerni napadalci svojih spletnih mest ne kodirajo vedno tako, da bi izvedli napad vgrajevanja klikov z uporabo preglednih spletnih mest. Izkoristijo lahko tudi spletne ranljivosti, ki jih najdejo med brskanjem po internetu. Na primer, lahko vnesejo kodo z izkoriščanjem ranljivosti v razdelku za komentarje spletnega dnevnika. V takšnih primerih morate biti pozorni na to, kaj dejansko kliknete, četudi to zveni nekoliko paranoično.
Kako veste, ali je spletno mesto vredno zaupanja?
Kako lahko ugotovite, ali lahko mestu zaupate? Napadalci pogosto ne vložijo preveč časa v načrtovanje in razvoj spletnega mesta; gre za nepotrebno izgubo časa in denarja. To lahko ugotovite iz varnostnih certifikatov in zasnove spletnega mesta. Na primer, velika in zaupanja vredna organizacijska stran bo najverjetneje imela certifikat SSL. Če želite to preveriti, si oglejte URL. Če se naslov začne " https://", to pomeni, da ima stran SSL certifikat. Dodatni "S" za "HTTP" pomeni "Varno". Vendar se ne zanašajte samo na to.
Prav tako si morate ogledati obliko in vsebino spletnega mesta. Podatki na kontaktni strani, pravilniki o zasebnosti in celo Opozorilo GDPR lahko pove, ali je spletno mesto vredno zaupanja. Raziščite tudi spletno mesto. Kaj o tem pravijo drugi uporabniki platform, kot so Twitter, Facebook in Trustpilot?
Če imate kakršno koli znanje o kodiranju, lahko pregledate izvorne kode spletnega mesta. Tako boste videli nekaj dela v ozadju in katera druga spletna mesta so povezana.
Ali vas mora skrbeti Clickjacking?
Clickjacking je grozljiva stvar, še posebej, ker bi lahko kibernetski kriminalci pridobili dostop do vaše spletne kamere in aktivno vohunili za vašimi dejavnostmi. To je velik vdor v zasebnost in varnost.
Tako da, morda se zdi malo OTT, da ste previdni, kje na spletnem mestu dejansko klikate. Večina nas to počne brez premisleka. Pomembno pa je tudi, da ste pozorni, da ne postanete žrtev hekerja.
