Haker może Cię szpiegować przez kamerę internetową i mikrofon. A ty dałeś im ten dostęp. Oto jak.
Otwierasz witrynę, aby obejrzeć film. Wystarczająco niewinny, prawda? Ale po prostu klikając przycisk, cyberprzestępca mógł uzyskać dostęp do Twojej kamery i mikrofonu. Mogą cię obserwować, a ty nawet o tym nie wiesz. Jest to forma ataku nazywana clickjackingiem.
Co to właściwie znaczy? Jak działa przechwytywanie kliknięć? A jak możesz się chronić?
Co to jest przechwytywanie kliknięć?
Clickjacking to rodzaj ataku socjotechnicznego, za pomocą którego cyberprzestępcy mogą uzyskać dostęp do informacji o użytkownikach.
Głównym celem clickjackingu jest nakłonienie użytkownika do kliknięcia czegoś konkretnego, czego żąda od niego cyberatakujący. Dzięki temu mogą przejąć twoje urządzenie, zwłaszcza podczas korzystania z kamery i mikrofonu. W większości przeglądarek wystarczy kliknąć jeden przycisk, aby przyznać uprawnienia do mikrofonu i kamery; użytkownicy mogą więc nieświadomie udostępniać swoje kamery cyberatakującemu, co może mieć poważne konsekwencje, zwłaszcza dla prywatności.
Jak Clickjacking działa z przezroczystymi witrynami
Atakujący tworzą fałszywe środowiska, aby oszukać użytkowników. Fałszywe strony internetowe mogą dotrzeć do dużej liczby osób, co zwiększa prawdopodobieństwo powodzenia ataku. Oszuści projektują witrynę, która wygląda niewinnie, ale jej prawdziwym celem jest uzyskanie dostępu do Twojej kamery i mikrofonu lub nakłonienie Cię do pobrania złośliwego oprogramowania.
Rozważmy na przykład prostą grę z kliknięciem, która działa całkowicie w przeglądarce. Jego głównym celem jest ocena zdolności koordynowania ruchów dłoni i oczu. Aby to osiągnąć, gra przedstawia kolorowe przyciski, które pojawiają się w różnych częściach ekranu i zachęca do ich kliknięcia. Im szybciej wykonasz tę czynność, tym wyższy będzie Twój poziom osiągnięć.
Choć wydaje się to nieszkodliwe, współrzędne przycisków, które pojawią się na ekranie, są z góry określone przez atakującego. Myślisz, że klikniesz przycisk i wygrasz grę, ale tak naprawdę klikasz zupełnie inny przycisk w tle.
Dostęp do kamery za pomocą kliknięcia
To samo dotyczy dostępu do twojego uprawnienia do mikrofonu i kamery. Czasami witryny potrzebują kamery i mikrofonu. Na przykład aplikacja taka jak Zoom wymaga tych uprawnień, abyś mógł mówić, a Twój obraz pojawiał się podczas wideokonferencji. Aby udzielić uprawnień, zobaczysz przycisk „zezwól” gdzieś w interfejsie przeglądarki. Oczywiście nie wszystkie platformy są tak bezpieczne jak Zoom.
Tak więc, gdy klikniesz niewinnie wyglądający przycisk odtwarzania, aby obejrzeć program telewizyjny lub film, może to być utworzony przez hakera przycisk zezwalający na otwarcie kamery.
Jak chronić się przed atakami typu clickjacking?
Złośliwy atakujący używa różnych kodów i skryptów, aby zmusić Cię do kliknięcia dokładnie tam, gdzie chce, i manipulowania ekranem. Wielu programistów z nawet niewielkimi doświadczenie z HTML-em i CSS mogą to łatwo zrobić: muszą po prostu bawić się wartościami krycia dwóch stron, które zaprojektowali jedna na drugiej i nie pokazywać końcowej strony użytkownikowi końcowemu.
Aby nie paść ofiarą pozornie prostej sztuczki opartej na skrypcie, jednym z najskuteczniejszych podejść jest wyłączenie JavaScript. Większość przeglądarek internetowych zapewnia funkcję bezpieczeństwa, która to umożliwia wyłącz JavaScript kod działający w tle stron internetowych. Na przykład w Chrome możesz uzyskać dostęp do strony, wpisując „chrome://settings/content/javascript” w pasku adresu. Po wejściu na tę stronę natkniesz się na Nie zezwalaj witrynom na używanie Javascript opcja.
Należy jednak zachować ostrożność przy wyborze tej opcji, ponieważ zablokuje ona wszystkie istniejące kody na każdej stronie internetowej. Aktywuj ją tylko wtedy, gdy logujesz się do stron, którym nie ufasz i które uważasz za niebezpieczne. Zawsze możesz odwrócić to ustawienie później.
Alternatywnie możesz użyć niezawodnych wtyczek wolnych od open source, aby łatwiej włączać i wyłączać JavaScript. Pakiet zabezpieczeń NoScript jest dobrym rozwiązaniem do tego i oferuje wsparcie dla wielu różnych przeglądarek. Ma na celu zapobieganie nie tylko atakom typu „clickjacking”, ale także złośliwemu oprogramowaniu, które istnieje na każdej odwiedzanej stronie.
Złośliwi napastnicy nie zawsze kodują swoje witryny w celu przeprowadzenia ataku typu „clickjacking” przy użyciu przezroczystych witryn. Mogą również wykorzystać luki w zabezpieczeniach sieci, które wykryją podczas przeglądania Internetu. Na przykład mogą wstrzyknąć kod, wykorzystując lukę w sekcji komentarzy na blogu. W takich przypadkach musisz zwracać uwagę na to, co faktycznie klikasz, nawet jeśli brzmi to nieco paranoicznie.
Skąd wiesz, czy witryna jest godna zaufania?
Jak sprawdzić, czy można zaufać witrynie? Osoby atakujące często nie poświęcają zbyt wiele czasu na projektowanie i rozwijanie witryny; to niepotrzebnie stracony czas i pieniądze. Można to stwierdzić na podstawie certyfikatów bezpieczeństwa i projektu witryny. Na przykład duża i zaufana witryna organizacji najprawdopodobniej będzie miała certyfikat SSL. Aby to sprawdzić, spójrz na adres URL. Jeśli adres zaczyna się „ https://", oznacza to, że strona posiada certyfikat SSL. To dodatkowe „S” po „HTTP” oznacza „Bezpieczny”. Nie polegaj jednak wyłącznie na tym.
Powinieneś również przyjrzeć się projektowi i zawartości witryny. Informacje na stronie kontaktowej, politykach prywatności, a nawet Ostrzeżenie RODO może wskazywać, czy witryna jest godna zaufania. Przeszukaj też witrynę. Co mówią o tym inni użytkownicy platform takich jak Twitter, Facebook i Trustpilot?
Jeśli masz jakąkolwiek wiedzę na temat kodowania, możesz zbadać kody źródłowe witryny. W ten sposób zobaczysz, jak działa w tle i do jakich innych witryn prowadzi.
Czy powinieneś się martwić o clickjacking?
Przechwytywanie kliknięć jest przerażające, zwłaszcza że cyberprzestępcy mogą uzyskać dostęp do Twojej kamery internetowej i aktywnie szpiegować Twoje działania. To poważne naruszenie prywatności i bezpieczeństwa.
Więc tak, może wydawać się trochę OTT, aby uważać, gdzie faktycznie klikasz na stronie internetowej. Większość z nas robi to bez chwili zastanowienia. Ale ważne jest również zachowanie czujności, aby nie paść ofiarą hakera.
