Невинное на первый взгляд действие – нажатие кнопки «Мне нравится» или подписка на рассылку новостей на сайте интернет-магазина – может привести к загрузке вредоносного ПО и выполнению кода, позволяющего хакерам получить доступ к паролям или включить функцию регистрации нажатий клавиш. Техника, используемая киберпреступниками для использования защищенных веб-сайтов в своих целях, – это clickjacking.
Представьте себе ситуацию, когда на листе бумаги с формой, выданной вам, вы должны ввести свое имя пользователя, пароль и другие конфиденциальные данные в соответствующие поля. Однако кто-то наклеил на этот лист бумаги кусок прозрачной пленки, и именно на ней неосведомленная жертва напишет всю информацию. Чистый лист бумаги достанется честному получателю, а пленка – похитителю данных. Именно такой механизм используется в атаках Clickjacking. Киберпреступники могут нанести невидимый для пользователей вредоносный слой на известный и надежный web-ресурс. Пользователь Интернета, переходя по ссылкам, которые могут показаться безопасными, или заполняя регистрационные формы, на самом деле может невольно стать жертвой мошенников.
В распоряжении киберпреступников, желающих воспользоваться атаками clickjacking, есть несколько методов. Наиболее простым является тот, при котором на всю страницу наносится прозрачный слой, но и сам факт его возникновения относительно легко обнаруживается программным обеспечением антивирусов или систем обнаружения и реагирования (EDR). Другие уловки используются для того, чтобы скрыть различные объекты на официальном сайте или ввести новые. Это могут быть посты похожие на те, что встречаются в социальных сетях. Нажатие на кнопку «Мне нравится» может вызвать нежелательное действие, например загрузку вредоносного кода или активацию веб-камеры. В других случаях это поддельные формы входа в систему, и введенные в них конфиденциальные данные попадают в базу данных злоумышленников и используются или перепродаются ими.
Атаки Clickjacking сложны и трудно идентифицируемы. Особую тревогу вызывает тот факт, что возможности обнаружения подобной активности с точки зрения обычного пользователя Интернета ограничены (хотя и существуют некоторые способы ее предотвращения), и владельцам сайтов обычно требуется помощь специалистов, чтобы принять соответствующие меры для своих web-ресурсов.
В силу скрытого характера деятельности жертвы не могут почувствовать опасность. Однако существуют определенные симптомы, которые могут вызвать подозрение у осведомленного пользователя. Например, если после нажатия на поле согласия на обработку персональных данных происходит заметная и быстрая замена контента или страница не реагирует на нажатия, это может свидетельствовать о попытке мошенничества. Если в такой или похожей ситуации в сознании пользователя загорается красная сигнальная лампочка, стоит сообщить об этом администратору, который сможет принять соответствующие меры по проверке случая и восстановить безопасность сайта
- советует Роберт Дабровски, руководитель инженерной группы польского отделения Fortinet
Как защитить себя от опасности?
Ответственность за обеспечение безопасности от атак clickjacking лежит в первую очередь на владельцах сайтов. Наиболее эффективные действия будут предприняты командой разработчиков, которые могут установить на серверах соответствующие защитные механизмы для контроля отображаемого контента и блокировки отображения потенциально опасного содержимого в браузере. Но и компании могут предпринять некоторые шаги, чтобы защитить своих сотрудников и клиентов от подобных атак Clickjacking.
Обучение сотрудников – ключевой момент. Когда сотрудники компании знают о рисках и возможностях атак clickjacking, они могут отреагировать и предупредить специалистов, обладающих знаниями и инструментами для устранения опасности потенциальной атаки. Еще одной важной мерой защиты является установка межсетевого экрана нового поколения (NGFW), включающего функцию межсетевого экрана приложений, который может распознавать и блокировать возникающие в сети угрозы, включая такие, как clickjacking.
Компьютеры пользователей также должны использовать всегда обновляемое программное обеспечение, которое сканирует открываемые веб-страницы. Регулярное обновление операционной системы и веб-браузеров также является обязательным условием, поскольку некоторые из методов кликджекинга, ранее использовавшихся киберпреступниками, были заблокированы программной защитой.
В связи с постоянным развитием способов представления данных в глобальной сети кибератаки, подобные атаки clickjacking, будут продолжаться. Жертв будут склонять к выполнению неожиданных действий на web-страницах, которые выглядят идентично тем, которыми они пользовались ранее. Поэтому образовательные усилия по повышению осведомленности, позволяющие предотвратить кибератаку путем своевременного сообщения администраторам о подозрительных ситуациях, не должны прекращаться. Но параллельно с этим необходимо внедрять соответствующие технические решения для минимизации уровня угрозы.