Смотри, куда кликаешь

Clickjacking или угон кликов – это злохакерская технология, появившаяся в ответ на усиление защиты браузеров от несанкционированных действий. Стимулом для неё явился спрос на спам, накрутку счётчиков и загрузку малвари через веб-страницы.



Когда чёрным шляпам стало невозможно или затруднительно заставить чужой браузер делать что-то без санкции пользователя, злоумышленники обратились к обсуждаемой технологии. Они стали обманом вынуждать пользователя кликнуть на нужном элементе интерфейса, скрывая его или маскируя под другой элемент. Таким образом формально действие являлось санкционированным, но фактически – нет.

Взять обманный клик можно несколькими способами:

  • замаскировать ссылку, показав в статусной строке другой адрес;
  • вывести поверх обычной страницы невидимый слой с другой страницей;
  • учесть клик при помощи элемента на Flash;
  • учинить кнопку (в т.ч. невидимую), бегающую за курсором;
  • совершить по одому клику два действия;
  • изменить позицию курсора.


Ради удобства пользователя в веб-интерфейсах давно уже не применяют подтверждения команд. Лайки, ретвиты, покупки, переходы и загрузки происходят в один клик. Угнать этот единственный клик не так уж трудно – именно в силу его единственности. В очередной раз безопасность принесена в жертву удобству.

Применения клик-джекинга бывают разной степени опасности:

  • накрутка счётчиков, в том числе, лайков (лайк-джекинг);
  • рассылка и перепост спама от чужого имени;
  • покупки в некоторых интернет-магазинах;
  • платные подписки;
  • загрузка вредоносного и паразитного ПО;
  • фишинг.


Формально скрипты для клик-джекинга подпадают под определение вредоносной программы из ст.273 УК, поскольку предназначены именно для несанкционированных действий над информацией в форме обхода этапа получения санкции пользователя. К сожалению, на практике в России не привлекают к ответственности за такие программы, поскольку это довольно затратное мероприятие, а процент раскрываемости можно сделать на более лёгких и надёжных делах.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах