Un hacker ar putea să vă spioneze prin intermediul camerei web și al microfonului. Și le-ai permis accesul. Iată cum.
Deschizi un site pentru a viziona un videoclip. Destul de inocent, nu? Dar făcând simplu clic pe un buton, un atacator cibernetic ar fi putut obține acces la camera și microfonul dvs. S-ar putea să te urmărească fără ca tu să știi despre asta. Aceasta este o formă de atac numită clickjacking.
Deci, ce înseamnă asta de fapt? Cum funcționează clickjacking-ul? Și cum te poți proteja?
Ce este Clickjacking-ul?
Clickjacking este un tip de atac de inginerie socială pe care infractorii cibernetici îl pot folosi pentru a obține acces la informațiile utilizatorilor.
Scopul principal al clickjacking-ului este de a păcăli utilizatorul pentru a-l determina să facă clic pe ceva anume pe care atacatorul cibernetic dorește. Prin aceasta, ei vă pot confisca dispozitivul, mai ales când utilizați camera și microfonul. În majoritatea browserelor, trebuie doar să faceți clic pe un singur buton pentru a acorda permisiuni pentru microfon și cameră; Prin urmare, utilizatorii pot împărtăși fără să știe camerele lor cu un atacator cibernetic, ceea ce poate avea consecințe grave, în special pentru confidențialitate.
Cum funcționează Clickjacking-ul cu site-uri transparente
Atacatorii creează medii false pentru a păcăli utilizatorii. Site-urile web false pot ajunge la un număr mare de persoane și astfel crește probabilitatea succesului atacului. Escrocii creează un site care pare inocent, dar are scopul real de a vă accesa camera și microfonul sau de a vă determina să descărcați programe malware.
De exemplu, luați în considerare un simplu joc de clic care funcționează în întregime în browserul dvs. Scopul său principal este de a vă evalua capacitatea de a vă coordona mișcările mâinii și ale ochilor. Pentru a realiza acest lucru, jocul vă prezintă butoane colorate care apar în diferite părți ale ecranului și vă solicită să faceți clic pe ele. Cu cât poți executa mai repede această activitate, cu atât nivelul tău de realizare va fi mai mare.
Deși pare inofensiv, coordonatele butoanelor care vor apărea pe ecran sunt predeterminate de atacator. Crezi că faci clic pe un buton și câștigi jocul, dar de fapt dai clic pe un buton complet diferit în fundal.
Accesarea camerei dvs. cu Clickjacking
Același lucru este valabil și pentru accesarea dvs permisiuni pentru microfon și cameră. Uneori, site-urile au nevoie de camera și microfonul dvs. De exemplu, o aplicație precum Zoom necesită aceste permisiuni pentru ca tu să poți vorbi și pentru ca imaginea ta să apară în conferințe video. Pentru a acorda permisiuni, vei vedea un buton „permite” undeva pe interfața browserului tău. Desigur, nu toate platformele sunt la fel de sigure ca Zoom.
Deci, când faceți clic pe un buton de redare cu aspect inocent pentru a viziona o emisiune TV sau un film, poate fi un buton de permitere back-end creat de hacker pentru a vă deschide camera.
Cum vă protejați împotriva atacurilor de tip clickjacking?
Un atacator rău intenționat folosește diverse coduri și scripturi pentru a vă face să faceți clic exact unde dorește și să vă manipulați ecranul. Mulți dezvoltatori chiar și puțin experiență cu HTML și CSS pot face asta cu ușurință: trebuie doar să se joace cu valorile de opacitate ale celor două pagini pe care le-au proiectat una peste alta și să nu arate pagina din spate utilizatorului final.
Pentru a evita căderea pradă unui truc aparent simplu bazat pe script, una dintre cele mai eficiente abordări este dezactivarea JavaScript. Majoritatea browserelor web oferă o caracteristică de securitate care vă permite dezactivați JavaScript cod care rulează în fundalul site-urilor web. De exemplu, în Chrome, puteți accesa pagina tastând „chrome://settings/content/javascript” în bara de adrese. Când ajungeți la această pagină, veți întâlni Nu permiteți site-urilor să folosească Javascript opțiune.
Cu toate acestea, trebuie să fiți precaut atunci când selectați această opțiune, deoarece va bloca toate codurile existente pe fiecare site web. Activați-l numai atunci când vă conectați la site-uri în care nu aveți încredere și le considerați nesigure. Puteți inversa oricând această setare mai târziu.
Alternativ, puteți utiliza pluginuri de încredere și fără sursă deschisă pentru a activa și dezactiva JavaScript mai ușor. NoScript Security Suite este o soluție bună pentru aceasta și oferă suport pentru multe browsere diferite. Scopul este să prevină nu numai atacurile de tip clickjacking, ci și software-ul rău intenționat care există pe orice site pe care îl accesați.
Atacatorii rău intenționați nu își codifică întotdeauna site-urile pentru a efectua un atac de tip clickjacking folosind site-uri transparente. De asemenea, pot profita de vulnerabilitățile online pe care le găsesc în timp ce navighează pe internet. De exemplu, pot injecta cod prin exploatarea unei vulnerabilități din secțiunea de comentarii a unui blog. În astfel de cazuri, trebuie să fiți atenți la ceea ce faceți clic de fapt, chiar dacă sună puțin paranoic.
Cum știi dacă un site este de încredere?
Cum îți poți da seama dacă poți avea încredere într-un site? Atacatorii nu dedică adesea prea mult timp proiectării și dezvoltării unui site; este timp și bani irositi inutil. Puteți spune acest lucru din certificatele de securitate și designul unui site. De exemplu, un site organizațional mare și de încredere va avea cel mai probabil un certificat SSL. Pentru a verifica acest lucru, uitați-vă la adresa URL. Dacă adresa începe " https://", înseamnă că site-ul are un certificat SSL. Acel „S” suplimentar după „HTTP” înseamnă „Securizat”. Nu te baza doar pe asta, totuși.
Ar trebui să aruncați o privire și asupra designului și conținutului site-ului. Informațiile de pe pagina de contact, politicile de confidențialitate și chiar Avertismentul GDPR poate indica dacă un site este de încredere. Cercetați și site-ul. Ce spun alți utilizatori de pe platforme precum Twitter, Facebook și Trustpilot despre asta?
Dacă aveți cunoștințe despre codificare, puteți examina codurile sursă ale site-ului. În acest fel, veți vedea unele dintre lucrările de fundal și la ce alte site-uri trimite.
Ar trebui să vă faceți griji pentru Clickjacking?
Clickjacking-ul este un lucru înfricoșător, mai ales că infractorii cibernetici ar putea obține acces la camera web și ar putea să vă spioneze activ activitățile. Aceasta este o invazie majoră a confidențialității și securității.
Deci, da, ar putea părea puțin OTT să fii atent unde faci clic de fapt pe un site web. Majoritatea dintre noi facem asta fără să ne gândim o secundă. Dar este, de asemenea, important să fii vigilent pentru a nu cădea pradă unui hacker.