Štai kodėl galite dalytis savo fotoaparatu su kibernetiniu užpuoliku

Atidarote svetainę norėdami žiūrėti vaizdo įrašą. Pakankamai nekaltas, tiesa? Tačiau tiesiog spustelėjus mygtuką kibernetinis užpuolikas galėjo gauti prieigą prie jūsų fotoaparato ir mikrofono. Jie gali jus stebėti jums net apie tai nežinodami. Tai atakos forma, vadinama „clickjacking“.

Taigi, ką tai iš tikrųjų reiškia? Kaip veikia „clickjacking“? O kaip galima apsisaugoti?

Kas yra Clickjacking?

„Clickjacking“ yra socialinės inžinerijos atakos rūšis, kurią kibernetiniai nusikaltėliai gali naudoti norėdami gauti prieigą prie vartotojų informacijos.

Pagrindinis paspaudimų užgrobimo tikslas yra apgauti vartotoją, kad jis spustelėtų ką nors konkretaus, kurio nori kibernetinis užpuolikas. Dėl to jie gali užgrobti jūsų įrenginį, ypač naudojant kamerą ir mikrofoną. Daugumoje naršyklių tereikia spustelėti vieną mygtuką, kad suteiktumėte mikrofono ir fotoaparato leidimus; naudotojai gali nesąmoningai dalytis savo fotoaparatais su kibernetiniu užpuoliku, o tai gali turėti rimtų pasekmių, ypač privatumui.

Kaip paspaudimų užgrobimas veikia skaidriose svetainėse

Užpuolikai sukuria netikrą aplinką, kad apgautų vartotojus. Suklastotos svetainės gali pasiekti daug žmonių, todėl padidėja atakos sėkmės tikimybė. Sukčiai kuria svetainę, kuri atrodo nekalta, bet turi tikrą tikslą pasiekti jūsų kamerą ir mikrofoną arba priversti jus atsisiųsti kenkėjiškas programas.

Pavyzdžiui, apsvarstykite paprastą „clicker“ žaidimą, kuris veikia tik jūsų naršyklėje. Pagrindinis jo tikslas – įvertinti jūsų gebėjimą koordinuoti rankų ir akių judesius. Norėdami tai padaryti, žaidime pateikiami spalvoti mygtukai, rodomi skirtingose ​​ekrano dalyse, ir raginama juos spustelėti. Kuo greičiau galėsite atlikti šią veiklą, tuo didesnis bus jūsų pasiekimų lygis.

Nors tai atrodo nekenksminga, ekrane pasirodysiančių mygtukų koordinates nustato užpuolikas. Jūs manote, kad spustelėsite mygtuką ir laimite žaidimą, bet iš tikrųjų spustelite visiškai kitą mygtuką fone.

Prieiga prie fotoaparato naudojant „Clickjacking“.

Tas pats pasakytina ir apie prieigą prie jūsų mikrofono ir kameros leidimai. Kartais svetainėms reikia fotoaparato ir mikrofono. Pavyzdžiui, tokiai programai kaip „Zoom“ reikalingi šie leidimai, kad galėtumėte kalbėti ir jūsų vaizdas būtų rodomas vaizdo konferencijoje. Norėdami suteikti leidimus, naršyklės sąsajoje pamatysite mygtuką „leisti“. Žinoma, ne visos platformos yra tokios saugios kaip „Zoom“.

Taigi, kai spustelėsite nekaltai atrodantį paleidimo mygtuką, norėdami žiūrėti TV laidą ar filmą, tai gali būti įsilaužėlio sukurtas leidimo mygtukas, kad atidarytumėte fotoaparatą.

Kaip apsisaugoti nuo paspaudimų išpuolių?

Piktybinis užpuolikas naudoja įvairius kodus ir scenarijus, kad galėtumėte spustelėti tiksliai ten, kur jie nori, ir manipuliuoti ekranu. Daugelis kūrėjų turi net mažai patirtis su HTML ir CSS gali lengvai tai padaryti: jie tiesiog turi žaisti su dviejų sukurtų puslapių neskaidrumo reikšmėmis vienas ant kito ir galutiniam vartotojui nerodyti galinio puslapio.

Kad netaptumėte iš pažiūros paprasto scenarijaus pagrįsto triuko auka, vienas iš efektyviausių būdų yra išjungti „JavaScript“. Daugumoje žiniatinklio naršyklių yra saugos funkcija, leidžianti tai padaryti išjungti JavaScript kodas, kuris veikia svetainių fone. Pavyzdžiui, naršyklėje „Chrome“ galite pasiekti puslapį adreso juostoje įvesdami „chrome://settings/content/javascript“. Pasiekę šį puslapį pamatysite Neleisti svetainėms naudoti „Javascript“. variantas.

Tačiau pasirinkdami šią parinktį turite būti atsargūs, nes ji blokuos visus esamus kodus kiekvienoje svetainėje. Įjunkite jį tik prisijungdami prie svetainių, kuriomis nepasitikite ir kurias laikote nesaugiomis. Vėliau bet kada galėsite pakeisti šį nustatymą.

Arba galite naudoti be atvirojo kodo ir patikimus papildinius, kad būtų lengviau įjungti ir išjungti JavaScript. „NoScript Security Suite“. yra geras sprendimas ir siūlo palaikymą daugeliui skirtingų naršyklių. Juo siekiama užkirsti kelią ne tik „clickjacking“ atakoms, bet ir nuo kenkėjiškos programinės įrangos, esančios bet kurioje jūsų įvestoje svetainėje.

Kenkėjiški užpuolikai ne visada koduoja savo svetaines, kad galėtų įvykdyti paspaudimų užgrobimo ataką naudodami skaidrias svetaines. Jie taip pat gali pasinaudoti interneto spragomis, kurias randa naršydami internete. Pavyzdžiui, jie gali įvesti kodą išnaudodami tinklaraščio komentarų skilties pažeidžiamumą. Tokiais atvejais turite atkreipti dėmesį į tai, ką iš tikrųjų spustelite, net jei tai skamba šiek tiek paranojiškai.

Kaip sužinoti, ar svetainė yra patikima?

Kaip sužinoti, ar galite pasitikėti svetaine? Užpuolikai dažnai neskiria per daug laiko svetainės kūrimui ir plėtrai; tai bereikalingas laikas ir pinigai. Tai galite pasakyti iš svetainės saugos sertifikatų ir dizaino. Pavyzdžiui, didelė ir patikima organizacijos svetainė greičiausiai turės SSL sertifikatą. Norėdami tai patikrinti, peržiūrėkite URL. Jei adresas prasideda " https://", tai reiškia, kad svetainė turi SSL sertifikatą. Papildomas „S“ po „HTTP“ reiškia „saugus“. Vis dėlto nepasikliaukite vien tik tuo.

Taip pat turėtumėte pažvelgti į svetainės dizainą ir turinį. Informacija kontaktų puslapyje, privatumo politika ir net BDAR įspėjimas gali parodyti, ar svetainė yra patikima. Taip pat tyrinėkite svetainę. Ką apie tai sako kiti naudotojai tokiose platformose kaip Twitter, Facebook ir Trustpilot?

Jei turite žinių apie kodavimą, galite peržiūrėti svetainės šaltinio kodus. Tokiu būdu pamatysite kai kuriuos foninius darbus ir į kokias kitas svetaines jis nukreipia.

Ar turėtumėte nerimauti dėl „Clickjacking“?

Spustelėjimų užgrobimas yra baisus dalykas, ypač dėl to, kad kibernetiniai nusikaltėliai gali gauti prieigą prie jūsų internetinės kameros ir aktyviai šnipinėti jūsų veiklą. Tai yra didelė privatumo ir saugumo invazija.

Taigi taip, gali atrodyti, kad reikia būti atsargiam, kur iš tikrųjų spustelite svetainę. Daugelis iš mūsų tai daro nė sekundės negalvodami. Tačiau taip pat svarbu išlikti budriems, kad netaptumėte įsilaužėlių aukomis.