Haker vas možda špijunira putem vaše web kamere i mikrofona. I ti si im dopustio taj pristup. Evo kako.
Otvorite web mjesto da biste pogledali video. Dovoljno nevino, zar ne? Ali jednostavnim klikom na gumb, cyber napadač je mogao dobiti pristup vašoj kameri i mikrofonu. Mogli bi vas promatrati, a da za to niste ni svjesni. Ovo je oblik napada koji se zove clickjacking.
Pa što to zapravo znači? Kako funkcionira clickjacking? I kako se možete zaštititi?
Što je Clickjacking?
Clickjacking je vrsta napada društvenog inženjeringa koji kibernetički kriminalci mogu koristiti za pristup informacijama korisnika.
Glavna svrha clickjackinga je prevariti korisnika kako bi ga se natjeralo da klikne na nešto konkretno što cybernapadač želi. Na taj način vam mogu oduzeti uređaj, posebno kada koriste kameru i mikrofon. U većini preglednika samo trebate kliknuti jedan gumb da biste dodijelili dozvole za mikrofon i kameru; korisnici, tada, mogu nesvjesno podijeliti svoje kamere s cyber napadačem, što može imati ozbiljne posljedice, posebno za privatnost.
Kako Clickjacking funkcionira s transparentnim stranicama
Napadači stvaraju lažna okruženja kako bi prevarili korisnike. Lažne web stranice mogu doprijeti do velikog broja ljudi i tako povećavaju vjerojatnost uspjeha napada. Prevaranti osmišljavaju web mjesto koje izgleda nevino, ali ima pravu svrhu pristupiti vašoj kameri i mikrofonu ili vas natjerati da preuzmete zlonamjerni softver.
Na primjer, razmislite o jednostavnoj kliker igrici koja u potpunosti radi unutar vašeg preglednika. Njegov glavni cilj je procijeniti vašu sposobnost koordinacije pokreta ruku i očiju. Da biste to postigli, igra vam predstavlja gumbe u boji koji se pojavljuju u različitim dijelovima zaslona i traži od vas da kliknete na njih. Što brže možete izvršiti ovu aktivnost, to će vaša razina postignuća biti veća.
Iako se čini bezopasnim, koordinate gumba koji će se pojaviti na ekranu napadač je unaprijed odredio. Mislite da ste kliknuli na gumb i pobijedili u igri, ali zapravo ste kliknuli na potpuno drugačiji gumb u pozadini.
Pristup vašoj kameri pomoću Clickjackinga
Isto vrijedi i za pristup vašem dozvole za mikrofon i kameru. Ponekad web-mjesta trebaju vašu kameru i mikrofon. Na primjer, aplikacija kao što je Zoom zahtijeva ova dopuštenja da biste mogli govoriti i da bi se vaša slika pojavila na videokonferenciji. Za dodjelu dopuštenja vidjet ćete gumb "dopusti" negdje na sučelju preglednika. Naravno, nisu sve platforme tako sigurne kao Zoom.
Dakle, kada kliknete na gumb za reprodukciju koji nevino izgleda da biste gledali TV emisiju ili film, to može biti pozadinski gumb za dopuštanje koji je kreirao haker da otvori vašu kameru.
Kako se zaštititi od Clickjacking napada?
Zlonamjerni napadač koristi se raznim kodovima i skriptama kako bi vas natjerao da kliknete točno gdje oni žele i manipuliraju vašim zaslonom. Mnogi programeri s čak i malo iskustvo s HTML-om a CSS to može lako učiniti: samo se moraju poigrati s vrijednostima neprozirnosti dviju stranica koje su dizajnirali jednu na drugu i ne pokazati stražnju stranicu krajnjem korisniku.
Kako biste izbjegli da postanete žrtva naizgled jednostavnog trika temeljenog na skripti, jedan od najučinkovitijih pristupa je onemogućiti JavaScript. Većina web preglednika nudi sigurnosnu značajku koja vam omogućuje isključite JavaScript kod koji radi u pozadini web stranica. Na primjer, u Chromeu možete pristupiti stranici upisivanjem "chrome://settings/content/javascript" u adresnu traku. Kada dođete do ove stranice, naići ćete na Ne dopuštaj web-lokacijama upotrebu Javascripta opcija.
Međutim, morate biti oprezni pri odabiru ove opcije jer će blokirati sve postojeće kodove na svakoj web stranici. Aktivirajte ga samo kada se prijavljujete na stranice koje ne smatrate sigurnima. Uvijek možete poništiti ovu postavku kasnije.
Alternativno, možete koristiti pouzdane dodatke bez otvorenog izvornog koda kako biste lakše omogućili i onemogućili JavaScript. NoScript Security Suite je dobro rješenje za ovo i nudi podršku za mnogo različitih preglednika. Cilj mu je spriječiti ne samo napade clickjackinga, već i zlonamjerni softver koji postoji na bilo kojoj stranici koju unesete.
Zlonamjerni napadači ne kodiraju uvijek svoje web-lokacije za izvođenje napada clickjackinga pomoću transparentnih web-mjesta. Također mogu iskoristiti online ranjivosti koje pronađu dok pretražuju internet. Na primjer, mogu ubaciti kod iskorištavanjem ranjivosti u odjeljku komentara na blogu. U takvim slučajevima morate obratiti pozornost na što zapravo klikate, čak i ako to zvuči pomalo paranoično.
Kako ćete znati je li stranica pouzdana?
Kako možete znati možete li vjerovati stranici? Napadači često ne ulažu previše vremena u dizajniranje i razvoj stranice; to je nepotrebno gubljenje vremena i novca. To možete zaključiti iz sigurnosnih certifikata i dizajna web-mjesta. Na primjer, veliko i pouzdano organizacijsko mjesto najvjerojatnije će imati SSL certifikat. Da biste to provjerili, pogledajte URL. Ako adresa počinje " https://", to znači da stranica ima SSL certifikat. To dodatno "S" nakon "HTTP" znači "Sigurno". Ipak, nemojte se oslanjati samo na ovo.
Također biste trebali pogledati dizajn i sadržaj stranice. Podaci na kontakt stranici, pravila o privatnosti, pa čak i Upozorenje GDPR-a može pokazati je li stranica pouzdana. Istražite i stranicu. Što drugi korisnici na platformama kao što su Twitter, Facebook i Trustpilot kažu o tome?
Ako imate bilo kakvo znanje o kodiranju, možete pregledati izvorne kodove stranice. Na taj ćete način vidjeti dio pozadinskog rada i na koje druge stranice povezuje.
Trebate li se brinuti zbog Clickjackinga?
Clickjacking je zastrašujuća stvar, pogotovo zato što bi kibernetički kriminalci mogli dobiti pristup vašoj web kameri i aktivno špijunirati vaše aktivnosti. To je velika invazija na privatnost i sigurnost.
Dakle, da, moglo bi se činiti malo OTT-om da pripazite gdje zapravo klikate na web stranici. Većina nas to čini bez razmišljanja. Ali također je važno da ostanete na oprezu kako ne biste postali žrtva hakera.
