Ένας χάκερ μπορεί να σας κατασκοπεύει μέσω της κάμερας web και του μικροφώνου σας. Και τους επιτρέψατε αυτή την πρόσβαση. Να πώς.
Ανοίγετε έναν ιστότοπο για να παρακολουθήσετε ένα βίντεο. Αρκετά αθώα, σωστά; Αλλά κάνοντας απλά κλικ σε ένα κουμπί, ένας κυβερνοεπιτιθέμενος μπορεί να έχει αποκτήσει πρόσβαση στην κάμερα και το μικρόφωνό σας. Θα μπορούσαν να σε παρακολουθούν χωρίς καν να το ξέρεις. Αυτή είναι μια μορφή επίθεσης που ονομάζεται clickjacking.
Τι σημαίνει αυτό στην πραγματικότητα; Πώς λειτουργεί το clickjacking; Και πώς μπορείτε να προστατεύσετε τον εαυτό σας;
Τι είναι το Clickjacking;
Το Clickjacking είναι ένας τύπος επίθεσης κοινωνικής μηχανικής που μπορούν να χρησιμοποιήσουν οι εγκληματίες του κυβερνοχώρου για να αποκτήσουν πρόσβαση στις πληροφορίες των χρηστών.
Ο κύριος σκοπός του clickjacking είναι να εξαπατήσει τον χρήστη για να τον κάνει να κάνει κλικ σε κάτι συγκεκριμένο που θέλει ο κυβερνοεπιτιθέμενος. Μέσω αυτού, μπορούν να αρπάξουν τη συσκευή σας, ειδικά όταν χρησιμοποιείτε την κάμερα και το μικρόφωνο. Στα περισσότερα προγράμματα περιήγησης, πρέπει απλώς να κάνετε κλικ σε ένα μόνο κουμπί για να εκχωρήσετε δικαιώματα μικροφώνου και κάμερας. Οι χρήστες, λοιπόν, μπορεί εν αγνοία τους να μοιράζονται τις κάμερές τους με έναν κυβερνοεπιτιθέμενο, κάτι που μπορεί να έχει σοβαρές συνέπειες, ειδικά για το απόρρητο.
Πώς λειτουργεί το Clickjacking με διαφανείς ιστότοπους
Οι εισβολείς δημιουργούν ψεύτικα περιβάλλοντα για να ξεγελάσουν τους χρήστες. Οι ψεύτικοι ιστότοποι μπορούν να προσεγγίσουν μεγάλο αριθμό ατόμων και έτσι αυξάνει την πιθανότητα επιτυχίας της επίθεσης. Οι απατεώνες σχεδιάζουν έναν ιστότοπο που φαίνεται αθώος, αλλά έχει πραγματικό σκοπό να αποκτήσει πρόσβαση στην κάμερα και το μικρόφωνό σας ή να σας κάνει να κατεβάσετε κακόβουλο λογισμικό.
Για παράδειγμα, σκεφτείτε ένα απλό παιχνίδι με κλικ που λειτουργεί εξ ολοκλήρου στο πρόγραμμα περιήγησής σας. Ο κύριος στόχος του είναι να αξιολογήσει την ικανότητά σας να συντονίζετε τις κινήσεις των χεριών και των ματιών σας. Για να το πετύχετε αυτό, το παιχνίδι σας παρουσιάζει χρωματιστά κουμπιά που εμφανίζονται σε διάφορα σημεία της οθόνης και σας ζητά να κάνετε κλικ σε αυτά. Όσο πιο γρήγορα μπορείτε να εκτελέσετε αυτή τη δραστηριότητα, τόσο μεγαλύτερο θα είναι το επίτευγμά σας.
Αν και φαίνεται ακίνδυνο, οι συντεταγμένες των κουμπιών που θα εμφανιστούν στην οθόνη είναι προκαθορισμένες από τον εισβολέα. Νομίζετε ότι κάνετε κλικ σε ένα κουμπί και κερδίζετε το παιχνίδι, αλλά στην πραγματικότητα κάνετε κλικ σε ένα εντελώς διαφορετικό κουμπί στο παρασκήνιο.
Πρόσβαση στην κάμερά σας με το Clickjacking
Το ίδιο ισχύει και για την πρόσβαση στο δικό σας άδειες μικροφώνου και κάμερας. Μερικές φορές οι ιστότοποι χρειάζονται την κάμερα και το μικρόφωνό σας. Για παράδειγμα, μια εφαρμογή όπως το Zoom απαιτεί αυτές τις άδειες για να μπορείτε να μιλάτε και να εμφανίζεται η εικόνα σας σε τηλεδιάσκεψη. Για να εκχωρήσετε δικαιώματα, θα δείτε ένα κουμπί "αποδοχή" κάπου στη διεπαφή του προγράμματος περιήγησής σας. Φυσικά, δεν είναι όλες οι πλατφόρμες τόσο ασφαλείς όσο το Zoom.
Έτσι, όταν κάνετε κλικ σε ένα κουμπί αναπαραγωγής με αθώα εμφάνιση για να παρακολουθήσετε μια τηλεοπτική εκπομπή ή ταινία, μπορεί να είναι ένα κουμπί επιτρεπόμενης υποστήριξης που δημιουργήθηκε από τον χάκερ για να ανοίξει την κάμερά σας.
Πώς προστατεύεστε από επιθέσεις Clickjacking;
Ένας κακόβουλος εισβολέας χρησιμοποιεί διάφορους κώδικες και σενάρια για να σας κάνει να κάνετε κλικ ακριβώς όπου θέλει και να χειριστείτε την οθόνη σας. Πολλοί προγραμματιστές με έστω και λίγα εμπειρία με HTML και το CSS μπορεί εύκολα να το κάνει αυτό: απλά πρέπει να παίξουν με τις τιμές αδιαφάνειας των δύο σελίδων που σχεδίασαν η μία πάνω στην άλλη και να μην εμφανίσουν την πίσω σελίδα στον τελικό χρήστη.
Για να αποφύγετε να πέσετε θύματα ενός φαινομενικά απλό τέχνασμα που βασίζεται σε σενάρια, μία από τις πιο αποτελεσματικές προσεγγίσεις είναι να απενεργοποιήσετε το JavaScript. Τα περισσότερα προγράμματα περιήγησης ιστού παρέχουν μια δυνατότητα ασφαλείας που σας επιτρέπει απενεργοποιήστε το JavaScript κώδικας που εκτελείται στο παρασκήνιο των ιστότοπων. Για παράδειγμα, στο Chrome, μπορείτε να αποκτήσετε πρόσβαση στη σελίδα πληκτρολογώντας "chrome://settings/content/javascript" στη γραμμή διευθύνσεων. Μόλις φτάσετε σε αυτή τη σελίδα, θα συναντήσετε το Να μην επιτρέπεται στους ιστότοπους να χρησιμοποιούν Javascript επιλογή.
Ωστόσο, πρέπει να είστε προσεκτικοί όταν επιλέγετε αυτήν την επιλογή, καθώς θα μπλοκάρει όλους τους υπάρχοντες κωδικούς σε κάθε ιστότοπο. Ενεργοποιήστε το μόνο όταν συνδέεστε σε ιστότοπους που δεν εμπιστεύεστε και θεωρείτε μη ασφαλείς. Μπορείτε πάντα να αντιστρέψετε αυτήν τη ρύθμιση αργότερα.
Εναλλακτικά, μπορείτε να χρησιμοποιήσετε προσθήκες χωρίς ανοιχτό κώδικα και αξιόπιστα για να ενεργοποιήσετε και να απενεργοποιήσετε το JavaScript πιο εύκολα. NoScript Security Suite είναι μια καλή λύση για αυτό και προσφέρει υποστήριξη για πολλά διαφορετικά προγράμματα περιήγησης. Στόχος του είναι να αποτρέψει όχι μόνο επιθέσεις clickjacking, αλλά και κακόβουλο λογισμικό που υπάρχει σε οποιονδήποτε ιστότοπο εισέρχεστε.
Οι κακόβουλοι εισβολείς δεν κωδικοποιούν πάντα τους ιστότοπούς τους για να εκτελέσουν μια επίθεση clickjacking χρησιμοποιώντας διαφανείς ιστότοπους. Μπορούν επίσης να εκμεταλλευτούν τα διαδικτυακά τρωτά σημεία που βρίσκουν κατά την περιήγησή τους στο Διαδίκτυο. Για παράδειγμα, μπορούν να εισάγουν κώδικα εκμεταλλευόμενοι μια ευπάθεια στην ενότητα σχολίων ενός ιστολογίου. Σε τέτοιες περιπτώσεις, πρέπει να προσέχετε σε τι πραγματικά κάνετε κλικ, ακόμα κι αν αυτό ακούγεται λίγο παρανοϊκό.
Πώς ξέρετε εάν ένας ιστότοπος είναι αξιόπιστος;
Πώς μπορείτε να καταλάβετε εάν μπορείτε να εμπιστευτείτε έναν ιστότοπο; Οι εισβολείς συχνά δεν αφιερώνουν πολύ χρόνο στο σχεδιασμό και την ανάπτυξη ενός ιστότοπου. είναι περιττό σπατάλη χρόνου και χρήματος. Μπορείτε να το καταλάβετε αυτό από τα πιστοποιητικά ασφαλείας και τη σχεδίαση ενός ιστότοπου. Για παράδειγμα, ένας μεγάλος και αξιόπιστος ιστότοπος οργανισμού θα έχει πιθανότατα πιστοποιητικό SSL. Για να το ελέγξετε αυτό, δείτε τη διεύθυνση URL. Εάν η διεύθυνση αρχίζει " https://", σημαίνει ότι ο ιστότοπος διαθέτει πιστοποιητικό SSL. Αυτό το επιπλέον "S" μετά το "HTTP" σημαίνει "Ασφαλές". Μην βασίζεστε μόνο σε αυτό, όμως.
Θα πρέπει επίσης να ρίξετε μια ματιά στο σχεδιασμό και το περιεχόμενο του ιστότοπου. Οι πληροφορίες στη σελίδα επικοινωνίας, οι πολιτικές απορρήτου και ακόμη Η προειδοποίηση GDPR μπορεί να υποδεικνύει εάν ένας ιστότοπος είναι αξιόπιστος. Ερευνήστε και το site. Τι λένε για αυτό άλλοι χρήστες σε πλατφόρμες όπως το Twitter, το Facebook και το Trustpilot;
Εάν έχετε γνώσεις σχετικά με την κωδικοποίηση, μπορείτε να εξετάσετε τους πηγαίους κώδικες του ιστότοπου. Με αυτόν τον τρόπο, θα δείτε μέρος της εργασίας στο παρασκήνιο και σε ποιους άλλους ιστότοπους συνδέεται.
Θα πρέπει να ανησυχείτε για το Clickjacking;
Το Clickjacking είναι τρομακτικό πράγμα, ειδικά καθώς οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να αποκτήσουν πρόσβαση στην κάμερα web και να κατασκοπεύσουν ενεργά τις δραστηριότητές σας. Αυτό είναι μια μεγάλη παραβίαση της ιδιωτικής ζωής και της ασφάλειας.
Οπότε ναι, μπορεί να φαίνεται λίγο OTT να προσέχετε πού κάνετε πραγματικά κλικ σε έναν ιστότοπο. Οι περισσότεροι από εμάς το κάνουμε αυτό χωρίς να το σκεφτούμε λεπτό. Αλλά είναι επίσης σημαντικό να παραμείνετε σε εγρήγορση, ώστε να μην πέσετε θύματα ενός χάκερ.
