Конец разделов меню

Описание работы сервисов clickjacking

Недобросовестные веб-дизайнеры используют различные технологии для решения своих проблем. Например, размещение ссылок на вредоносные сайты, запуск механизмов слежения за пользователем (и сбор данных о нем), а также кликджекинг.

Нужно сказать, что сбор и использование личной информации практикуют почти все крупные компании, работающие в сети. В первую очередь – Yandex и Google. Не брезгует сбором персональных данных и популярная социальная сеть ВКонтакте при помощи разработанного скрипта vk tracker. Сведения собираются самые разные, вплоть до срока действия банковской карты, данных о родственниках, контактные данные (номера телефонов).

С данным явлением можно бороться по-разному, но добиться 100% конфиденциальности практически очень трудно. А большинству пользователей это и не нужно. Однако защита личных данных от злоумышленников – это более реальная проблема.

Что такое кликджекинг

Clickjacking – это способ обмана пользователя, при котором он, нажимая на какую-либо ссылку, совершает некое действие помимо своей воли.

Справка. В качестве примера можно привести такой вид мошенничества, как подмена документов, которые человек подписывает в реальной жизни. Доказать факт подобных преступлений трудно.

Этот эффект достигается при помощи размещения специальных скриптов в коде страницы. Программное обеспечение подменяет линки или устанавливает невидимые элементы на сайте.

Для чего нужны невидимые кнопки

Использование прозрачных элементов позволяет подменять те ссылки, которые пользователь видит на те, которые интересуют веб-разработчика. Например, читатель «кликает» на кнопку «Посмотреть видео», но кроме просмотра одновременно ставит «лайк» определенному пользователю социальной сети.

Таким образом происходит (вопреки желанию пользователей) продвижение различных интернет-ресурсов. Этим активно пользуются недобросовестные маркетологи, зарабатывая тем самым немалые деньги. Бороться с подобными явлениями крайне сложно, чаще всего попросту невозможно.

фото 1

Кликджекинг следит за тобой

Один из новейших вариантов его использования  – идентификация пользователя с использованием, например, его профиля в фейсбуке.

Механизм прост: при посещении какого-либо сайта за курсором читателя следует невидимая кнопка (например, «лайк» из контакта Facebook), и куда бы ни нажал пользователь, он эту кнопку также активирует, хотя и против своей воли. В результате этого действия человек становится «другом» некоего лица, который теперь сможет получить данные о профиле, подписчиках, группах пользователя. Информация будет передана в базу данных злоумышленников. В частности, ID (идентификационный номер).

В некоторых случаях возможен перехват управлением аккаунта, другими словами, взлом страницы и ее использование в личных целях, например, для распространения рекламы. Часто целью мошенников является личная переписка, фотоматериалы, видео и так далее.

Аналогичные «шпионы»

Не все пользователи (и даже владельцы сайтов) понимают, чем именно кликджекинг отличается от других легальных маркетинговых технологий, которые широко используются в сети.

Например, ретаргетинг или wantresult – используется для повторной демонстрации продукта компании, если человек хотя бы раз посетил ресурс определенной организации.

Технически это реализуется размещением на сайте определенного кода, он реагирует на некоторые действия посетителя (просмотр продукции, регистрация и так далее), передавая информацию в базу данных, например, той социальной сети, где пользователь зарегистрирован. Также происходит попытка сохранить идентификатор пользователя в куки браузера.

Таргетированная реклама по коду из соцсетей

Если пользователь открывает свою страничку в соцсети, его идентификатор будет определен (из сохраненных куков). Теперь он будет чаще видеть рекламные баннеры, описывающие и предлагающие товары или услуги, которыми он ранее интересовался. Например, после посещения ресурса автосалона, будут рекламировать услуги по продаже автомобилей, если был проявлен интерес к спортивным событиям, скорее всего, появятся объявления букмекеров.

Сами социальные сети не занимаются напрямую внедрением подобных механизмов, но активно продвигают их, предоставляя место под рекламу. Такие методы не преследуют никаких иных целей, кроме продвижения товаров, поэтому никакой опасности не представляют.

фото 2

Социальный замок

Для увеличения аудитории используют одноименный плагин, принцип работы достаточно прост: при чтении текста пользователь замечает, что его часть скрыта, а для продолжения просмотра следует «кликнуть» на кнопке какой-либо социальной сети. Таким образом, в обмен на «лайк» читатель получает интересный контент.

Как показывает практика, данный способ сильно увеличивает аудиторию, при этом кликджекингом не является, пользователь решает сам: нажимать ему на кнопку или нет.

Форма подписки

Это вид почтового маркетинга, также реализуется в виде плагина на сайте. В некоторых случаях уместно, например, если ресурс посвящен кулинарии, можно реализовать рассылку новых рецептов.

Иногда в сообщество можно вступить, подписавшись на рассылку, но опять-таки это действие происходит с согласия пользователя.

Push-рассылки

Технология браузерных рассылок часто воспринимается как нечто родственное кликджекингу. Но это не так. Как правило, при первом посещении сайта всплывает окошко с предложением показывать сообщения ресурса. Если пользователь нажмет кнопку «Не разрешаю», никаких всплывающих окон он не увидит.

Будьте осторожны — сервисы-вредители

Может случиться, что при активации какой-либо ссылки идет перенаправление на некий вредоносный ресурс.

Это может быть фишинговый сайт, где под разными предлогами будут производиться попытки выудить личную информацию о пользователе, например, номера банковских карт, пароли и так далее.

Иногда создаются псевдо-интернет магазины. Покупатель оплачивает покупку, но ничего не получает. Очень часто внешне эти сайты как две капли воды похожи на известные ресурсы.

К сожалению, современные технологии позволяют штамповать подобные страницы в неограниченном количестве. Часто встречаются копии страничек интернет-банков (например, часто подделываются под Сбербанк), крупные организации могут повлиять на фальшивые ресурсы и просто закрыть их. Пользователи как правило сами сообщают сотрудникам финансовых организаций о появившихся клонах.

Важно. При выявлении подобных ресурсов необходимо обращаться в правоохранительные органы. В том числе – международные, например, CERT-GIB.

Довольно часто встречаются различные пугающие сообщения о том, что компьютер заражен вирусом, и вся информация будет удалена, после чего появится сообщение о том, что надо отправить СМС, получить код и так далее. К сожалению, очень часто на ПК действительно запускается процесс, найти который и удалить довольно сложно. Но отправлять сообщения на какие-либо номера не рекомендуется.

Еще один из сценариев развития событий – тихий запуск какой-либо вредоносной программы на ПК. Ее цели могут быть различны – от воровства личных данных, до использования ресурсов компьютера жертвы.

Совет. Рекомендуется как можно чаще обновлять антивирусные базы и файервол. Это поможет устранить большинство проблем с безопасностью.

Наказание за слежку

По существу данный метод не является чем-то опасным, то есть размещение кода, который собирает информацию о пользователе, для самого сайта не имеет особого значения. Однако создатели поисковых систем борются с явлением кликджекинга.

Важно. Следует отметить, что бесконтрольное размещение подозрительных ссылок на сайте может привести к его падению в рейтинге. Поэтому рекомендуется пользоваться услугами проверенных веб-мастеров.

От Яндекса

Yandex предусматривает санкции за внедрение кода, использующего кликджекинг, с понижением позиций ресурса (сайта) на 20-30 пунктов.

Справка. Разработчик (или владелец) не получит никаких уведомлений от администраторов поисковика. Рейтинг будет понижен без отправления сообщений и объяснений.

Следует внимательно следить за изменением кода сайта, особенно если ресурс используют для размещения рекламы и сторонних ссылок. Из-за санкций можно потерять былые позиции, что повлечет за собой кратное уменьшение доходности.

От Гугла

Google разработал собственную систему защиты от кликджекинга, это фильтры, алгоритм работы которых постоянно обновляется. Злоумышленники все время выдумывают новые способы обхода блокировок, но их так или иначе вычисляют и блокируют.

Также обнуляется трафик, относящийся к сайтам недобросовестных веб-мастеров.

Как предохраняться

Защититься от кликджекинга можно, но это должна быть комплексная защита.

  1. Необходимо обновить браузер, его плагины. Особенно касается Flash, старые версии более уязвимы, разработчики постоянно работают над устранением «дыр» в защите.
  2. Использование специальных приложений. Часть из совершенно бесплатна.
  • NoScript – плагин для Firefox. Поставляется бесплатно;
  • ScriptSafe – для Chrome;
  • Comitari Web Protection Suite – бесплатная версия софта для защиты от интернет-угроз.

Никогда не сохранять пароли в браузере, вводить их вручную. Это касается, как минимум, тех сайтов, где содержится конфиденциальная информация. Злоумышленники в некоторых случаях могут вскрыть базу паролей и похитить данные или деньги.

фото 4

Использовать дополнительные почтовые ящики для регистрации, которые не привязаны в аккаунтам в социальных сетях.

В качестве дополнительных мер по защите своих данных часто пользователи отключают воспроизведение flash-роликов (можно оставить в виде исключения Youtube).

Если требуется восстановить рейтинг сайта, придется уточнить у Yandex или Google, какова причина блокировки или понижения.

В Яндексе для этого существует сервис «Вебмастер». Нужно выбрать тот сайт, который попал под санкции, просмотреть список фатальных ошибок.

Если нажать кнопку «Подробнее», то можно будет уточнить данные.

Справка. Если владелец исправил код, то есть удалил фрагменты, вызвавшие санкции, то он может нажать на кнопку «Я все исправил», восстановление произойдет не сразу. В лучшем случае – через несколько дней.

Заключение

Подавляющее большинство пользователей прекрасно осведомлены о том, что не нужно «кликать» на подозрительных (или незнакомых) сайтах, а вообще следует избегать их посещения. Тем не менее, информация собирается злоумышленниками почти беспрепятственно, десятки тысяч пользователей становятся жертвами кликджекинга в мире.

В результате крадутся конфиденциальные данные, похищаются деньги, аккаунты в социальных сетях. С каждым годом методы преступлений становятся все более изощренными, поэтому необходимо повышать уровень знаний, задействовать адекватные меры безопасности.

Kontent Manager