האקר עשוי לרגל אחריך באמצעות מצלמת האינטרנט והמיקרופון שלך. ואתה אפשרת להם את הגישה הזו. הנה איך.

אתה פותח אתר כדי לצפות בסרטון. מספיק תמים, נכון? אבל פשוט על ידי לחיצה על כפתור, תוקף סייבר עשוי לקבל גישה למצלמה ולמיקרופון שלך. יכול להיות שהם צופים בך בלי שאתה בכלל יודע על זה. זוהי צורה של התקפה הנקראת clickjacking.

אז מה זה אומר בעצם? איך עובד גניבת קליקים? ואיך אתה יכול להגן על עצמך?

מה זה קליקג'ינג?

חטיפת קליקים היא סוג של מתקפת הנדסה חברתית שבה פושעי סייבר יכולים להשתמש כדי לקבל גישה למידע של משתמשים.

המטרה העיקרית של חטיפת קליקים היא להערים על המשתמש לגרום לו ללחוץ על משהו ספציפי שמתקיף הסייבר רוצה שהוא יעשה. באמצעות זה, הם יכולים לתפוס את המכשיר שלך, במיוחד בעת שימוש במצלמה ובמיקרופון. ברוב הדפדפנים, אתה רק צריך ללחוץ על כפתור בודד כדי להעניק הרשאות מיקרופון ומצלמה; משתמשים, אם כן, עשויים שלא ביודעין לשתף את המצלמות שלהם עם תוקף סייבר, דבר שעלול להיות בעל השלכות חמורות, במיוחד על הפרטיות.

כיצד פועל חטיפת קליקים עם אתרים שקופים

תוקפים יוצרים סביבות מזויפות כדי להערים על משתמשים. אתרים מזויפים יכולים להגיע למספר רב של אנשים, וכך מגדילים את ההסתברות להצלחת המתקפה. רמאים מעצבים אתר שנראה תמים, אך מטרתו האמיתית היא לגשת למצלמה ולמיקרופון שלך או לגרום לך להוריד תוכנות זדוניות.

instagram viewer

לדוגמה, שקול משחק קליק פשוט שפועל כולו בתוך הדפדפן שלך. מטרתו העיקרית היא להעריך את היכולת שלך לתאם את תנועות היד והעיניים שלך. כדי להשיג זאת, המשחק מציג בפניכם כפתורים צבעוניים המופיעים בחלקים שונים של המסך ומנחה אתכם ללחוץ עליהם. ככל שתוכל לבצע פעילות זו מהר יותר, כך רמת ההישג שלך תהיה גבוהה יותר.

למרות שזה נראה לא מזיק, הקואורדינטות של הכפתורים שיופיעו על המסך נקבעות מראש על ידי התוקף. אתה חושב שאתה לוחץ על כפתור ומנצח במשחק, אבל אתה בעצם לוחץ על כפתור אחר לגמרי ברקע.

גישה למצלמה שלך באמצעות קליקים

אותו דבר לגבי הגישה שלך הרשאות מיקרופון ומצלמה. לפעמים אתרים צריכים את המצלמה והמיקרופון שלך. לדוגמה, אפליקציה כמו זום דורשת את ההרשאות האלה כדי שתוכל לדבר וכדי שהתמונה שלך תופיע בוועידת וידאו. כדי להעניק הרשאות, תראה כפתור "אפשר" איפשהו בממשק הדפדפן שלך. כמובן, לא כל הפלטפורמות מאובטחות כמו זום.

לכן, כאשר אתה לוחץ על כפתור הפעלה תמים למראה כדי לצפות בתוכנית טלוויזיה או סרט, זה עשוי להיות כפתור קצה אחורי לאפשרות שנוצר על ידי ההאקר לפתוח את המצלמה שלך.

איך אתה מגן מפני התקפות חטיפת קליקים?

תוקף זדוני משתמש בקודים ובסקריפטים שונים כדי לגרום לך ללחוץ בדיוק היכן שהוא רוצה ולתפעל את המסך שלך. מפתחים רבים אפילו עם מעט ניסיון עם HTML ו-CSS יכולים לעשות זאת בקלות: הם פשוט צריכים לשחק עם ערכי האטימות של שני הדפים שעיצבו זה על גבי זה ולא להציג את העמוד האחורי למשתמש הקצה.

כדי להימנע מליפול טרף לטריק מבוסס סקריפט פשוט לכאורה, אחת הגישות היעילות ביותר היא להשבית את JavaScript. רוב דפדפני האינטרנט מספקים תכונת אבטחה המאפשרת לך לעשות זאת כבה את ה-JavaScript קוד שפועל ברקע של אתרי אינטרנט. לדוגמה, ב-Chrome, אתה יכול לגשת לדף על ידי הקלדת "chrome://settings/content/javascript" בשורת הכתובת. בהגעה לדף זה, תתקלו ב אל תאפשר לאתרים להשתמש ב-Javascript אוֹפְּצִיָה.

עם זאת, עליך לנקוט משנה זהירות בעת בחירת אפשרות זו מכיוון שהיא תחסום את כל הקודים הקיימים בכל אתר אינטרנט. הפעל אותו רק בעת כניסה לאתרים שאינך סומך עליהם ונראה שאינם בטוחים. תמיד תוכל להפוך את ההגדרה הזו מאוחר יותר.

לחלופין, אתה יכול להשתמש בתוספים אמינים ללא קוד פתוח כדי להפעיל ולנטרל JavaScript ביתר קלות. חבילת האבטחה של NoScript מהווה פתרון טוב לכך ומציע תמיכה בדפדפנים רבים ושונים. מטרתו היא למנוע לא רק התקפות חטיפת קליקים, אלא גם תוכנות זדוניות שקיימות בכל אתר שאליו נכנסים.

תוקפים זדוניים לא תמיד מקודדים את האתרים שלהם כדי לבצע מתקפת קליקים באמצעות אתרים שקופים. הם יכולים גם לנצל נקודות תורפה מקוונות שהם מוצאים בזמן הגלישה באינטרנט. לדוגמה, הם יכולים להחדיר קוד על ידי ניצול פגיעות בקטע התגובות של בלוג. במקרים כאלה, אתה צריך לשים לב על מה אתה לוחץ בפועל, גם אם זה נשמע קצת פרנואידי.

איך תדעו אם אתר אמין?

איך אתה יכול לדעת אם אתה יכול לסמוך על אתר? תוקפים לרוב לא משקיעים יותר מדי זמן בעיצוב ופיתוח אתר; זה בזבוז זמן וכסף מיותר. אתה יכול לדעת זאת מאישורי האבטחה והעיצוב של האתר. לדוגמה, אתר ארגוני גדול ומהימן יהיה ככל הנראה בעל תעודת SSL. כדי לבדוק זאת, עיין בכתובת האתר. אם הכתובת מתחילה " https://", זה אומר שלאתר יש תעודת SSL. "S" נוסף אחרי "HTTP" פירושו "מאובטח". עם זאת, אל תסתמך רק על זה.

כדאי גם להציץ בעיצוב ובתוכן של האתר. המידע בדף יצירת הקשר, מדיניות הפרטיות ואפילו אזהרת GDPR יכולה לציין אם האתר אמין. תחקור גם את האתר. מה אומרים על זה משתמשים אחרים בפלטפורמות כמו טוויטר, פייסבוק ו-Truppi?

אם יש לך ידע על קידוד, אתה יכול לבחון את קודי המקור של האתר. כך תראה חלק מעבודות הרקע ולאילו אתרים אחרים היא מקשרת.

האם אתה צריך לדאוג לגבי חטיפת קליקים?

חטיפת קליקים היא דבר מפחיד, במיוחד מכיוון שפושעי סייבר יכולים לקבל גישה למצלמת האינטרנט שלך ולרגל באופן פעיל אחר הפעילויות שלך. זו פלישה גדולה לפרטיות ואבטחה.

אז כן, זה אולי נראה קצת OTT להיזהר היכן אתה לוחץ על אתר אינטרנט. רובנו עושים זאת ללא מחשבה של שנייה. אבל חשוב גם לשמור על ערנות כדי שלא תיפול טרף להאקר.