В этой статье я рас­ска­жу, как зло­умыш­ленник может исполь­зовать тех­нику соци­аль­ного фишин­га под наз­вани­ем клик­дже­кинг, что­бы деано­ними­зиро­вать поль­зовате­ля. В качес­тве при­мера мы будем изу­чать ата­ку на акка­унт VK и пос­мотрим, как имен­но хакер может узнать иден­тифика­тор поль­зовате­ля. Это очень опас­ный вид ата­ки, который слож­но пре­дот­вра­тить, и попасть­ся на него может каж­дый.

warning

Статья име­ет озна­коми­тель­ный харак­тер и приз­вана пре­дос­теречь от опас­ности неп­редна­мерен­ного раз­гла­шения лич­ных дан­ных. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции.

 

Что такое кликджекинг

Клик­дже­кинг — это механизм обма­на, свя­зан­ный с раз­мещени­ем на сай­те невиди­мых эле­мен­тов, с которы­ми поль­зователь может вза­имо­дей­ство­вать, даже не подоз­ревая это­го. То есть соз­дает­ся кноп­ка и в невиди­мом слое нак­ладыва­ется поверх дру­гой — видимой. Нап­ример, жер­тва хочет пос­мотреть фильм на сай­те, жмет Play, а попут­но еще слу­чай­но дает «сог­ласие на обра­бот­ку пер­сональ­ных дан­ных». Най­ти такие невиди­мые эле­мен­ты мож­но, толь­ко заг­лянув в код сай­та.

Бы­вает еще и «кур­сор­дже­кинг». Это незамет­ное переме­щение кур­сора мыши, что­бы выпол­нить те или иные дей­ствия на стра­нице. Переме­щать­ся вмес­те с кур­сором может и какой‑то эле­мент.

Даль­ше я покажу, как зло­умыш­ленник может добавить на стра­ницу вид­жет «ВКон­такте», сде­лать его невиди­мым и под­ложить ничего не подоз­рева­юще­му поль­зовате­лю.

 

Дизайн сайта

Здесь зло­умыш­ленник может нафан­тазиро­вать что угод­но. Соци­аль­ный фишинг — нич­то без соци­аль­ной инже­нерии, поэто­му пот­ребу­ется схе­ма вве­дения в заб­лужде­ние, под которую уже будет под­гонять­ся содер­жимое сай­та.

Для при­мера возь­мем пус­той шаб­лон.

<!DOCTYPE html> <!-- Объявление формата документа -->
<html>
<head> <!-- Техническая информация о документе -->
<meta charset="UTF-8"> <!-- Определение кодировки символов -->
<title>...</title> <!-- Заголовок документа -->
<link rel="stylesheet" type="text/css" href="style.css"> <!--
Подключение внешней таблицы стилей -->
<script src="script.js"></script> <!-- Подключение сценариев -->
</head>
<body> <!-- Основная часть документа -->
</body>
</html>
 

Авторизация VK

Те­перь на сайт добав­ляет­ся воз­можность авто­ризо­вать­ся через VK. Для это­го есть офи­циаль­ный API, к нему идет под­робная инс­трук­ция.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    7 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии