Prostřednictvím webové kamery a mikrofonu vás může špehovat hacker. A vy jste jim ten přístup umožnili. Zde je návod.
Otevřete web a podívejte se na video. Dost nevinné, že? Ale pouhým kliknutím na tlačítko mohl kybernetický útočník získat přístup k vaší kameře a mikrofonu. Mohli by vás sledovat, aniž byste o tom věděli. Jedná se o formu útoku zvanou clickjacking.
Co to tedy vlastně znamená? Jak clickjacking funguje? A jak se můžete chránit?
Co je Clickjacking?
Clickjacking je druh útoku sociálního inženýrství, který mohou kyberzločinci využít k získání přístupu k informacím uživatelů.
Hlavním účelem clickjackingu je přimět uživatele, aby klikl na něco konkrétního, co po něm kyberútočník chce. Prostřednictvím toho mohou zabavit vaše zařízení, zejména při použití kamery a mikrofonu. Ve většině prohlížečů stačí kliknout na jediné tlačítko a udělit oprávnění k mikrofonu a kameře; uživatelé pak mohou nevědomky sdílet své kamery s kyberútočníkem, což může mít vážné důsledky, zejména pro soukromí.
Jak Clickjacking funguje s transparentními stránkami
Útočníci vytvářejí falešná prostředí, aby oklamali uživatele. Falešné webové stránky mohou oslovit velké množství lidí, a tak zvyšují pravděpodobnost úspěchu útoku. Podvodníci navrhují web, který vypadá nevinně, ale jeho skutečným účelem je získat přístup k vaší kameře a mikrofonu nebo vás přimět ke stažení malwaru.
Zvažte například jednoduchou klikací hru, která funguje výhradně ve vašem prohlížeči. Jeho hlavním cílem je posoudit vaši schopnost koordinovat pohyby rukou a očí. Aby toho dosáhla, hra vám nabídne barevná tlačítka, která se objevují v různých částech obrazovky, a vyzve vás, abyste na ně klikli. Čím rychleji můžete tuto činnost provést, tím vyšší bude vaše úroveň úspěchu.
Přestože se to zdá neškodné, souřadnice tlačítek, která se objeví na obrazovce, jsou předem určeny útočníkem. Myslíte si, že kliknete na tlačítko a vyhrajete hru, ale ve skutečnosti kliknete na úplně jiné tlačítko na pozadí.
Přístup k vašemu fotoaparátu pomocí Clickjackingu
Totéž platí pro přístup k vašemu oprávnění k mikrofonu a fotoaparátu. Někdy weby potřebují vaši kameru a mikrofon. Například aplikace jako Zoom vyžaduje tato oprávnění, abyste mohli mluvit a aby se váš obrázek objevil ve videokonferencích. Chcete-li udělit oprávnění, někde v rozhraní prohlížeče uvidíte tlačítko „povolit“. Samozřejmě ne všechny platformy jsou tak bezpečné jako Zoom.
Když tedy kliknete na nevinně vypadající tlačítko pro přehrávání, abyste se podívali na televizní pořad nebo film, může to být koncové tlačítko povolení vytvořené hackerem pro otevření vaší kamery.
Jak se chráníte před útoky typu Clickjacking?
Zlomyslný útočník používá různé kódy a skripty, aby vás přiměl kliknout přesně tam, kam chtějí, a manipulovat s vaší obrazovkou. Mnoho vývojářů i s málem zkušenosti s HTML a CSS to umí jednoduše: stačí si pohrát s hodnotami neprůhlednosti dvou stránek, které navrhli, nad sebou a neukázat koncovému uživateli zadní stránku.
Abyste se nestali obětí zdánlivě jednoduchého triku založeného na skriptech, jedním z nejúčinnějších přístupů je deaktivace JavaScriptu. Většina webových prohlížečů poskytuje bezpečnostní funkci, která vám to umožňuje vypněte JavaScript kód, který běží na pozadí webových stránek. Například v prohlížeči Chrome můžete stránku otevřít zadáním „chrome://settings/content/javascript“ do adresního řádku. Po dosažení této stránky narazíte na Nedovolte webům používat Javascript volba.
Při výběru této možnosti však musíte být opatrní, protože zablokuje všechny existující kódy na všech webových stránkách. Aktivujte jej pouze při přihlašování na stránky, kterým nedůvěřujete a nepovažujete je za bezpečné. Toto nastavení můžete později kdykoli zvrátit.
Alternativně můžete použít spolehlivé pluginy bez open source pro snadnější povolení a zakázání JavaScriptu. NoScript Security Suite je pro to dobrým řešením a nabízí podporu pro mnoho různých prohlížečů. Jeho cílem je zabránit nejen útokům typu clickjacking, ale také škodlivému softwaru, který existuje na jakékoli stránce, na kterou vstoupíte.
Škodliví útočníci ne vždy kódují své stránky tak, aby provedli útok typu clickjacking pomocí transparentních stránek. Mohou také využít zranitelnosti online, které najdou při procházení internetu. Mohou například vložit kód zneužitím zranitelnosti v sekci komentářů na blogu. V takových případech je třeba dávat pozor na to, na co vlastně klikáte, i když to zní trochu paranoidně.
Jak poznáte, že je stránka důvěryhodná?
Jak můžete zjistit, zda můžete webu věřit? Útočníci často nevěnují návrhu a vývoji webu příliš mnoho času; je to zbytečně vyhozený čas a peníze. Poznáte to z bezpečnostních certifikátů a designu webu. Například velký a důvěryhodný web organizace bude s největší pravděpodobností mít certifikát SSL. Chcete-li to zkontrolovat, podívejte se na adresu URL. Pokud adresa začíná " https://", to znamená, že web má certifikát SSL. To další „S“ za „HTTP“ znamená „Zabezpečené“. Nespoléhejte se však pouze na toto.
Měli byste se také podívat na design a obsah stránek. Informace na kontaktní stránce, zásady ochrany osobních údajů a dokonce Upozornění GDPR může naznačovat, zda je web důvěryhodný. Prozkoumejte také stránky. Co o tom říkají ostatní uživatelé na platformách jako Twitter, Facebook a Trustpilot?
Pokud máte nějaké znalosti o kódování, můžete prozkoumat zdrojové kódy webu. Tímto způsobem uvidíte část práce na pozadí a na jaké další stránky odkazuje.
Měli byste se obávat Clickjackingu?
Clickjacking je děsivá věc, zvláště když kyberzločinci mohou získat přístup k vaší webové kameře a aktivně špehovat vaše aktivity. To je velký zásah do soukromí a bezpečnosti.
Takže ano, mohlo by se zdát trochu OTT dávat si pozor, kam vlastně na webu klikáte. Většina z nás to dělá bez jediného přemýšlení. Ale je také důležité, abyste zůstali ostražití, abyste se nestali obětí hackera.
