Cez webovú kameru a mikrofón vás môže špehovať hacker. A vy ste im tento prístup umožnili. Tu je návod.
Otvoríte stránku a pozriete si video. Dosť nevinné, však? Ale jednoduchým kliknutím na tlačidlo mohol kyberútočník získať prístup k vašej kamere a mikrofónu. Môžu vás sledovať bez toho, aby ste o tom vedeli. Ide o formu útoku nazývanú clickjacking.
Čo to teda vlastne znamená? Ako funguje clickjacking? A ako sa môžete chrániť?
Čo je to Clickjacking?
Clickjacking je typ útoku sociálneho inžinierstva, ktorý môžu kyberzločinci použiť na získanie prístupu k informáciám používateľov.
Hlavným účelom clickjackingu je oklamať používateľa, aby klikol na niečo konkrétne, čo od neho kyberútočník chce. Prostredníctvom toho sa môžu zmocniť vášho zariadenia, najmä pri použití fotoaparátu a mikrofónu. Vo väčšine prehliadačov stačí kliknúť na jediné tlačidlo, aby ste udelili povolenia pre mikrofón a kameru; používatelia potom môžu nevedomky zdieľať svoje kamery s kyberútočníkom, čo môže mať vážne následky, najmä pre súkromie.
Ako Clickjacking funguje s transparentnými stránkami
Útočníci vytvárajú falošné prostredia, aby oklamali používateľov. Falošné webové stránky môžu osloviť veľké množstvo ľudí, čím sa zvyšuje pravdepodobnosť úspechu útoku. Podvodníci navrhujú stránku, ktorá vyzerá nevinne, ale jej skutočným účelom je získať prístup k vašej kamere a mikrofónu alebo vás prinútiť stiahnuť si malvér.
Zvážte napríklad jednoduchú klikačku, ktorá funguje výlučne vo vašom prehliadači. Jeho hlavným cieľom je posúdiť vašu schopnosť koordinovať pohyby rúk a očí. Aby ste to dosiahli, hra vám ponúka farebné tlačidlá, ktoré sa zobrazujú v rôznych častiach obrazovky, a vyzve vás, aby ste na ne klikli. Čím rýchlejšie môžete túto aktivitu vykonať, tým vyššia bude vaša úroveň úspechu.
Hoci sa to zdá neškodné, súradnice tlačidiel, ktoré sa objavia na obrazovke, sú vopred určené útočníkom. Myslíte si, že kliknete na tlačidlo a vyhráte hru, ale v skutočnosti kliknete na úplne iné tlačidlo na pozadí.
Prístup k vášmu fotoaparátu pomocou Clickjackingu
To isté platí pre prístup k vášmu povolenia pre mikrofón a fotoaparát. Stránky niekedy potrebujú vašu kameru a mikrofón. Napríklad aplikácia ako Zoom vyžaduje tieto povolenia, aby ste mohli hovoriť a aby sa váš obrázok objavil vo videokonferenciách. Ak chcete udeliť povolenia, niekde v rozhraní prehliadača uvidíte tlačidlo „povoliť“. Samozrejme, nie všetky platformy sú také bezpečné ako Zoom.
Keď teda kliknete na nevinne vyzerajúce tlačidlo prehrávania, aby ste si pozreli televíznu reláciu alebo film, môže ísť o tlačidlo umožňujúce na pozadí, ktoré vytvoril hacker na otvorenie fotoaparátu.
Ako sa chránite pred útokmi typu Clickjacking?
Škodlivý útočník používa rôzne kódy a skripty, aby vás prinútil kliknúť presne tam, kam chcú, a manipulovať s vašou obrazovkou. Veľa vývojárov aj s málom skúsenosti s HTML a CSS to dokáže jednoducho: musia sa pohrať s hodnotami nepriehľadnosti dvoch stránok, ktoré navrhli, nad sebou a neukázať koncovému používateľovi zadnú stranu.
Aby ste sa vyhli zdanlivo jednoduchému triku založenému na skriptoch, jedným z najúčinnejších prístupov je vypnúť JavaScript. Väčšina webových prehliadačov poskytuje funkciu zabezpečenia, ktorá vám to umožňuje vypnite JavaScript kód, ktorý beží na pozadí webových stránok. Napríklad v prehliadači Chrome môžete prejsť na stránku zadaním „chrome://settings/content/javascript“ do panela s adresou. Po dosiahnutí tejto stránky narazíte na Nepovoliť stránkam používať JavaScript možnosť.
Pri výbere tejto možnosti však musíte byť opatrní, pretože zablokuje všetky existujúce kódy na každej webovej lokalite. Aktivujte ho iba pri prihlasovaní na stránky, ktorým nedôverujete a nepovažujete ich za bezpečné. Toto nastavenie môžete kedykoľvek vrátiť späť.
Prípadne môžete použiť spoľahlivé doplnky bez otvoreného zdroja na jednoduchšie povolenie a zakázanie JavaScriptu. NoScript Security Suite je na to dobrým riešením a ponúka podporu pre mnoho rôznych prehliadačov. Jeho cieľom je zabrániť nielen útokom typu clickjacking, ale aj škodlivému softvéru, ktorý existuje na akejkoľvek stránke, na ktorú vstúpite.
Škodliví útočníci nie vždy kódujú svoje stránky tak, aby vykonali útok typu clickjacking pomocou transparentných stránok. Môžu tiež využiť online zraniteľnosti, ktoré nájdu pri prehliadaní internetu. Napríklad môžu vložiť kód zneužitím zraniteľnosti v sekcii komentárov na blogu. V takýchto prípadoch si treba dávať pozor na to, na čo vlastne klikáte, aj keď to znie trochu paranoidne.
Ako zistíte, či je stránka dôveryhodná?
Ako zistíte, či webovej stránke môžete dôverovať? Útočníci často nevkladajú príliš veľa času do návrhu a vývoja stránky; je to zbytočne vyhodený čas a peniaze. Môžete to zistiť z bezpečnostných certifikátov a dizajnu lokality. Napríklad veľká a dôveryhodná stránka organizácie bude mať s najväčšou pravdepodobnosťou certifikát SSL. Ak to chcete skontrolovať, pozrite sa na adresu URL. Ak adresa začína „ https://", to znamená, že stránka má certifikát SSL. To extra "S" za "HTTP" znamená "Secure". Nespoliehajte sa však len na toto.
Mali by ste sa tiež pozrieť na dizajn a obsah stránky. Informácie na kontaktnej stránke, zásady ochrany osobných údajov a dokonca Upozornenie GDPR môže naznačovať, či je stránka dôveryhodná. Preskúmajte aj stránku. Čo o tom hovoria ostatní používatelia na platformách ako Twitter, Facebook a Trustpilot?
Ak máte nejaké znalosti o kódovaní, môžete preskúmať zdrojové kódy stránky. Týmto spôsobom uvidíte časť práce na pozadí a ďalšie stránky, na ktoré odkazuje.
Mali by ste sa obávať Clickjackingu?
Clickjacking je strašná vec, najmä ak kyberzločinci môžu získať prístup k vašej webovej kamere a aktívne špehovať vaše aktivity. To je veľký zásah do súkromia a bezpečnosti.
Takže áno, môže sa zdať trochu OTT dávať si pozor, kde vlastne na webe klikáte. Väčšina z nás to robí bez rozmýšľania. Ale je tiež dôležité, aby ste zostali ostražití, aby ste sa nestali obeťou hackera.
