content/zh-cn/images/repository/isc/2017-images/34-Clickjacking.jpg

有些应用程序就像移动设备上的银行软件一样安全,但它们仍然有可能向网络罪犯泄露您最宝贵、最敏感的信息,例如登录凭据和联系人详细信息。

点击劫持使窃取敏感的私有信息方便快捷得就像登录应用程序一样。像 Svpeng 这样的恶意软件就证明了这种犯罪类型的得逞率和普遍性。

点击劫持允许黑客在您的点击操作与设备屏幕上显示的内容之间插入一个不可见的用户界面层。

您可能以为自己在输入 ID 和密码之后看到的是银行显示的内容,但实际上看到的是相同屏幕的一个副本,而它就覆盖在银行的真实信息之上。

当您输入私人信息时,数据并不是发送到银行进行验证,而是进入到网络罪犯维护的文件服务器,供其窃取帐户访问信息。

点击劫持获利

2017 年 7 月,Kaspersky Lab 高级恶意软件分析师 Roman Unuchek在 SecureList 博客中报告,Svpeng 恶意软件“正在如病毒般传播”。Svpeng 最早出现于 2013 年,用于盗取安卓设备用户的银行详细信息。一旦它被下载到移动设备上,就会对用户数据进行点击劫持,而现在问题已远比当时更加恶化。

一旦恶意软件获得管理员访问权限,就能选择使用哪些覆盖屏幕、发送和接收短信、拨打电话,并读取联系人信息。

随后,恶意软件会将从设备中劫持的屏幕截图和其他任何资料发送回由黑客操作的命令和控制服务器。这可能包括联系人、已安装的应用程序、通话记录和短信 - 由于银行通常会通过短信向用户发送验证码,因此问题变得特别严重。

据 Unuchek 报告,仅在一周之内,Svpeng 就扩散到了 23 个国家/地区。

几乎每个平台上都会发生点击劫持

尽管安卓手机似乎特别容易受到“点击劫持”,但只要是访问互联网的任何机器,就都有可能出现此情况,包括移动设备、平板电脑、台式机和笔记本电脑。

在 2016 年年中,Google 清理了带有透明层的广告,因为它们诱骗了数以百万计的用户单击链接,使其进入不明网站。在许多情况下,这些网站都包含恶意软件、广告软件甚至是下载并安装的间谍程序,有时用户完全不知情。

不讲道义的公司可能会使用点击劫持的页面,从 Amazon 中触发一次点击性订单。在 Facebook 这样的社交媒体平台,他们会伪造贴子的“点赞”(称为“劫持点赞”),或者在 Twitter 上招揽不知情的关注者。根据 Marketingland.com 介绍,点击劫持黑客还会下载恶意软件,迫使用户虚假点击不可见的广告。

如何防御点击劫持

点击劫持软件进入设备的一种最常用方法是通过有针对性的电子邮件。遗憾的是,黑客们已经盗取了数十亿带有联系人详细信息的客户账户,网络罪犯只需要为每个帐户花费几美分就能买到这些信息。网络罪犯至少拥有记录在文件上的电子邮件帐户及其相关银行机构,这种可能性很大。

如果有电子邮件进入您的“收件箱”,并声称是为了解决需要您注意的紧急情况,就要特别小心。这些电子邮件要求您点击一个链接,而该链接会将您带入一个网站,它与您的银行网站或其他官方网站看起来完全相同,以此欺骗您下载该机构的最新版本应用程序或填写个人资料信息。

如果目的是为了引诱您下载某个应用程序,则该应用程序很可能是恶意软件,可以捕获并窃取您的所有凭据。在其他情况下,网站本身也可能成为潜入您设备的恶意软件的来源。无论采用哪种方式,恶意软件都会呈现虚假输入层以供您填写。

同样重要的是,不要在 Google 或 Facebook 上点击那些好得不太真实,或者推出的新闻或故事超乎寻常的广告。在某些情况下,点击这些项目可能会使您进入某个网站,并将点击劫持软件下载到您的计算机上。应该在其他渠道中查找新闻,例如某家声誉良好的老字号报纸。如果新闻是真实的,就不难在有效的出口上找到。

务必通过授权的应用程序库将应用程序下载到设备上。这些库有软件代理和人类工作,以清除恶意软件并保留适当的内容。伪造或不可见的界面并不总是那么容易发现,但是如果能在处理与互联网相关的任何情况时都保持谨慎怀疑的态度,就能大大有助于实现令人满意的用户体验。

相关文章:

相关产品:

什么是点击劫持?

点击劫持允许黑客在您的点击操作与设备屏幕上显示的内容之间插入一个不可见的用户界面层。
Kaspersky Logo