En hacker kan spionere på deg via webkameraet og mikrofonen. Og du tillot dem den tilgangen. Dette er hvordan.
Du åpner et nettsted for å se en video. Uskyldig nok, ikke sant? Men bare ved å klikke på en knapp, kan en nettangriper ha fått tilgang til kameraet og mikrofonen din. De kan se på deg uten at du engang vet om det. Dette er en form for angrep som kalles clickjacking.
Så hva betyr det egentlig? Hvordan fungerer clickjacking? Og hvordan kan du beskytte deg selv?
Hva er Clickjacking?
Clickjacking er en type sosialt ingeniørangrep som nettkriminelle kan bruke for å få tilgang til brukernes informasjon.
Hovedformålet med clickjacking er å lure brukeren til å få dem til å klikke på noe spesifikt nettangriperen vil ha dem til. Gjennom dette kan de gripe enheten din, spesielt når du bruker kameraet og mikrofonen. I de fleste nettlesere trenger du bare å klikke på en enkelt knapp for å gi mikrofon- og kameratillatelser; brukere kan derfor ubevisst dele kameraene sine med en nettangriper, noe som kan få alvorlige konsekvenser, spesielt for personvernet.
Hvordan Clickjacking fungerer med gjennomsiktige nettsteder
Angripere lager falske miljøer for å lure brukere. Falske nettsider kan nå ut til et stort antall mennesker, og øker dermed sannsynligheten for at angrepet lykkes. Svindlere designer et nettsted som ser uskyldig ut, men som har det egentlige formålet å få tilgang til kameraet og mikrofonen eller få deg til å laste ned skadelig programvare.
Tenk for eksempel på et enkelt klikkerspill som fungerer utelukkende i nettleseren din. Hovedmålet er å vurdere din evne til å koordinere hånd- og øyebevegelsene dine. For å oppnå dette, presenterer spillet deg med fargede knapper som vises i forskjellige deler av skjermen og ber deg klikke på dem. Jo raskere du kan utføre denne aktiviteten, desto høyere vil prestasjonsnivået ditt være.
Selv om det virker ufarlig, er koordinatene til knappene som vises på skjermen forhåndsbestemt av angriperen. Du tror du klikker på en knapp og vinner spillet, men du klikker faktisk på en helt annen knapp i bakgrunnen.
Få tilgang til kameraet ditt med Clickjacking
Det samme gjelder for tilgang til din mikrofon- og kameratillatelser. Noen ganger trenger nettsteder kameraet og mikrofonen. For eksempel krever en app som Zoom disse tillatelsene for at du skal kunne snakke og for at bildet ditt skal vises i videokonferanser. For å gi tillatelser vil du se en "tillat"-knapp et sted i nettlesergrensesnittet. Selvfølgelig er ikke alle plattformer like sikre som Zoom.
Så når du klikker på en avspillingsknapp som ser uskyldig ut for å se et TV-program eller en film, kan det være en back-end-tillatelsesknapp opprettet av hackeren for å åpne kameraet ditt.
Hvordan beskytter du deg mot clickjacking-angrep?
En ondsinnet angriper bruker ulike koder og skript for å få deg til å klikke akkurat der de vil og manipulere skjermen din. Mange utviklere med enda lite erfaring med HTML og CSS kan enkelt gjøre dette: de må bare leke med opasitetsverdiene til de to sidene de designet oppå hverandre og ikke vise baksiden til sluttbrukeren.
For å unngå å bli offer for et tilsynelatende enkelt skriptbasert triks, er en av de mest effektive tilnærmingene å deaktivere JavaScript. De fleste nettlesere har en sikkerhetsfunksjon som lar deg slå av JavaScript kode som kjører i bakgrunnen på nettsider. I Chrome kan du for eksempel få tilgang til siden ved å skrive "chrome://settings/content/javascript" i adressefeltet. Når du kommer til denne siden, vil du komme over Ikke la nettsteder bruke Javascript alternativ.
Du må imidlertid utvise forsiktighet når du velger dette alternativet siden det vil blokkere alle eksisterende koder på hvert nettsted. Aktiver den bare når du logger på nettsteder du ikke stoler på og anser som usikre. Du kan alltid reversere denne innstillingen senere.
Alternativt kan du bruke åpen kildekode-frie og pålitelige plugins for å aktivere og deaktivere JavaScript enklere. NoScript Security Suite er en god løsning for dette og tilbyr støtte for mange forskjellige nettlesere. Den har som mål å forhindre ikke bare clickjacking-angrep, men også ondsinnet programvare som finnes på alle nettsteder du går inn på.
Ondsinnede angripere koder ikke alltid nettstedene sine for å utføre et clickjacking-angrep ved å bruke gjennomsiktige nettsteder. De kan også dra nytte av sårbarheter på nettet de finner mens de surfer på internett. For eksempel kan de injisere kode ved å utnytte en sårbarhet i kommentarfeltet på en blogg. I slike tilfeller må du være oppmerksom på hva du faktisk klikker på, selv om det høres litt paranoid ut.
Hvordan vet du om et nettsted er pålitelig?
Hvordan kan du vite om du kan stole på et nettsted? Angripere bruker ofte ikke for mye tid på å designe og utvikle et nettsted; det er unødvendig bortkastet tid og penger. Du kan fortelle dette fra et nettsteds sikkerhetssertifikater og design. For eksempel vil en stor og pålitelig organisasjonsside mest sannsynlig ha et SSL-sertifikat. For å sjekke dette, se på URL-en. Hvis adressen begynner " https://", det betyr at siden har et SSL-sertifikat. Den ekstra "S" etter "HTTP" betyr "Sikker". Ikke stol kun på dette.
Du bør også ta en titt på designet og innholdet på siden. Informasjonen på kontaktsiden, personvernreglene og til og med GDPR-advarsel kan indikere om et nettsted er pålitelig. Undersøk siden også. Hva sier andre brukere på plattformer som Twitter, Facebook og Trustpilot om det?
Hvis du har kunnskap om koding, kan du undersøke kildekodene til nettstedet. På den måten vil du se noe av bakgrunnsarbeidet og hvilke andre nettsteder det lenker til.
Bør du bekymre deg for clickjacking?
Clickjacking er en skummel ting, spesielt ettersom nettkriminelle kan få tilgang til webkameraet ditt og aktivt spionere på aktivitetene dine. Det er en stor invasjon av personvern og sikkerhet.
Så ja, det kan virke litt OTT å være forsiktig med hvor du faktisk klikker på et nettsted. De fleste av oss gjør dette uten et sekunds ettertanke. Men det er også viktig at du er på vakt slik at du ikke blir offer for en hacker.
