Когда чёрным шляпам стало невозможно или затруднительно заставить чужой браузер делать что-то без санкции пользователя, злоумышленники обратились к обсуждаемой технологии. Они стали обманом вынуждать пользователя кликнуть на нужном элементе интерфейса, скрывая его или маскируя под другой элемент. Таким образом формально действие являлось санкционированным, но фактически – нет.
 |
Взять обманный клик можно несколькими способами:
- замаскировать ссылку, показав в статусной строке другой адрес;
- вывести поверх обычной страницы невидимый слой с другой страницей;
- учесть клик при помощи элемента на Flash;
- учинить кнопку (в т.ч. невидимую), бегающую за курсором;
- совершить по одому клику два действия;
- изменить позицию курсора.
Ради удобства пользователя в веб-интерфейсах давно уже не применяют подтверждения команд. Лайки, ретвиты, покупки, переходы и загрузки происходят в один клик. Угнать этот единственный клик не так уж трудно – именно в силу его единственности. В очередной раз безопасность принесена в жертву удобству.
Применения клик-джекинга бывают разной степени опасности:
- накрутка счётчиков, в том числе, лайков (лайк-джекинг);
- рассылка и перепост спама от чужого имени;
- покупки в некоторых интернет-магазинах ;
- платные подписки;
- загрузка вредоносного и паразитного ПО;
- фишинг.
Формально скрипты для клик-джекинга подпадают под определение вредоносной программы из ст.273 УК, поскольку предназначены именно для несанкционированных действий над информацией в форме обхода этапа получения санкции пользователя. К сожалению, на практике в России не привлекают к ответственности за такие программы, поскольку это довольно затратное мероприятие, а процент раскрываемости можно сделать на более лёгких и надёжных делах.
