En hacker kan spionera på dig via din webbkamera och mikrofon. Och du gav dem den tillgången. Här är hur.
Du öppnar en webbplats för att titta på en video. Oskyldig nog, eller hur? Men genom att helt enkelt klicka på en knapp kan en cyberattackare ha fått tillgång till din kamera och mikrofon. De kan titta på dig utan att du ens vet om det. Detta är en form av attack som kallas clickjacking.
Så vad betyder det egentligen? Hur fungerar clickjacking? Och hur kan du skydda dig?
Vad är Clickjacking?
Clickjacking är en typ av social ingenjörsattack som cyberbrottslingar kan använda för att få tillgång till användarnas information.
Huvudsyftet med clickjacking är att lura användaren att få dem att klicka på något specifikt cyberattackaren vill att de ska göra. Genom detta kan de gripa din enhet, speciellt när du använder kameran och mikrofonen. I de flesta webbläsare behöver du bara klicka på en enda knapp för att ge mikrofon- och kamerabehörigheter; användare kan därför omedvetet dela sina kameror med en cyberattackare, vilket kan få allvarliga konsekvenser, särskilt för integriteten.
Hur Clickjacking fungerar med transparenta webbplatser
Angripare skapar falska miljöer för att lura användare. Falska webbplatser kan nå ett stort antal människor, vilket ökar sannolikheten för att attacken ska lyckas. Bedragare designar en webbplats som ser oskyldig ut, men som har det verkliga syftet att komma åt din kamera och mikrofon eller få dig att ladda ner skadlig programvara.
Tänk till exempel på ett enkelt klickerspel som fungerar helt i din webbläsare. Dess huvudsakliga syfte är att bedöma din förmåga att koordinera dina hand- och ögonrörelser. För att åstadkomma detta presenterar spelet dig med färgade knappar som visas på olika delar av skärmen och uppmanar dig att klicka på dem. Ju snabbare du kan utföra denna aktivitet, desto högre kommer din prestationsnivå att vara.
Även om det verkar ofarligt, är koordinaterna för knapparna som visas på skärmen förutbestämda av angriparen. Du tror att du klickar på en knapp och vinner spelet, men du klickar faktiskt på en helt annan knapp i bakgrunden.
Få åtkomst till din kamera med Clickjacking
Detsamma gäller för att komma åt din mikrofon- och kamerabehörigheter. Ibland behöver webbplatser din kamera och mikrofon. Till exempel kräver en app som Zoom dessa behörigheter för att du ska kunna tala och för att din bild ska visas i videokonferenser. För att ge behörigheter kommer du att se en "tillåt"-knapp någonstans i ditt webbläsargränssnitt. Naturligtvis är inte alla plattformar lika säkra som Zoom.
Så när du klickar på en oskyldigt utseende uppspelningsknapp för att titta på ett TV-program eller en film, kan det vara en back-end-tillåtningsknapp skapad av hackaren för att öppna din kamera.
Hur skyddar du dig mot Clickjacking-attacker?
En illvillig angripare använder olika koder och skript för att få dig att klicka precis där de vill och manipulera din skärm. Många utvecklare med lite erfarenhet av HTML och CSS kan enkelt göra detta: de måste bara leka med opacitetsvärdena för de två sidorna de designade ovanpå varandra och inte visa baksidan för slutanvändaren.
För att undvika att falla offer för ett till synes enkelt manusbaserat knep är en av de mest effektiva metoderna att inaktivera JavaScript. De flesta webbläsare har en säkerhetsfunktion som gör att du kan stäng av JavaScript kod som körs i bakgrunden på webbplatser. I Chrome kan du till exempel komma åt sidan genom att skriva "chrome://settings/content/javascript" i adressfältet. När du når den här sidan kommer du över Tillåt inte webbplatser att använda Javascript alternativ.
Du måste dock vara försiktig när du väljer det här alternativet eftersom det kommer att blockera alla befintliga koder på varje webbplats. Aktivera den endast när du loggar in på webbplatser som du inte litar på och anser vara osäkra. Du kan alltid ändra denna inställning senare.
Alternativt kan du använda tillförlitliga plugins utan öppen källkod för att enklare aktivera och inaktivera JavaScript. NoScript Security Suite är en bra lösning för detta och erbjuder stöd för många olika webbläsare. Det syftar till att förhindra inte bara clickjacking-attacker, utan också skadlig programvara som finns på vilken webbplats du besöker.
Skadliga angripare kodar inte alltid sina webbplatser för att utföra en clickjacking-attack med transparenta webbplatser. De kan också dra fördel av onlinesårbarheter de hittar när de surfar på internet. Till exempel kan de injicera kod genom att utnyttja en sårbarhet i kommentarsektionen på en blogg. I sådana fall måste du vara uppmärksam på vad du faktiskt klickar på, även om det låter lite paranoid.
Hur vet du om en webbplats är pålitlig?
Hur kan du veta om du kan lita på en webbplats? Angripare lägger ofta inte ner för mycket tid på att designa och utveckla en webbplats; det är onödig tid och pengar som slösas bort. Du kan se detta från en webbplats säkerhetscertifikat och design. Till exempel kommer en stor och pålitlig organisatorisk webbplats med största sannolikhet att ha ett SSL-certifikat. För att kontrollera detta, titta på URL: en. Om adressen börjar " https://", det betyder att sajten har ett SSL-certifikat. Det där extra "S" efter "HTTP" betyder "Säkert". Lita dock inte enbart på detta.
Du bör också ta en titt på designen och innehållet på webbplatsen. Informationen på kontaktsidan, integritetspolicyn och till och med GDPR-varning kan indikera om en webbplats är pålitlig. Undersök också webbplatsen. Vad säger andra användare på plattformar som Twitter, Facebook och Trustpilot om det?
Om du har någon kunskap om kodning kan du undersöka sajtens källkoder. På så sätt kommer du att se en del av bakgrundsarbetet och vilka andra webbplatser det länkar till.
Bör du oroa dig för Clickjacking?
Clickjacking är en skrämmande sak, särskilt som cyberkriminella kan få tillgång till din webbkamera och aktivt spionera på dina aktiviteter. Det är ett stort intrång i integritet och säkerhet.
Så ja, det kan tyckas lite OTT att vara försiktig var du faktiskt klickar på en webbplats. De flesta av oss gör detta utan en sekunds eftertanke. Men det är också viktigt att du är vaksam så att du inte faller offer för en hackare.
