Het kan zijn dat een hacker je bespioneert via je webcam en microfoon. En je hebt ze die toegang gegeven. Hier is hoe.
Je opent een site om een video te bekijken. Onschuldig genoeg, toch? Maar door simpelweg op een knop te klikken, heeft een cyberaanvaller mogelijk toegang gekregen tot uw camera en microfoon. Ze kunnen je in de gaten houden zonder dat je het weet. Dit is een vorm van aanval die clickjacking wordt genoemd.
Dus wat betekent dat eigenlijk? Hoe werkt clickjacking? En hoe kun je jezelf beschermen?
Wat is clickjacking?
Clickjacking is een soort social engineering-aanval die cybercriminelen kunnen gebruiken om toegang te krijgen tot de informatie van gebruikers.
Het belangrijkste doel van clickjacking is om de gebruiker te misleiden zodat hij op iets specifieks klikt dat de cyberaanvaller wil. Hierdoor kunnen ze beslag leggen op uw apparaat, vooral bij gebruik van de camera en microfoon. In de meeste browsers hoeft u slechts op een enkele knop te klikken om microfoon- en camerarechten te verlenen; gebruikers kunnen dan onbewust hun camera's delen met een cyberaanvaller, wat ernstige gevolgen kan hebben, vooral voor de privacy.
Hoe Clickjacking werkt met transparante sites
Aanvallers creëren nepomgevingen om gebruikers te misleiden. Valse websites kunnen een groot aantal mensen bereiken, waardoor de kans op succes van de aanval groter wordt. Oplichters ontwerpen een site die er onschuldig uitziet, maar het echte doel heeft om toegang te krijgen tot uw camera en microfoon of om u malware te laten downloaden.
Overweeg bijvoorbeeld een eenvoudig clickerspel dat volledig binnen uw browser werkt. Het belangrijkste doel is om uw vermogen te beoordelen om uw hand- en oogbewegingen te coördineren. Om dit te bereiken, presenteert het spel je gekleurde knoppen die in verschillende delen van het scherm verschijnen en wordt je gevraagd erop te klikken. Hoe sneller u deze activiteit kunt uitvoeren, hoe hoger uw prestatieniveau zal zijn.
Hoewel het onschuldig lijkt, zijn de coördinaten van de knoppen die op het scherm verschijnen vooraf bepaald door de aanvaller. Je denkt dat je op een knop klikt en het spel wint, maar in werkelijkheid klik je op een heel andere knop op de achtergrond.
Toegang tot uw camera met clickjacking
Hetzelfde geldt voor toegang tot uw microfoon- en camerarechten. Soms hebben sites uw camera en microfoon nodig. Een app als Zoom heeft deze rechten bijvoorbeeld nodig om te kunnen spreken en om uw afbeelding te laten verschijnen in videoconferenties. Om machtigingen te verlenen, ziet u ergens in uw browserinterface een knop "Toestaan". Natuurlijk zijn niet alle platforms zo veilig als Zoom.
Dus wanneer u op een onschuldig ogende afspeelknop klikt om een tv-programma of film te kijken, kan het een back-end toestemmingsknop zijn die door de hacker is gemaakt om uw camera te openen.
Hoe beschermt u zich tegen clickjacking-aanvallen?
Een kwaadwillende aanvaller gebruikt verschillende codes en scripts om u precies te laten klikken waar ze willen en uw scherm te manipuleren. Veel ontwikkelaars met zelfs weinig ervaring met HTML en CSS kan dit gemakkelijk doen: ze hoeven alleen maar te spelen met de dekkingswaarden van de twee pagina's die ze op elkaar hebben ontworpen en de achterpagina niet aan de eindgebruiker te laten zien.
Om te voorkomen dat je ten prooi valt aan een ogenschijnlijk eenvoudige scriptgebaseerde truc, is een van de meest effectieve benaderingen het uitschakelen van JavaScript. De meeste webbrowsers bieden een beveiligingsfunctie waarmee u dit kunt doen schakel JavaScript uit code die op de achtergrond van websites draait. In Chrome kunt u bijvoorbeeld toegang krijgen tot de pagina door "chrome://settings/content/javascript" in de adresbalk te typen. Wanneer u deze pagina bereikt, komt u de Sta niet toe dat sites Javascript gebruiken keuze.
U moet echter voorzichtig zijn bij het selecteren van deze optie, aangezien alle bestaande codes op elke website worden geblokkeerd. Activeer het alleen wanneer u inlogt op sites die u niet vertrouwt en als onveilig beschouwt. U kunt deze instelling later altijd terugdraaien.
Als alternatief kunt u open source-vrije en betrouwbare plug-ins gebruiken om JavaScript gemakkelijker in en uit te schakelen. NoScript-beveiligingssuite is hiervoor een goede oplossing en biedt ondersteuning voor veel verschillende browsers. Het is bedoeld om niet alleen clickjacking-aanvallen te voorkomen, maar ook schadelijke software die aanwezig is op elke site die u bezoekt.
Kwaadwillende aanvallers coderen hun sites niet altijd om een clickjacking-aanval uit te voeren met behulp van transparante sites. Ze kunnen ook misbruik maken van online kwetsbaarheden die ze tegenkomen tijdens het surfen op internet. Ze kunnen bijvoorbeeld code injecteren door misbruik te maken van een kwetsbaarheid in het commentaargedeelte van een blog. In dergelijke gevallen moet u opletten waar u daadwerkelijk op klikt, ook al klinkt dit een beetje paranoïde.
Hoe weet u of een site betrouwbaar is?
Hoe weet je of je een site kunt vertrouwen? Aanvallers steken vaak niet al te veel tijd in het ontwerpen en ontwikkelen van een site; het is onnodige tijd en geld verspild. U kunt dit zien aan de beveiligingscertificaten en het ontwerp van een site. Een grote en vertrouwde website van een organisatie heeft bijvoorbeeld hoogstwaarschijnlijk een SSL-certificaat. Kijk naar de URL om dit te controleren. Als het adres begint met " https://", het betekent dat de site een SSL-certificaat heeft. Die extra "S" na "HTTP" betekent "Veilig". Vertrouw hier echter niet alleen op.
Kijk ook eens naar het ontwerp en de inhoud van de site. De informatie op de contactpagina, het privacybeleid en zelfs Een AVG-waarschuwing kan aangeven of een site betrouwbaar is. Onderzoek de site ook. Wat zeggen andere gebruikers op platforms als Twitter, Facebook en Trustpilot erover?
Als u enige kennis heeft van coderen, kunt u de broncodes van de site bekijken. Op die manier ziet u een deel van het achtergrondwerk en naar welke andere sites het linkt.
Moet u zich zorgen maken over clickjacking?
Clickjacking is eng, vooral omdat cybercriminelen toegang tot uw webcam kunnen krijgen en uw activiteiten actief kunnen bespioneren. Dat is een grote inbreuk op privacy en veiligheid.
Dus ja, het lijkt misschien een beetje OTT om voorzichtig te zijn waar je daadwerkelijk op een website klikt. De meesten van ons doen dit zonder erbij na te denken. Maar het is ook belangrijk dat u waakzaam blijft, zodat u niet ten prooi valt aan een hacker.