什么是点击劫持?

点击劫持是指网络罪犯诱骗用户点击网页上不可见d元素,从而出于恶意目的“劫持”用户的点击。

为实现此目的,攻击者会在合法页面上添加一个透明层,在其上点击时会触发运行于后台的恶意操作。最糟糕的是什么?您对它的发生浑然不知。

点击劫持,又称 UI 矫正,过去曾用于:

  • 窃取密码

  • 伪造 Facebook 点赞

  • 通过诱骗人们点击恶意下载来推送在线欺诈和传播恶意软件

  • 诱骗人们打开网络摄像头或麦克风

这就是它的运作模式

为了使攻击奏效,需要以特定的网页元素作为目标,例如链接、按钮或标题。为了获得最大的影响,攻击者将会瞄准用户最喜欢点点击的区域。

通常,由于 HTTP 站点缺少 HTTPS 站点所提供的安全层,因此常常成为点击劫持攻击的战场。

点击劫持示例 1:窃取金钱

攻击者会使用多个层来诱骗您将钱转入他们的银行账户。

  1. 作为诱饵,黑客会提供诱人的页面,承诺您只需要点击“预定我的免费旅行”按钮,就为您提供免费的巴厘岛旅游。

  2. 同时,黑客会检查您是否登录到了您的银行网站。如果登录了,就会在“免费旅行页面”背后加载一个不可见的银行转账页面。黑客会将他们的银行详细信息插入到表单中。

  3. “确认转账”按钮与“预订我的免费旅行”按钮是完全对齐的。

  4. 您单击“预订我的免费旅行”按钮(实际上是看不见的“确认转账”按钮),然后在不知不觉中将资金直接转入黑客的帐户。

  5. 您将被重定向到有关您所谓的“免费旅行”的虚拟页面,对后台发生的所有其他情况懵然无知。

点击劫持示例 2:伪造 Facebook 点赞

攻击者会在您没有意识到的情况下诱骗您为 Facebook 页面点赞,从而使他们获得成千上万的真实关注者。

  1. 攻击者创建一个带有“单击此处返回到 Google”按钮的虚拟网站。

  2. 在页面的顶部加载了一个看不见的页面,其中 Facebook “点赞” 按钮正好在与“单击此处返回到。 Google”按钮在一个位置。

  3. 您尝试点击“单击此处返回到 Google”按钮,但实际上会点击攻击者不可见的 Facebook “点赞”按钮。

点击劫持示例 3:窃取您的凭据

黑客通过将假登录框叠加在真实登录框之上来获取用户名和密码。

  1. 攻击者在合法网站上放置了透明层,因此两个文本字段相互重叠。

  2. 现在,您无法分辨看到的文本字段与攻击者欺骗的文本字段之间有什么区别。

  3. 令黑客喜出望外的是,您直接将您的密码输入到他们与真实字段向重叠的不可见文本字段中。但是,您输入的所有内容都将被隐藏,您看不到自己输入的任何字符,此时,大多数人会发现问题不对。

但是,我们中又有多少人会在埋头敲密码并按下 Enter 键时抬头看一眼呢?攻击者正是瞅准了这个空子,来偷出您的凭据。

点击劫持和网络钓鱼有什么区别?

网络钓鱼诈骗与点击劫持有一点不同,因为网络钓鱼诈骗涉及与受害者的直接通信。通常,攻击者模仿合法的公司发送虚假电子邮件,诱骗人们回复个人信息。

在其他情况下,电子邮件会包含指向虚假网站的恶意链接,也有可能会打开一个模仿合法网站的弹出窗口。但实际上,它只会收集您的信息。

如何化解

为避免点击劫持者窃取您的敏感信息,密码管理器是一个不错的出发点。例如,NordPass 会检测不安全的网站(例如 HTTP 站点,这是在点击劫持攻击中通常使用的种类),并提示用户即将访问不受保护的网站。

在其他情况下,电子邮件会包含指向虚假网站的恶意链接,也有可能会打开一个模仿合法网站的弹出窗口。但实际上,它只会收集您的信息。

每天都会有全新的骗局产生,规避您的安全措施。一般而言,避免使用 HTTP 网站是避免所有网络攻击的好方法,不仅局限于点击劫持。为方便起见,NordPass 除了安全存储您最敏感的信息外,还会提醒您有关不安全网站的信息。

Benjamin Scott
验证作者
Ben 是我们的技术奇才。他会分析有难度的主题,并用一种简洁的语言传达给读者。闲暇时他喜欢竞赛,因此,他喜欢参加各种马拉松和铁人三项比赛。