Гид по технологиям

Защита от clickjacking: как не дать украсть ваши клики

7 min read Кибербезопасность Обновлено 19 Sep 2025
Защита от clickjacking: руководство
Защита от clickjacking: руководство

Знак с надписью click and collect, демонстрирующий принцип clickjacking — когда клики перенаправляются.

Что такое clickjacking

Clickjacking — это тип атаки на пользовательский интерфейс (UI redress attack), при котором злоумышленник накладывает невидимый или полупрозрачный элемент над легитимной кнопкой или ссылкой. Пользователь видит и кликает на привычный интерфейс, а на самом деле активирует скрытое действие — подписку, скачивание файла, разрешение доступов или выполнение транзакции.

Ключевые механики атаки:

  • Наложение прозрачных слоёв (overlay) поверх элементов страницы.
  • «Отбрасывание» событий клика (click event dropping), когда первый клик выглядит неэффективным, а второй активирует скрытое действие.
  • Перемещение элементов (repositioning), чтобы визуальная цель не совпадала с реальной.
  • Скроллинг с вредоносным попапом, навязывающим повторное нажатие.
  • Обрезка (cropping) — атака на конкретную область страницы.

Примеры эффектов: вместо загрузки бесплатной книги вы получаете установку вредоносного расширения; вместо лайка реальной страницы — лайк спам-аккаунта (likejacking); существуют варианты типа cookiejacking, filejacking, cursorjacking.

Фрагмент HTML-кода сайта, где iframe и CSS могут быть использованы для наложения слоёв.

Почему это опасно и как это обходит защиты

Опасность в том, что атаки реализуются на реальном сайте, а не на явной подделке. Пользователь, доверяя ресурсу, снижает бдительность. Через подкорректированные клики злоумышленник может получить доступ к аккаунтам, личным данным и даже установить вредоносное ПО.

Антивирусы и анти-малварь часто не реагируют, потому что:

  • Нет скачивания файлов сразу после первого клика.
  • Действие происходит внутри браузера и выглядит законным для движка безопасности.
  • Современные многослойные атаки (например, double clickjacking) используют нестандартные приёмы, обходящие простые правила блокировки iframe.

Double clickjacking: сначала пользователь кликает и взгляд убеждён, что ничего не произошло; затем сайт предлагает «нажать ещё раз» (подтверждение, CAPTCHA, двойной клик). Между кликами злоумышленник подменяет поведение кнопки — и второй клик завершает вредоносное действие.

Иллюстрация: робот с галочкой «Я не робот», часто используемая как приманка для повторного нажатия.

Практические меры защиты для пользователей

Ниже — проверенные шаги, чтобы снизить риск стать жертвой clickjacking.

  1. Держите браузер и расширения в актуальном состоянии.
    • Разработчики браузеров регулярно закрывают уязвимости, в том числе связанные с возможностью наложения фреймов и обработкой событий.
  2. Обновляйте плагины и расширения.
    • Злоумышленники часто используют уязвимости в сторонних расширениях или комбинируют функции расширения с собственным вредоносным кодом.
  3. Будьте насторожены к неожиданным подтверждениям.
    • Если сайт, где вы часто работаете, внезапно просит двойного клика, подтверждения или странных разрешений — это подозрительно.
  4. Проверяйте, куда ведёт ссылка, прежде чем клацать второй раз.
    • Наведите курсор, взгляните на адрес в статусной строке. Если ссылка не указывает на ожидаемый домен — не кликайте.
  5. Используйте проверку URL и сканеры страниц для новых или подозрительных сайтов.
    • Популярные сервисы позволяют проверить репутацию ссылки, анализировать загрузки и искать индикаторы компрометации.

Инструменты для проверки ссылок и файлов:

  • URL Void
  • VirusTotal (удобен для проверки ссылок и файлов)
  • urlscan.io
  • Google Transparency Report
  • Hybrid Analysis

Некоторые антивирусы предлагают браузерные расширения, которые предостерегают при попытке перейти на сайт с плохой репутацией.

Полезная привычка: если вы увидели всплывающее окно с «вы выиграли iPhone» или просьбой срочно дать разрешение — закройте вкладку, не кликайте. Реклама и всплывающие окна — частая поверхность атаки.

Дополнительные тактики безопасности

  • Используйте менеджер расширений: включайте расширения только на доверенных сайтах.
  • Включайте двухфакторную аутентификацию для важных сервисов — это уменьшает риск, даже если злоумышленник получит доступ через клик.
  • Работайте в песочнице или отдельном браузере для сомнительных сайтов.
  • Отключите автозаполнение и автоматические установки плагинов.

Проверка домена и орфографии

Фишинговые и спуфинговые сайты часто используют опечатки: maketecheasyer.com вместо maketecheasier.com. Всегда проверяйте правильность написания домена и сертификат сайта (замочек в адресной строке не гарантирует безопасность, но неправильный домен — явный красный флаг).

Когда антивирус и браузер не помогают

Clickjacking сложно обнаружить автоматическими средствами, особенно в вариантах, где нет явной загрузки. Если вы столкнулись с двойными кликами, неожиданными разрешениями расширений или необычным поведением элементов на страницах даже на доверенных сайтах:

  • Отключите расширения и повторите действие.
  • Откройте сайт в режиме инкогнито без расширений.
  • Используйте urlscan.io для снятия снимка страницы и просмотра видимого DOM и сетевых запросов.

Ментальные модели и эвристики для безопасного поведения

  • «Модель трёх вопросов»: Кто отправил мне запрос? Почему мне нужно это подтверждать? Что произойдёт после клика? Если хотя бы на один ответ нет уверенности — не нажимайте.
  • «Принцип минимального действия»: не делайте лишних кликов и не принимайте неожиданные запросы на разрешения.
  • «Песочница для сомнительных сайтов»: если сайт вызывает сомнения, открывайте его в специально выделенном профиле браузера без автозаполнения и без активных расширений.

Когда защита может не сработать (контрпримеры)

  • Если злоумышленник управляет сервером легитимного сайта (компрометация сайта), браузерные механизмы не помогут — проблема на стороне сервера.
  • Если пользователь сознательно игнорирует предупреждения и даёт расширениям все разрешения.
  • При использовании устаревшего браузера или плагина с известной уязвимостью.

Альтернативные подходы для организаций и разработчиков

Разработчики и владельцы сайтов могут значительно снизить риск clickjacking для пользователей:

  • Заголовки политики (HTTP headers): X-Frame-Options (DENY, SAMEORIGIN) и Content-Security-Policy frame-ancestors — запрещают встраивание страниц в iframe.
  • Проверка работоспособности UI в режиме «без стилей» и в iframe — симуляция возможных атак на интерфейс.
  • Минимизация доверия к пользовательским кликам: требует подтверждений с контекстом (например, показывать список действий перед подтверждением, а не просто «OK»).
  • Ограничение установки расширений и плагинов в корпоративных средах через групповые политики (GPO).

Краткая методика приёмки для разработчиков:

  1. Протестировать страницу с установленными X-Frame-Options: DENY и frame-ancestors ‘none’.
  2. Эмулировать прозрачный overlay и проверить, что критичные кнопки требуют серверной валидации.
  3. Добавить журналирование неожиданных событий клика и анализ аномалий.

Готовый чеклист для пользователей и ИТ-администраторов

Чеклист для пользователей:

  • Браузер обновлён до последней версии.
  • Все расширения обновлены и включены только при необходимости.
  • Не нажимать на неожиданные всплывающие окна и баннеры.
  • Проверить ссылку перед повторным кликом через сканер URL.
  • Использовать двухфакторную аутентификацию.

Чеклист для ИТ-админов и разработчиков:

  • Установлены заголовки X-Frame-Options или CSP frame-ancestors.
  • Проводятся регулярные тесты интерфейса в условиях фреймов.
  • Ограничена установка расширений и плагинов в корпоративной среде.
  • Логируются необычные события клика и проводятся ревью.

Руководство на случай инцидента

  1. Мгновенно отключите расширения в браузере и повторите действие на сайте в чистом профиле.
  2. Смените пароли и при возможности сбросьте сессию в ключевых сервисах (банки, почта).
  3. Проверьте систему антивирусом и запустите удалённый сканер (например, VirusTotal для подозрительного файла).
  4. Сообщите владельцам сайта, если атака проявляется на легитимном ресурсе.
  5. При крупных утечках — подключите команду реагирования на инциденты.

Краткая матрица рисков и мер смягчения

  • Риск: Массовая компрометация пользователей через популярный сайт.
    • Смягчение: CSP frame-ancestors, объявления, аудит кода.
  • Риск: Установка вредоносных расширений через double clickjacking.
    • Смягчение: Политики установки расширений, внимательная проверка разрешений.
  • Риск: Скрытые транзакции (переводы/покупки).
    • Смягчение: Двухфакторная аутентификация, серверная валидация действий.

Диаграмма принятия решения (Mermaid)

flowchart TD
  A[Открыл страницу] --> B{Появилось неожиданное подтверждение?}
  B -- Да --> C[Не нажимать, закрыть вкладку]
  B -- Нет --> D{Ссылка ведёт на ожидаемый домен?}
  D -- Нет --> C
  D -- Да --> E{Требуется второй клик/подтверждение}
  E -- Да --> F[Навести курсор, проверить URL и сканировать страницу]
  E -- Нет --> G[Можно кликать, но с осторожностью]
  F --> H{Сканер показывает угрозу?}
  H -- Да --> C
  H -- Нет --> G

Словарь в одну строку

  • Clickjacking — атака, при которой незаметный элемент перенаправляет ваш клик на вредоносное действие.
  • Double clickjacking — вариант, требующий повторного клика для завершения вредоносного действия.
  • Frame-ancestors/CSP — директивы безопасности, запрещающие встраивание страницы в чужие iframe.

Кому доверять и что делать в повседневности

  • Доверяйте только проверенным расширениям и устанавливайте их из официальных магазинов.
  • Используйте отдельный профиль браузера для работы и для свободного серфинга.
  • При работе с финансовыми операциями пользуйтесь только проверенными устройствами и сетями.

Заключение

Clickjacking — старая техника с новыми модификациями. Большую часть простых атак блокируют современные браузеры и антивирусы, но сложные сценарии вроде double clickjacking всё ещё представляют реальную угрозу. Регулярные обновления, внимательность к незапрашиваемым подтверждениям и использование инструментов проверки ссылок существенно снижают риск. Для организаций важны заголовки безопасности, тестирование UI и политика установки расширений.

Скриншот страницы сервиса VirusTotal для проверки ссылок и файлов.

Image credit: Unsplash. Все скриншоты автора: Crystal Crowder.

Важно: если вы заметили подозрительное поведение на крупном ресурсе — свяжитесь с технической поддержкой этого сайта и, при необходимости, с ИТ-службой вашей организации.

Краткое резюме:

  • Обновляйте ПО и расширения.
  • Будьте внимательны к неожиданным подтверждениям и двойным кликам.
  • Проверяйте ссылки с помощью репутационных сканеров.
  • Для разработчиков: внедряйте X-Frame-Options и CSP frame-ancestors, тестируйте интерфейс на возможные подмены.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как записать Zoom без разрешения — методы и риски
Технологии

Как записать Zoom без разрешения — методы и риски

Разные обои для каждого рабочего стола Android
Android.

Разные обои для каждого рабочего стола Android

Мониторинг Apache Tomcat: счётчики и правила
Мониторинг.

Мониторинг Apache Tomcat: счётчики и правила

Защита от clickjacking: руководство
Кибербезопасность

Защита от clickjacking: руководство

Разные обои для каждого экрана Android
Android.

Разные обои для каждого экрана Android

Удаление данных с сайтов брокеров
Конфиденциальность

Удаление данных с сайтов брокеров