Her er hvorfor du muligvis deler dit kamera med en cyberangriber

Du åbner et websted for at se en video. Uskyldig nok, ikke? Men ved blot at klikke på en knap, kan en cyberangriber have fået adgang til dit kamera og din mikrofon. De kunne se dig, uden at du selv ved om det. Dette er en form for angreb kaldet clickjacking.

Så hvad betyder det egentlig? Hvordan fungerer clickjacking? Og hvordan kan du beskytte dig selv?

Hvad er Clickjacking?

Clickjacking er en type social engineering-angreb, som cyberkriminelle kan bruge til at få adgang til brugernes oplysninger.

Hovedformålet med clickjacking er at narre brugeren til at få dem til at klikke på noget specifikt, cyberangriberen vil have dem til. Gennem dette kan de gribe din enhed, især når du bruger kameraet og mikrofonen. I de fleste browsere skal du blot klikke på en enkelt knap for at give mikrofon- og kameratilladelser; brugere kan derfor ubevidst dele deres kameraer med en cyberangriber, hvilket kan have alvorlige konsekvenser, især for privatlivets fred.

Hvordan Clickjacking fungerer med gennemsigtige websteder

Angribere skaber falske miljøer for at narre brugere. Falske websteder kan nå ud til et stort antal mennesker og øger dermed sandsynligheden for, at angrebet lykkes. Svindlere designer et websted, der ser uskyldigt ud, men som har det egentlige formål at få adgang til dit kamera og mikrofon eller få dig til at downloade malware.

Overvej for eksempel et simpelt klikkerspil, der udelukkende fungerer i din browser. Dens hovedformål er at vurdere din evne til at koordinere dine hånd- og øjenbevægelser. For at opnå dette præsenterer spillet dig med farvede knapper, der vises i forskellige dele af skærmen og beder dig klikke på dem. Jo hurtigere du kan udføre denne aktivitet, jo højere vil dit præstationsniveau være.

Selvom det virker harmløst, er koordinaterne for de knapper, der vises på skærmen, forudbestemt af angriberen. Du tror, ​​du klikker på en knap og vinder spillet, men du klikker faktisk på en helt anden knap i baggrunden.

Adgang til dit kamera med Clickjacking

Det samme gælder for adgang til din mikrofon- og kameratilladelser. Nogle gange har websteder brug for dit kamera og mikrofon. For eksempel kræver en app som Zoom disse tilladelser, for at du kan tale, og for at dit billede vises i videokonferencer. For at give tilladelser vil du se en "tillad"-knap et sted på din browsergrænseflade. Selvfølgelig er ikke alle platforme lige så sikre som Zoom.

Så når du klikker på en uskyldigt udseende afspilningsknap for at se et tv-program eller en film, kan det være en back-end-tilladelsesknap oprettet af hackeren for at åbne dit kamera.

Hvordan beskytter du dig mod clickjacking-angreb?

En ondsindet angriber bruger forskellige koder og scripts til at få dig til at klikke præcis hvor de vil og manipulere din skærm. Mange udviklere med selv lidt erfaring med HTML og CSS kan sagtens gøre dette: de skal bare lege med opacitetsværdierne på de to sider, de har designet oven på hinanden og ikke vise bagsiden til slutbrugeren.

For at undgå at blive offer for et tilsyneladende simpelt script-baseret trick, er en af ​​de mest effektive metoder at deaktivere JavaScript. De fleste webbrowsere har en sikkerhedsfunktion, der gør det muligt slå JavaScript fra kode, der kører i baggrunden på websteder. I Chrome kan du f.eks. få adgang til siden ved at skrive "chrome://settings/content/javascript" i adresselinjen. Når du når denne side, vil du støde på Tillad ikke websteder at bruge Javascript mulighed.

Du skal dog udvise forsigtighed, når du vælger denne mulighed, da den vil blokere alle eksisterende koder på hvert websted. Aktiver det kun, når du logger ind på websteder, som du ikke har tillid til og anser for usikre. Du kan altid ændre denne indstilling senere.

Alternativt kan du bruge open source-fri og pålidelige plugins til lettere at aktivere og deaktivere JavaScript. NoScript Security Suite er en god løsning til dette og tilbyder support til mange forskellige browsere. Det har til formål at forhindre ikke kun clickjacking-angreb, men også ondsindet software, der findes på ethvert websted, du går ind på.

Ondsindede angribere koder ikke altid deres websteder til at udføre et clickjacking-angreb ved hjælp af gennemsigtige websteder. De kan også drage fordel af online sårbarheder, de finder, mens de surfer på internettet. For eksempel kan de injicere kode ved at udnytte en sårbarhed i kommentarfeltet på en blog. I sådanne tilfælde skal du være opmærksom på, hvad du faktisk klikker på, selvom det lyder lidt paranoidt.

Hvordan ved du, om et websted er troværdigt?

Hvordan kan du vide, om du kan stole på et websted? Angribere bruger ofte ikke for meget tid på at designe og udvikle et websted; det er unødig spild af tid og penge. Du kan se dette ud fra et websteds sikkerhedscertifikater og design. For eksempel vil et stort og pålideligt organisatorisk websted højst sandsynligt have et SSL-certifikat. For at kontrollere dette, se på URL'en. Hvis adressen begynder " https://", det betyder, at siden har et SSL-certifikat. Det ekstra "S" efter "HTTP" betyder "Sikker". Stol dog ikke udelukkende på dette.

Du bør også tage et kig på sidens design og indhold. Oplysningerne på kontaktsiden, privatlivspolitikkerne og endda GDPR-advarsel kan indikere, om et websted er troværdigt. Undersøg også webstedet. Hvad siger andre brugere på platforme som Twitter, Facebook og Trustpilot om det?

Hvis du har nogen viden om kodning, kan du undersøge webstedets kildekoder. På den måde kan du se noget af baggrundsarbejdet, og hvilke andre websteder det linker til.

Skal du bekymre dig om Clickjacking?

Clickjacking er en skræmmende ting, især da cyberkriminelle kan få adgang til dit webcam og aktivt spionere på dine aktiviteter. Det er en stor invasion af privatlivets fred og sikkerhed.

Så ja, det kan virke lidt OTT at være forsigtig, hvor du rent faktisk klikker på en hjemmeside. De fleste af os gør dette uden et sekunds eftertanke. Men det er også vigtigt, at du er på vagt, så du ikke bliver ofre for en hacker.