Кликджекинг, или Как Яндекс защищает конфиденциальную информацию владельцев веб-ресурсов
Учитывая тот факт, что Яндекс является одной из ведущих поисковых систем Рунета, думаю, многим будет не лишним познакомиться с теми фильтрами, которые поисковик разработал для борьбы с мошенническими схемами, используемыми некоторыми, как для продвижения в ТОП поисковой выдачи, так и для других целей.
С этой целью и была создана серия обзоров наиболее значимых алгоритмов, которые Яндекс использует в настоящее время. В обозначенную серию вошли следующие обзоры:
ПЕРЕЧЕНЬ ОБЗОРОВ АЛГОРИТМОВ ЯНДЕКС
С декабря 2015 г поисковая система Яндекс начала использовать алгоритм, понижающий позиции ресурсов в выдаче за использованием веб-мастерами кликджекинга. Это относится к тем случаям, когда собственник ресурса не подозревает, что работает с использованием «незаконной» технологии, в то время как его ресурс попадает под фильтры поисковой системы.
Что такое кликджекинг
Кликджекинг (Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.
Принцип основан на том, что поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя.
Возможны различные применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счёт.
Термин «кликджекинг» впервые использовали специалисты по информационной безопасности Роберт Хансен и Еремия Гроссман. Они обнаружили уязвимость в продуктах Adobe и в браузерах компаний Microsoft и Mozilla, которая позволяла получить доступ к компьютеру жертвы атаки.
Используя данную технологию, мошеннические сервисы (Яндекс уже идентифицировал около 50-ти подобных сервисов) способны идентифицировать каждого посетителя сайта, получая данные их аккаунтов соцсетей (возраст, адреса, телефон).
В результате таких действий мошенники не только получают информацию обо всех посетителях ваших сайтов, но и возможность взаимодействовать с аудиторией и потенциальными клиентами – звонить, писать на e-mail и сообщения в соцсетях. С недавнего времени ситуация изменилась, теперь эти, с позволения сказать «сервисы», имеют все возможности автоматически попасть под фильтры Яндекс.
Как это работает практически
Вы заходите на привлекший ваше внимание сайт, просматриваете его страницы. Вдруг вам звонит менеджер и начинает предлагать что-нибудь купить или совершить какое-то действие, хотя номера телефона вы не сообщали. Будьте осторожны — на этом сайте воруют личные данные. И от этого вам никак не защититься.
Когда вы кликаете указателем мышки (неважно, по ссылке или по пустому месту), скрипт подкладывает вам невидимый элемент из социальной сети (например, кнопку вступления в группу или кнопку скачивания вредоносного приложения). Кликнув по такому невидимому элементу, вы, сами того не подозревая, даете кому-то разрешение на просмотр личных данных.
Ниже предлагаю ознакомиться с фрагментом новости от 30.12.2015 года из блога бета-версии Яндекс.Вебмастер:
А вскоре, 29.01.2016 года, последовала новость о введении нового алгоритма:
Резюме: лучше всего просто отказаться от использования на своем ресурсе незнакомых кодов, так как их применение может привести к нежелательным последствиям для вашего веб-ресурса.
Более ранние статьи и обзоры рубрики
Комментарии 0