Hvad er clickjacking, og hvordan undgår man det?

Få apps er så sikre som banksoftware på mobile enheder, men disse apps vil stadig kunne sluse cyberkriminelle ind til dine mest værdifulde og følsomme oplysninger, f.eks. loginoplysninger og kontaktoplysninger.

Clickjacking gør tyveri af følsomme, personlige oplysninger så hurtigt og nemt som at logge på en app. Malware som Svpeng illustrerer effektiviteten – og udbredelsen – af denne type kriminalitet.

Clickjacking gør en hacker i stand til at indsætte et usynligt interfacelag mellem dine fingerspidser og det, du ser på din enheds skærm.

Du tror, at det, du ser, er bankens skærmbillede efter indtastning af dit id og din adgangskode, men det, du faktisk ser, er en kopi af det samme skærmbillede oven på bankens reelle oplysninger.

Når du indtaster dine private oplysninger, går dataene ikke til banken til godkendelse, i stedet går de til filservere, som cyberkriminelle opretholder for at stjæle kontoadgangsoplysninger.

Clickjacking for profit

I juli 2017 berettede Kaspersky Labs Roman Unuchek, der er senior malwareanalytiker, i SecureList blog, at Svpeng-malware var "gået viralt". Oprindelig dukkede Svpeng op i 2013 for at stjæle bankoplysninger fra brugere af Android-enheder. Når den først var downloadet på en mobilenhed, clickjackede den brugerdata, men problemet rækker meget længere end det.

Når malwaren har skaffet sig adgang til administratorrettigheder, kan den vælge, hvilke overlagsskærmbilleder, den vil bruge, sende og modtage sms-beskeder, foretage telefonopkald og læse kontakter.

Malwaren sender derefter screenshots og andre materialer, den har kapret fra enheden, tilbage til en kommando- og styringsserver, der drives af hackere. Dette kan være kontakter, installerede apps, opkaldslister og sms'er – hvilket især er problematisk, fordi banker typisk sender bekræftelseskoder til brugere via sms.

I løbet af en enkelt uge havde Svpeng spredt sig i over 23 lande, ifølge Unuchek.

Clickjacking forekommer på næsten alle platforme

Selv om Android-telefoner synes særligt udsatte for clickjacking, kan det forekomme på enhver maskine, der har adgang til internettet: mobilenheder, tablet-computere, stationære computere og bærbare computere.

I midten af 2016 fjernede Google annoncer med gennemsigtige lag, som narrede millioner af brugere til at klikke på links, der førte dem til uopfordrede websteder. I mange tilfælde indeholdt disse websteder malware, adware og endda spyware, som undertiden blev downloadet og installeret uden brugerens viden.

Skrupelløse firmaer kan bruge clickjackede sider til at udløse et-klik-bestillinger fra Amazon. På sociale medier som Facebook skaber de kunstige "likes" på indlæg (kaldet "likejacking"), eller de rekrutterer uvidende følgere på Twitter. Ifølge MarketingLand.com downloader clickjackere også malware, der tvinger brugerne til at klikke på usynlige svindelannoncer.

Sådan forsvarer du dig mod clickjacking

En af de mest almindelige måder, clickjacking-software kommer ind på enheder, er gennem målrettede e-mails. I en verden, hvor hackere har stjålet milliarder af kundekonti med kontaktoplysninger, koster det desværre kun småpenge pr. konto for cyberkriminelle at købe disse oplysninger. Sandsynligheden for at cyberkriminelle har i det mindste din mailkonto og dens tilknyttede bankforbindelse på fil er høj.

Hold øje med e-mails, der lander i din indbakke, der hævder at løse et presserende anliggende, som kræver din opmærksomhed. Disse e-mails kræver, at du klikker på et link, og linket kan føre dig til et websted, der ligner din bank eller andre officielle websteder, hvor de narrer dig til at downloade den nyeste version af institutionens app eller udfylde dine profiloplysninger.

Hvis målet er at få dig til at downloade en app, så er appen sandsynligvis malware, der opfanger og stjæler alle dine legitimationsoplysninger. I andre tilfælde kan selve webstedet være kilden til malwaren, der sniger sig ind på din enhed. Uanset hvordan det sker, fremviser malwaren falske indtastningslag, som du skal udfylde.

Det er også vigtigt at undgå at klikke på annoncer på Google eller Facebook, som tilbyder noget, der er for godt til at være sandt, eller som promoverer nyheder eller historier, der virker usædvanlige. I nogle tilfælde kan et klik på sådanne elementer føre dig til et websted, der downloader clickjacking-software til din computer. I stedet bør du se nyheder på en alternativ kanal, f.eks. en velrenommeret og velkendt avis. Hvis nyheden er rigtig, vil det ikke være svært at finde reelle nyhedsudgivere.

Download altid apps på enheder fra autoriserede app-biblioteker. Disse biblioteker har både softwareagenter og mennesker, der arbejder på at luge ud i malware og kun efterlade passende indhold. Det er ikke altid nemt at spotte falske eller usynlige interfaces, men en sund portion skepsis ved enhver brug af internettet kan i høj grad bidrage til en tilfredsstillende brugeroplevelse.