Подмена в один клик: что такое кликджекинг
Кликджекинг (от англ. clickjacking) — это приём, при котором пользователь думает, что кликает по одной кнопке, а на деле активирует что-то совсем другое.
Обычно это выглядит так: вы нажимаете на «Открыть PDF» — а в этот момент ваш аккаунт лайкает чужой пост, оформляет подписку или пересылает деньги. И вы об этом даже не узнаете.
Это не баг и не вирус. Это — манипуляция с интерфейсом.
Как это работает технически
Чаще всего злоумышленники используют iframe — подсовывают «невидимый» фрейм с нужным им сайтом, поверх которого накладывают прозрачную кнопку.
Человек видит один интерфейс — а браузер считает, что клик был на совсем другом элементе.
Вот механика:
- на сайт внедряется iframe с другим ресурсом (например, форма оплаты);
- iframe делается прозрачным или с нулевыми размерами;
- поверх накладываются заманчивые кнопки (плей, скачать, перейти);
- пользователь нажимает, думая, что управляет текущим сайтом — но активирует действие в другом контексте.
Где используется кликджекинг (и почему это проблема даже для «белых» сайтов)
🔻 В схемах с монетизацией:
- Накрутка лайков, подписок, просмотров.
- Автоподписки на платные услуги.
- Скликивание рекламных объявлений конкурентов.
🔻 В киберпреступности:
- Незаметное включение камеры или микрофона (в браузерах старого поколения).
- Перевод денег с карты при наличии открытой сессии в онлайн-банке.
- Подтверждение действий от имени пользователя на чужом ресурсе.
⚠️ Даже добросовестные сайты страдают:
- через iframe с YouTube, Google Maps или формами могут случайно открыть уязвимость;
- внедрение чужого скрипта (например, виджет чата) может создать точку входа для атаки.
Как распознать кликджекинг на сайте
- Подозрительная активность пользователей (например, резкие всплески переходов или лайков).
- Наличие iframe с внешними источниками, особенно с display:none или opacity:0.
- Странное поведение при клике: действие, не соответствующее интерфейсу.
- Жалобы от пользователей: «Я не нажимал, но почему-то…».
Как защитить свой сайт от кликджекинга
🔐 Технические меры:
- Заголовок X-Frame-Options: SAMEORIGIN — запрещает встраивание сайта в iframe на других доменах.
- Content-Security-Policy: frame-ancestors ‘none’ — более гибкая и современная защита.
- Проверка window.top !== window.self — защита от отображения сайта во фрейме.
- Блокировка скриптов с подозрительных доменов.
🛡️ Периодические аудиты:
- Проверка кода на скрытые iframe.
- Анализ сторонних виджетов.
- Мониторинг поведения пользователей и логов.
Как кликджекинг связан с SEO и доверием к сайту?
Google напрямую не банит за iframe, но:
- Повышенные показатели отказов,
- Нарушения правил безопасного просмотра,
- Жалобы через Chrome и антивирусы могут привести к понижению позиций или предупреждению в выдаче.
⚠️ Даже намёк на небезопасность — и сайт получает «ярлык» неблагонадёжного. Это критично для интернет-магазинов, банков, медиа и любых бизнесов с конверсиями.
Не кликай, пока не уверен — и не давай кликать в тени
Кликджекинг — это атака не на сервер, а на пользователя. Он обходит антивирус, не требует взлома, но наносит репутационный и правовой ущерб.
Защититься можно — но нужно регулярно обновлять защиту, проверять код и не внедрять всё подряд без разбора.
