reklama

Pokud jde o způsoby, jak hackeři a distributoři malwaru získat přístup k vašemu počítači, je zde několik věcí, o kterých se hodně mluví: sociální inženýrství Co je sociální inženýrství? [MakeUseOf vysvětluje]Můžete nainstalovat nejsilnější a nejdražší firewall tohoto odvětví. Můžete zaměstnance poučit o základních bezpečnostních postupech a důležitosti výběru silných hesel. Můžete dokonce zamknout serverovou místnost - ale jak ... Přečtěte si více , SQL injekce Co je to SQL Injection? [MakeUseOf vysvětluje]Svět zabezpečení internetu je sužován otevřenými porty, zadními vrátkami, bezpečnostními otvory, trojskými koni, červy, zranitelnostmi firewallů a spoustou dalších problémů, které nás každý den drží na nohou. Pro soukromé uživatele ... Přečtěte si více , Útoky DDoS Co je to DDoS Attack? [MakeUseOf vysvětluje]Termín DDoS hvízdá minulosti, kdy kybernetický aktivismus chová masově hlavu. Tyto útoky dělají mezinárodní titulky z mnoha důvodů. Problémy, které tyto útoky DDoS naskočí, jsou často kontroverzní nebo vysoce ... Přečtěte si více

instagram viewer
, a tak dále. Ale jeden útok, o kterém se nemluví tolik, je stejně tak nebezpečný jako ostatní clickjacking.

Clickjacking je obtížné odhalit, může ovlivnit téměř každého a je rozšířen v celé řadě operačních systémů a aplikací. Tady je třeba vědět o clickjackingu, včetně toho, o co jde, kde to uvidíte a jak se proti tomu chránit.

Co je Clickjacking?

Jak jste možná získali ze jména, clickjacking je proces únosu kliknutí uživatele na a počítač (lze použít i k únosům klávesových zkratek, ale „keystrokejacking“ je mnohem těžší říci). Tento proces se může uskutečnit několika způsoby, ale všichni mají jednu společnou věc: uživatel si myslí, že klikne na jednu věc, když ve skutečnosti klikne na něco jiného.

Mnoho útoků s clickjackingem zahrnuje transparentní uživatelské rozhraní umístěné nad jiným rozhraním, které uživatel očekává, že uvidí (proto je pro tuto metodu jiné jméno „redigování uživatelského rozhraní“). Když si pak uživatel myslí, že na něco klikne, ve skutečnosti klikne na něco jiného, ​​co nevidí. Možná si myslíte, že kliknete na odkaz, který vás přihlásí skvělý zpravodaj Naučte se něco nového s 10 informačními e-mailovými zprávami o hodnotěDnes budete překvapeni kvalitou zpravodajů. Přicházejí na scénu. Přihlaste se k odběru těchto deseti fantastických zpravodajů a zjistěte proč. Přečtěte si více , když skutečně klepnete na tlačítko, které například poskytuje kyberkriminální přístup k vašemu e-mailovému účtu.

Jiný typ útoku mění skutečnou polohu kurzoru uživatele, ale ponechá displej nedotčený, takže kurzor vypadá jako na jednom místě, ale ve skutečnosti je na jiném místě. Zní to, jako by to byla jen velká nepříjemnost, ale lze ji použít k tomu, aby lidé klikali na věci, které rozdávají citlivé informace 10 kusů informací, které se používají k odcizení vaší identityKrádež identity může být nákladná. Zde je 10 informací, které musíte chránit, aby nedošlo k odcizení vaší identity. Přečtěte si více .

Některé další kreativní útoky spadají pod deštník clickjackingu. Například nedávný útok použil část malwaru k přesměrování vyhledávání uživatelů na serverech Bing, Google a Yahoo na přizpůsobené (a podvodné) stránky s výsledky, které byly plné reklam poháněných Google-AdSense. Uživatelé by klikali na reklamy a mysleli si, že jsou legitimní výsledky vyhledávání, a útočníci by dostali zaplaceno.

průhlednost

Někteří lidé dokonce zahrnují útoky typu sociálního inženýrství do clickjackingu; například v roce 2009 obcházel Twitter Twitter, který říkal „neklikejte“ a obsahoval odkaz. Kdykoli někdo klikl na odkaz, stejná věc by byla vynechána z jeho účtu. Podobné techniky Pět hrozeb na Facebooku, které mohou infikovat váš počítač a jak fungují Přečtěte si více byly použity k šíření penězotvorných odkazů na Facebooku.

Clickjacking se však neomezuje pouze na weby a aplikace, na kterých mají uživatelé myš; může se to také stát na mobilních zařízeních. Jedním z posledních příkladů je Android. Lockdroid. E, kousek Android ransomware Malware v Androidu: 5 typů, o kterých opravdu potřebujete vědětMalware může ovlivnit mobilní i stolní zařízení. Ale nebojte se: trochu znalostí a správných opatření vás může ochránit před hrozbami, jako jsou podvody s ransomwarem nebo sexuálními podvody. Přečtěte si více který použil clickjacking (nebo „touchjacking“, pokud dáváte přednost) k získání administrátorských práv k cílovému zařízení. A nedávno jsme slyšeli o Zjednodušení přístupu Zranitelnost Clickjacking v systému Android Jak lze služby Android Accessibility využít k hacknutí telefonuV sadě Accessibility Suite pro Android byly nalezeny různé chyby zabezpečení. K čemu se však tento software používá? Přečtěte si více chytré telefony a tablety.

Co můžete udělat, abyste zabránili Clickjackingu

Bohužel není toho mnoho, co můžete udělat, abyste zabránili clickjackingu, pokud nejste administrátorem webových stránek. Zdaleka nejčastěji doporučovaným způsobem ochrany sebe při prohlížení je použití NoScript, doplněk Firefox, který zabraňuje načtení skriptů bez konkrétní autorizace vy. NoScript má některé specificky anti-clickjacking funkce, a je opravdu dobrý v detekci druhů skriptů, které vytvářejí transparentní překryvy na webových stránkách.

noscript-firefox

Jakákoli podobná rozšíření, která můžete použít zabránit načítání skriptů nebo aplikací Ovládejte svůj webový obsah: Základní rozšíření pro blokování sledování a skriptůPravda je, že vaši aktivitu a obsah na internetu neustále sleduje někdo nebo něco. Nakonec, čím méně informací necháme těmto skupinám, tím bezpečnější budeme. Přečtěte si více bude také poskytovat určitou ochranu.

Nejlepší obrana proti clickjackingu však musí pocházet od správců webu. Mnohé z obran jsou spíše technické, a pokud chcete zjistit, jak je přesně implementovat, doporučuji podívat se na Clickjacking Defense Cheat Sheet od OWASP.

Jedním z nejlepších způsobů, jak zabránit tomu, aby se na vaše stránky klikání kliklo, je zahrnout záhlaví HTTP x-frame-options, které zabrání načtení obsahu vašich stránek do rámce ( tag) nebo iframe (

x-frame-options

Prevence skriptování mezi weby Co je skriptování mezi weby (XSS) a proč je to bezpečnostní hrozbaChyby zabezpečení skriptování mezi weby jsou dnes největším problémem zabezpečení webových stránek. Studie zjistily, že jsou šokově běžné - podle poslední zprávy White Hat Security, vydané v červnu... 55% webových stránek obsahovalo zranitelnost XSS v roce 2011 ... Přečtěte si více (XSS) také pomůže snížit pravděpodobnost útoku clickjacking na webu. Vzhledem k tomu, že se XSS používá i pro jiné útoky, je stejně dobré se proti němu chránit.

Chcete-li minimalizovat pravděpodobnost útoku clickjacking na vašem mobilním zařízení, možná budete chtít omezit sami stahujete pouze aplikace z důvěryhodných zdrojů, jako je Apple App Store nebo Google Play Obchod. I když to není záruka, že se nebudete obávat útoků, je u těchto aplikací podstatně méně pravděpodobné, že budou obsahovat škodlivý kód, než ty, které získáte ze zdroje třetí strany.

Můžete se také vyhnout používání prohlížečů v aplikacích, protože to je běžné místo, kde mohou nastat útoky s touchjackingem. Nastavte výchozí chování pro otevírání odkazů v aplikacích tak, aby se otevírá v systémovém prohlížeči, nikoli v prohlížeči v aplikaci, a odstraníte další možnou slabost ve své obraně.

Skutečná hrozba

Jak již bylo zmíněno, clickjacking zní jako větší nepříjemnost než skutečné ohrožení vaší bezpečnosti, ale pokud se používá efektivně, útočníkům může pomoci ukrást některé velmi důležité informace nebo získat přístup k vašim online účtům, pokud by to mohli udělat vážně poškození.

A zatímco většina obrany musí vycházet ze zákulisí, můžete použít blokování skriptů rozšíření, která zabrání většině těchto útoků - pokud jste v pořádku s používáním těchto doplňků, jako jsou trochu kontroverzní AdBlock, NoScript a Ghostery - Trifecta Of EvilBěhem několika posledních měsíců mě kontaktovalo velké množství čtenářů, kteří měli problémy se stahováním našich průvodců, nebo proč nevidí přihlašovací tlačítka nebo komentáře, které se nenačítají; a v ... Přečtěte si více .

Znáte nějaké příklady rozsáhlých clickjacking útoků, nebo jste se stali obětí jednoho z těchto útoků? Používáte NoScript nebo nasazujete obranu na svůj vlastní web? Podělte se o své myšlenky níže!

Obrazový kredit: Mozilla.

Dann je konzultant pro obsahovou strategii a marketing, který pomáhá společnostem vytvářet poptávku a vede. Také blogy o strategii a marketingu obsahu na dannalbright.com.