Glavna stranica sigurnosti Clickjacking Što je to i kako to možete izbjeći?

Clickjacking Što je to i kako to možete izbjeći?

  • Lesley Fowler
  • 0
  • 3443
  • 748
Oglas

Kada su u pitanju načini na koji hakeri i distributeri zlonamjernog softvera mogu pristupiti vašem računalu, postoje neke stvari o kojima se puno govori: socijalni inženjering Što je socijalni inženjering? [MakeUseOf objašnjava] Što je socijalni inženjering? [MakeUseOf Explains] Možete instalirati najjači i najskuplji firewall u industriji. Možete educirati zaposlenike o osnovnim sigurnosnim postupcima i važnosti odabira jakih lozinki. Možete čak zaključati i poslužiteljsku sobu - ali kako…, ubrizgavanje SQL-a Što je SQL ubrizgavanje? [MakeUseOf objašnjava] Što je SQL ubrizgavanje? [MakeUseOf objašnjava] Svijet internetske sigurnosti muči otvorene luke, stražnju stranu, sigurnosne rupe, Trojani, crvi, ranjivost vatrozida i mnoštvo drugih problema koji nas svakodnevno drže na nogama. Za privatne korisnike, ..., DDoS napada Što je DDoS Attack? [MakeUseOf objašnjava] Što je DDoS napad? [MakeUseOf objašnjava] Izraz DDoS zviždi prošlost svaki put kada cyber-aktivizam masovno digne glavu. Ova vrsta napada čini međunarodne naslove zbog više razloga. Pitanja koja ubrzavaju te DDoS napade često su kontroverzna ili izrazito…, i tako dalje. Ali jedan napad o kojem se ne govori toliko je jednako gadan kao i drugi clickjacking.

Clickjacking je teško otkriti, može utjecati na gotovo svakoga i rašireno je na širok raspon operativnih sustava i aplikacija. Evo što trebate znati o klikanju, uključujući ono što je, gdje ćete ga vidjeti i kako se zaštititi od njega.

Što je klikanje?

Kao što ste se možda prikupili iz imena, clickjacking je postupak otmice korisnikova klika na računalu (može se koristiti i za otmicu tipki, ali “keystrokejacking” puno je teže reći). Ovaj se postupak može odvijati na više načina, ali svi imaju jedno zajedničko: korisnik misli da klikne na jednu stvar, a u stvarnosti klikne na nešto drugo.

Mnogi napadi klikova uključuju prozirno korisničko sučelje smješteno preko drugog sučelja koje korisnik očekuje da vidi (zbog čega “Ispravljanje korisničkog sučelja” drugo je ime ove metode). Zatim, kad taj korisnik pomisli da nešto klikne, on zapravo klikne nešto drugo što ne može vidjeti. Možda mislite da klikate na vezu koja će vas prijaviti za cool newsletter Naučite nešto novo s 10 vrijednih e-mail biltena Saznajte nešto novo s 10 vrijednih biltena putem e-pošte Iznenadit ćete se kvalitetom biltena danas. Oni se vraćaju. Pretplatite se na ovih deset fantastičnih biltena i saznajte zašto. , na primjer, kada zapravo kliknete gumb koji pruža cyber-kriminalan pristup vašem računu e-pošte.

Druga vrsta napada mijenja stvarni položaj korisničkog kursora, ali zaslon ostavlja netaknut, tako da kursor izgleda kao da je na jednom mjestu, ali zapravo se nalazi na drugom mjestu. Zvuči kao da bi to bila samo velika smetnja, ali može se koristiti za navođenje ljudi da kliknu na stvari koje odaju osjetljive informacije. 10 informacija koje se koriste za krađu vašeg identiteta 10 informacija koje se koriste za krađu vašeg identiteta američkom Birou pravde, krađa identiteta koštala je žrtve preko 24 milijarde dolara u 2012. godini, više od provale u kućanstvo, krađe motora i imovine. Ovih 10 informacija su ono što lopovi traže ... .

I neki drugi kreativni napadi također padaju pod okrilje klikanja. Na primjer, nedavni napad upotrijebio je dio zlonamjernog softvera za preusmjeravanje korisničkih pretraživanja na Bingu, Googleu i Yahoo-u na prilagođene (i lažne) stranice s rezultatima koji su bili prepuni Google-AdSense oglasa. Korisnici bi kliknuli na oglase, misleći da su to legitimni rezultati pretraživanja i da će napadači dobiti plaću.

Neki čak uključuju napada društvenog inženjeringa u klikanje; na primjer, 2009. godine na Twitteru se vrtio tvit koji piše “Ne klikaj” i uključio vezu. Kad god bi netko kliknuo na vezu, s njegovog računa vršit bi istu stvar. Slične tehnike Pet Facebook prijetnji koje mogu zaraziti vaše računalo i kako djeluju Pet Facebook prijetnji koje mogu zaraziti vaše računalo i kako rade korištene su za širenje veza za prikupljanje novca na Facebooku.

Dodijeljivanje klikova nije ograničeno samo na web stranice i aplikacije u kojima korisnici imaju miša; može se dogoditi i na mobilnim uređajima. Nedavni primjer je Android.Lockdroid.E, dio štetnog softvera za Android koji koristi ransomware na Androidu: 5 tipova koje zaista trebate znati o zlonamjernom softveru na Androidu: 5 vrsta koje zaista trebate znati o zlonamjernom softveru može utjecati na mobilne uređaje, kao i na desktop uređaje , Ali ne bojte se: malo znanja i ispravnih mjera predostrožnosti mogu vas zaštititi od prijetnji kao što su otkupnina i prevare zbog razdvajanja. koji su koristili klikanje (ili “touchjacking,” ako želite) steći administrativna prava na ciljni uređaj. Nedavno smo čuli i o ranjivosti Accessibility Clickjacking na Androidu Kako se Androidove usluge pristupačnosti mogu hakirati na vaš telefon Kako se Androidove usluge pristupačnosti mogu hakirati na vaš telefon Sigurnosni istraživači prepoznali su sigurnosnu ranjivost u Androidovim uslugama pristupačnosti, što bi moglo omogućiti napadač da bi stekao kontrolu nad uređajem. Da vidimo kako možete spriječiti da se to događa. pametni telefoni i tableti.

Što možete učiniti da spriječite kliktanje

Nažalost, ne možete puno učiniti da spriječite kliktanje, osim ako niste administrator web lokacije. Daleko se najčešće preporučuje metoda zaštite samog sebe dok pregledavate korištenje NoScript, Firefox dodatka koji sprječava učitavanje skripti bez posebnog odobrenja od vas. NoScript ima neke specifične značajke protiv klika i stvarno je dobar u otkrivanju vrsta skripti koje stvaraju prozirne slojeve na web stranicama.

Bilo koja slična proširenja koja možete koristiti za sprječavanje učitavanja skripti ili aplikacija Kontrolirajte svoj web sadržaj: Bitna proširenja za blok praćenje i skripte kontroliraju vaš web sadržaj: osnovna proširenja za blok praćenje i skripte Istina je da uvijek netko ili nešto nadgleda vaš Internetska aktivnost i sadržaj. U konačnici, što manje informacija koje ovim skupinama dopuštamo sigurnije ćemo biti. pružit će i određenu zaštitu.

Najbolja obrana od klik -ckinga, međutim, mora doći od administratora web mjesta. Mnoge su obrane prilično tehničke prirode, a ako želite saznati kako ih točno implementirati, preporučam vam da provjerite obrazac obrazaca Clickjacking Defense s OWASP-a..

Jedan od najboljih načina da se spriječi klikanje na vašoj web stranici uključuje uključivanje HTTP zaglavlja s opcijama x-frame-a koje sprečava da se sadržaj vaše web lokacije učita u okvir (tag) ili iframe (tag). Zbog toga što se oni često koriste kao vektori napada - ne samo za kliktanje, već i za druge prijetnje - ovo je učinkovit način ublažavanja prijetnje.

Sprječavanje skriptiranja na više web lokacija Što je skriptu na različitim web lokacijama (XSS) i zašto je to prijetnja sigurnosti Što je skriptiranje na više stranica (XSS) i zašto je to sigurnosna prijetnja Rječljivosti skripti na različitim web lokacijama najveći su sigurnosni problem web stranice danas. Studije su otkrile da su šokantno česte - prema najnovijem izvješću White Hat Security-a, objavljenom u lipnju, 55% web-lokacija sadržavalo je ranjivosti XSS u 2011. godini, (XSS) će također pomoći u smanjenju šansi za napad na klik na web mjesto. Budući da se XSS koristi i za druge napade, ionako je dobra zaštita od njega.

Da biste umanjili vjerojatnost napada na klik na vašem mobilnom uređaju, možda biste se željeli ograničiti na samo preuzimanje aplikacija iz pouzdanih izvora, poput Apple App Store-a ili Google Play Store-a. Iako ovo ne jamči da ćete biti oslobođeni napada, ove aplikacije znatno manje uključuju vjerojatnost da sadrže zlonamjerni kôd od onih koje ste dobili od izvora treće strane..

Također možete izbjeći upotrebu preglednika koji se nalaze u aplikaciji jer je to uobičajeno mjesto za napadaje dodirima. Podesite zadano ponašanje otvaranja veza u svojim aplikacijama da se otvori u pregledniku sustava, umjesto u pregledniku aplikacije, i uklonite još jednu potencijalnu slabost u vašoj obrani.

Prava prijetnja

Kao što smo već spomenuli, klik-klađenje zvuči više kao smetnja nego kao stvarna prijetnja vašoj sigurnosti, ali ako se koristi učinkovito, napadačima može pomoći ukrasti neke vrlo važne podatke ili steći pristup vašim mrežnim računima, gdje mogu napraviti ozbiljnu štetu.

I dok većina obrane mora doći iza kulisa, možete koristiti proširenja za blokiranje skripta kako biste spriječili većinu ovih napada - ako niste u redu s korištenjem tih vrsta dodataka, jer su malo kontroverzni AdBlock , NoScript & Ghostery - Trifecta zla AdBlock, NoScript & Ghostery - Trifecta zla U proteklih nekoliko mjeseci kontaktirao me dobar broj čitatelja koji su imali problema s preuzimanjem naših vodiča ili zašto ne mogu pogledajte gumbe za prijavu ili komentare koji se ne učitavaju; i u… .

Znate li za neke primjere napada velikih klikova ili ste bili žrtva jednog od tih napada? Koristite li NoScript ili upotrebljavate obranu na vlastitoj web stranici? Podijelite svoja razmišljanja u nastavku!

Kreditna slika: Mozilla.




Još ne komentari

Usporedba Fitbita Koji je model za vas?
Kupnja vodiča
5 najboljih Chromebooka za svaku vrstu korisnika
Kupnja vodiča
Najbolji uspoređeni modeli čitača e-knjiga 7
Kupnja vodiča
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.