Clickjacking Hva er det, og hvordan kan du unngå det?
Når det gjelder måter som hackere og malware-distributører får tilgang til datamaskinen din, er det noen ting som snakkes om mye: sosialteknikk Hva er sosialteknikk? [MakeUseOf Forklarer] Hva er samfunnsteknikk? [MakeUseOf Forklarer] Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse ned serverrommet - men hvordan ... Les mer, SQL-injeksjon Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Verden av Internett-sikkerhet er plaget av åpne porter, bakdører, sikkerhetshull, trojanere, ormer, brannmur sårbarheter og en rekke andre problemer som holder oss alle på tærne hver dag. For private brukere, ... Les mer, DDoS-angrep Hva er et DDoS-angrep? [MakeUseOf Forklarer] Hva er et DDoS-angrep? [MakeUseOf Forklarer] Begrepet DDoS plystre forbi når cyberaktivisme reagerer opp hodet en masse. Disse typer angrep gjør internasjonale overskrifter på grunn av flere grunner. Problemene som hopper på de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer, og så videre. Men ett angrep som ikke blir snakket om så mye som bare er så ærefrykt som de andre er clickjacking.
Clickjacking er vanskelig å oppdage, kan påvirke omtrent alle, og er spredt over et bredt spekter av operativsystemer og applikasjoner. Her er det du trenger å vite om clickjacking, inkludert hva det er, hvor du vil se det, og hvordan du kan beskytte deg mot det.
Hva er Clickjacking?
Som du kanskje har samlet fra navnet, er clickjacking prosessen med å kapre en brukers klikk på en datamaskin (den kan også brukes til å kapre tastetrykk, men “keystrokejacking” er mye vanskeligere å si). Det er flere måter at denne prosessen kan finne sted, men de har alle en ting til felles: en bruker tror at de klikker på en ting, når de i virkeligheten klikker på noe annet.
Mange clickjacking-angrep inkluderer et gjennomsiktig brukergrensesnitt plassert over et annet grensesnitt som brukeren forventer å se (som er grunnen til det “UI redressing” er et annet navn for denne metoden). Da, når den brukeren mener at de klikker på noe, klikker de faktisk på noe annet som de ikke kan se. Du kan kanskje tro at du klikker på en lenke som vil registrere deg for et kult nyhetsbrev Lær noe nytt med 10 verdi-e-post nyhetsbrev Lær noe nytt med 10 verdt-det Email nyhetsbrev Du vil bli overrasket over kvaliteten på nyhetsbrevene i dag. De gjør et comeback. Abonner på disse ti fantastiske nyhetsbrevene og finn ut hvorfor. Les mer, når du faktisk klikker på en knapp som gir en cybercriminal tilgang til e-postkontoen din, for eksempel.
En annen type angrep endrer den faktiske plasseringen til brukerens markør, men etterlater displayet uberørt, slik at markøren ser ut som den er på ett sted, men er faktisk i en annen. Det høres ut som om det bare ville være en stor irritasjon, men det kan brukes til å få folk til å klikke på ting som gir bort sensitiv informasjon. 10 Stykker informasjon som brukes til å stjele identiteten din 10 stykker informasjon som brukes til å stjele din identitet i henhold til til det amerikanske justisdepartementet, identitetstyveri kostnader ofre over $ 24 milliarder i 2012, mer enn husholdningsinnbrudd, motor og eiendom tyveri kombinert. Disse 10 stykkene av informasjon er hvilke tyver ser ... Les mer .
Noen andre kreative angrep faller også under paraplyen til clickjacking. For eksempel brukte et nylig angrep et stykke skadelig programvare for å omdirigere brukernes søk på Bing, Google og Yahoo til tilpassede (og svindelfulle) resultatsider som var fulle av Google-AdSense-drevne annonser. Brukere ville klikke på annonsene, trodde de var legitime søkeresultater, og angriperne ville få betalt.
Noen mennesker inkluderer selv sosialteknikk-type angrep i clickjacking; for eksempel, tilbake i 2009, gikk en tweet rundt Twitter som sagt “Ikke klikk” og inkluderte en lenke. Når noen klikket på linken, ville det samme bli tweeted fra sin konto. Lignende teknikker Fem Facebook-trusler som kan smitte på datamaskinen din, og hvordan de fungerer Fem Facebook-trusler som kan smitte på datamaskinen din, og hvordan de fungerer Les mer, har blitt brukt til å spre penger genererende linker på Facebook.
Clickjacking er ikke bare begrenset til nettsteder og apper der brukere har en mus, skjønt; det kan også skje på mobile enheter. Et nylig eksempel er Android.Lockdroid.E, et stykke Android ransomware Malware på Android: De 5 typene du virkelig trenger å vite om skadelig programvare på Android: De 5 typene du virkelig trenger å vite om skadelig programvare, kan påvirke både mobile og stasjonære enheter . Men vær ikke redd: litt kunnskap og de riktige forholdsregler kan beskytte deg mot trusler som ransomware og sextortion svindel. Les mer som brukte clickjacking (eller “touchjacking,” hvis du foretrekker) for å få administrative rettigheter til målenheten. Og vi har nylig hørt om tilgjengeligheten Clickjacking sårbarhet på Android Hvordan Android-tilgjengelighets tjenester kan brukes til å hakke telefonen Hvordan Android-tilgjengelighets tjenester kan brukes til å hakke telefonen Sikkerhetsforskere har identifisert et sikkerhetsproblem i Android-tilgjengelighetstjenesten, noe som kan tillate En angriper får kontroll over enheten. La oss se hvordan du kan stoppe dette. Les mer smarttelefoner og tabletter.
Hva du kan gjøre for å forhindre Clickjacking
Dessverre er det ikke mye du kan gjøre for å forhindre clickjacking med mindre du er en nettsideadministrator. Den langt vanligste metoden for å beskytte deg selv mens du surfer, er å bruke NoScript, Firefox-tillegget, som forhindrer at skript lastes inn uten at du har en bestemt autorisasjon fra deg. NoScript har noen spesielle anti-clickjacking-funksjoner, og det er veldig bra å oppdage hvilke typer skript som lager gjennomsiktige overlegg på nettsteder.
Eventuelle lignende utvidelser som du kan bruke for å forhindre at skript eller apper lastes ned Kontroller ditt webinnhold: Viktige utvidelser for å blokkere sporing og skript Kontroller webinnholdet ditt: Viktige utvidelser for å blokkere sporing og skript Sannheten er at det alltid er noen eller noe som overvåker din Internett-aktivitet og innhold. Til slutt, jo mindre informasjon vi lar disse gruppene har, jo sikrere blir vi. Les mer vil også gi litt beskyttelse.
De beste forsvarene mot clickjacking må imidlertid komme fra stedadministratorer. Mange av forsvarene er ganske tekniske, og hvis du vil finne ut nøyaktig hvordan du skal implementere dem, anbefaler jeg at du sjekker ut Clickjacking Defence Cheat Sheet fra OWASP.
En av de beste måtene å unngå å forhindre clickjacking på nettstedet ditt, er å inkludere en HTTP-header med x-ramme-alternativer som forhindrer at nettstedet ditt lastes inn i en ramme ( tag) eller iframe (
Forhindre skript på tvers av nettsiden Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsproblem Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsrisiko? Sårbarhetsproblemer på nettsiden er det største sikkerhetsproblemet i dag i dag. Studier har funnet at de er sjokkerende vanlige - 55 prosent av nettstedene inneholdt XSS sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni ... Les mer (XSS) vil også bidra til å redusere sjansene for et clickjacking-angrep på et nettsted. Fordi XSS også brukes til andre angrep, er det en god ide å beskytte mot det uansett.
For å minimere sannsynligheten for et clickjacking-angrep på mobilenheten, vil du kanskje begrense deg til bare å laste ned apper fra klarerte kilder, som Apple App Store eller Google Play Store. Selv om dette ikke er en garanti for at du vil være fri fra angrep, er disse appene betydelig mindre sannsynlige å inkludere skadelig kode enn de du får fra en tredjepartskilde.
Du kan også unngå å bruke nettlesere i nettleseren, da dette er et vanlig sted for berøringsangrep. Angi standard oppførsel for lenkeåpning i appene dine for å åpne i systemleseren, i stedet for nettleseren i appen, og du vil eliminere en potensiell svakhet i forsvaret ditt.
En reell trussel
Som nevnt før, lyder clickjacking som mer av en irritasjon enn en reell trussel mot sikkerheten din, men hvis den brukes effektivt, kan det hjelpe angriperne å stjele noen svært viktig informasjon eller få tilgang til dine online kontoer, der de kan gjøre alvorlig skade.
Og mens det meste av forsvaret skal komme fra bak kulissene, kan du bruke skriptblokkerende utvidelser for å hindre de fleste av disse angrepene - hvis du er i orden med å bruke slike tillegg, da de er litt kontroversielle AdBlock , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil I de siste månedene har jeg blitt kontaktet av en god del lesere som har hatt problemer med å laste ned våre guider, eller hvorfor de ikke kan se innloggingsknappene eller kommentarene som ikke lastes inn og i ... Les mer .
Vet du om noen eksempler på store clickjacking-angrep, eller har du vært utsatt for et av disse angrepene? Bruker du NoScript eller distribuerer noen forsvar på ditt eget nettsted? Del dine tanker nedenfor!
Bilde kreditt: Mozilla.
Utforsk mer om: Clickjacking, Hacking, Online Security.