Forside Sikkerhed Clickjacking Hvad er det, og hvordan kan du undgå det?

Clickjacking Hvad er det, og hvordan kan du undgå det?

  • Michael Fisher
  • 0
  • 1243
  • 56
Reklame

Når det kommer til måder, hvorpå hackere og malware-distributører får adgang til din computer, er der nogle ting, der bliver talt meget om: social engineering Hvad er Social Engineering? [MakeUseOf Explains] Hvad er social engineering? [MakeUseOf Explains] Du kan installere branchens stærkeste og dyreste firewall. Du kan uddanne medarbejdere om grundlæggende sikkerhedsprocedurer og vigtigheden af ​​at vælge stærke adgangskoder. Du kan endda låse serverrummet - men hvordan ..., SQL-injektion Hvad er en SQL-injektion? [MakeUseOf Explains] Hvad er en SQL-injektion? [MakeUseOf Explains] En verden af ​​internetsikkerhed er plaget med åbne havne, bagdøre, sikkerhedshuller, trojanere, orme, firewall sårbarheder og en række andre problemer, der holder os alle på tæerne hver dag. For private brugere,…, DDoS-angreb Hvad er et DDoS-angreb? [MakeUseOf Explains] Hvad er et DDoS-angreb? [MakeUseOf Explains] Udtrykket DDoS fløjter forbi, når cyberaktivisme stiger hovedet masse. Denne form for angreb giver internationale overskrifter på grund af flere grunde. De spørgsmål, der starter med disse DDoS-angreb, er ofte kontroversielle eller meget… og så videre. Men et angreb, der ikke bliver talt om så meget, der er lige så uærligt som de andre clickjacking.

Clickjacking er vanskeligt at opdage, kan påvirke næsten nogen og er spredt over en lang række operativsystemer og applikationer. Her er hvad du har brug for at vide om clickjacking, herunder hvad det er, hvor du ser det, og hvordan du kan beskytte dig mod det.

Hvad er Clickjacking?

Som du måske har samlet fra navnet, er clickjacking processen med at kapre en brugers klik på en computer (det kan også bruges til at kapre tastetryk, men “keystrokejacking” er meget vanskeligere at sige). Der er en række måder, denne proces kan finde sted, men de har alle én ting til fælles: en bruger tror, ​​at de klikker på en ting, når de i virkeligheden klikker på noget andet.

Mange clickjacking-angreb inkluderer en gennemsigtig brugergrænseflade placeret over en anden grænseflade, som brugeren forventer at se (hvilket er grunden til “UI-oprettelse” er et andet navn på denne metode). Når brugeren derefter tror, ​​at de klikker på noget, klikker de faktisk på noget andet, som de ikke kan se. Du tror måske, at du klikker på et link, der vil tilmelde dig et cool nyhedsbrev Lær noget nyt med 10 værd-det-e-mail-nyhedsbreve Lær noget nyt med 10 værd-det-e-mail-nyhedsbreve Du vil blive overrasket over kvaliteten af ​​nyhedsbreve i dag. De laver comeback. Abonner på disse ti fantastiske nyhedsbreve, og find ud af hvorfor. , når du faktisk klikker på en knap, der f.eks. giver en cyberkriminel adgang til din e-mail-konto.

En anden type angreb ændrer den faktiske placering af brugerens cursor, men lader skærmen være uberørt, så markøren ser ud som om den er på et sted, men faktisk er på et andet. Det lyder som om det bare ville være en stor irritation, men det kan bruges til at få folk til at klikke på ting, der giver væk fra følsomme oplysninger 10 stykker oplysninger, der bruges til at stjæle din identitet 10 stykker oplysninger, der bruges til at stjæle din identitet i overensstemmelse med til US Bureau of Justice koster tyveri af identitetstyver ofre over 24 milliarder dollars i 2012, mere end husholdningsindbrud, motor og tyveri af ejendom tilsammen. Disse 10 oplysninger er, hvad tyve ser… .

Nogle andre kreative angreb falder også under paraplyen af ​​clickjacking. For eksempel anvendte et for nylig angreb et stykke malware til at omdirigere brugernes søgninger på Bing, Google og Yahoo til tilpassede (og falske) resultatsider, der var fulde af Google-AdSense-drevne annoncer. Brugere ville klikke på annoncerne i tankerne om, at de var legitime søgeresultater, og angriberen ville få betalt.

Nogle mennesker inkluderer endda social-engineering-angreb i clickjacking; for eksempel tilbage i 2009 gik en tweet rundt på Twitter, der sagde “Klik ikke” og inkluderede et link. Hver gang nogen klikker på linket, ville den samme ting blive tweetet fra deres konto. Lignende teknikker Fem Facebook-trusler, der kan inficere din pc, og hvordan de fungerer Fem Facebook-trusler, der kan inficere din pc, og hvordan de fungerer, er blevet brugt til at sprede penge-genererende links på Facebook.

Clickjacking er dog ikke kun begrænset til websteder og apps, hvor brugere har en mus; det kan også ske på mobile enheder. Et nyligt eksempel er Android.Lockdroid.E, et stykke Android ransomware Malware på Android: De 5 typer, du virkelig har brug for at vide om Malware på Android: De 5 typer, du virkelig har brug for at vide om Malware, kan påvirke både mobile og stationære enheder . Men vær ikke bange: lidt viden og de rigtige forholdsregler kan beskytte dig mod trusler som ransomware og sextortions-svindel. der brugte clickjacking (eller “touchjacking,” hvis du foretrækker) at få administrative rettigheder til målenheden. Og vi har for nylig hørt om sårbarheden Click Clicking for tilgængelighed på Android Hvordan Android Accessibility Services kan bruges til at hacke din telefon Hvordan Android Accessibility Services kan bruges til at hacke din telefon Sikkerhedsforskere har identificeret en sikkerhedssårbarhed i Android's Accessibility Services, som kunne tillade en angriber for at få kontrol over enheden. Lad os se, hvordan du kan forhindre, at dette sker. smartphones og tablets.

Hvad du kan gøre for at forhindre clickjacking

Desværre er der ikke en hel masse, du kan gøre for at forhindre clickjacking, medmindre du er en webstedsadministrator. Langt den mest almindeligt anbefalede metode til at beskytte dig selv, mens du gennemser, er at bruge NoScript, Firefox-tilføjelsen, der forhindrer, at scripts indlæses uden særlig tilladelse fra dig. NoScript har nogle specifikt anti-clickjacking-funktioner, og er virkelig god til at registrere de slags scripts, der skaber gennemsigtige overlays på websteder.

Eventuelle lignende udvidelser, som du kan bruge til at forhindre indlæsning af scripts eller apps Kontroller dit webindhold: Væsentlige udvidelser til blokering af sporing og scripts Kontroller dit webindhold: Væsentlige udvidelser til blokering af sporing og scripts Sandheden er, at der altid er nogen eller noget, der overvåger dit Internetaktivitet og indhold. I sidste ende, jo mindre information vi lader disse grupper have de sikrere vil vi være. vil også give en vis beskyttelse.

De bedste forsvar mod clickjacking skal dog komme fra administratorer af websitet. Mange af forsvaret er temmelig tekniske, og hvis du vil finde ud af nøjagtigt, hvordan du implementerer dem, anbefaler jeg, at du tjekker Clickjacking Defense Cheat Sheet fra OWASP.

En af de bedste måder at gå på for at forhindre clickjacking på dit websted, det skal inkludere en x-frame-option HTTP-header, der forhindrer dit websteds indhold i at blive indlæst i en ramme (tag) eller iframe (tag). Fordi disse ofte bruges som angrebsvektorer - ikke kun til clickjacking, men også til andre trusler - er dette en effektiv måde at afbøde truslen.

Forebyggelse af scripting på tværs af websteder Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel Sikkerhedsproblemer på tværs af websteder er det største sikkerhedsproblem på webstedet i dag. Undersøgelser har fundet, at de er chokerende almindelige - 55% af websteder indeholdt XSS-sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, der blev frigivet i juni… (XSS) vil også hjælpe med at reducere chancerne for et klikjacking-angreb på et websted. Da XSS også bruges til andre angreb, er det en god ide at beskytte imod det alligevel.

For at minimere sandsynligheden for et clickjacking-angreb på din mobile enhed, kan du måske begrænse dig selv til kun at downloade apps fra pålidelige kilder, f.eks. Apple App Store eller Google Play Store. Selvom dette ikke er en garanti for, at du er fri for angreb, er disse apps betydeligt mindre tilbøjelige til at inkludere ondsindet kode end dem, du får fra en tredjepartskilde.

Du kan også undgå at bruge browsere i appen, da dette er et almindeligt sted for at forekomme touchjacking-angreb. Indstil standardadfærd for link-åbning i dine apps til at åbne i systembrowser i stedet for in-app-browser, og du eliminerer endnu en potentiel svaghed i dit forsvar.

En rigtig trussel

Som nævnt før lyder clickjacking som mere af en irritation end en reel trussel mod din sikkerhed, men hvis den bruges effektivt, kan det hjælpe angribere med at stjæle nogle meget vigtige oplysninger eller få adgang til dine online konti, hvor de kan gøre alvorlig skade.

Og mens det meste af forsvaret skal komme bag kulisserne, kan du bruge script-blokerende udvidelser til at forhindre de fleste af disse angreb - hvis du har det godt med at bruge denne slags tilføjelser, da de er en smule kontroversielle AdBlock , NoScript & Ghostery - Trifecta Of Evil AdBlock, NoScript & Ghostery - Trifecta Of Evil I de sidste par måneder er jeg blevet kontaktet af en lang række læsere, der har haft problemer med at downloade vores guider, eller hvorfor de ikke kan se login-knapperne eller kommentarer, der ikke indlæses; og i… .

Kender du til nogen eksempler på storstilet clickjacking-angreb, eller har du været offer for et af disse angreb? Bruger du NoScript eller distribuerer du forsvar på dit eget websted? Del dine tanker nedenfor!

Billedkredit: Mozilla.




Endnu ingen kommentarer

Sådan konverteres et billede med håndskrift til tekst ved hjælp af OCR
Produktivitet
Sådan planlægges smertefrit kalendermøder ved hjælp af Cortana
Produktivitet
Sådan modtages e-mail-svar på en anden adresse
Produktivitet
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.