Annonse

Når det gjelder måter som distributører av hackere og malware får tilgang til datamaskinen din, er det noen ting som blir snakket mye om: samfunnsingeniør Hva er samfunnsingeniør? [MakeUseOf Explains]Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse serverrommet - men hvordan ... Les mer , SQL-injeksjon Hva er en SQL-injeksjon? [MakeUseOf Explains]Verden av Internett-sikkerhet er plaget med åpne porter, bakdører, sikkerhetshull, trojanere, ormer, brannmurproblemer og en rekke andre problemer som holder oss alle på tå hver dag. For private brukere, ... Les mer , DDoS angrep Hva er et DDoS-angrep? [MakeUseOf Explains]Begrepet DDoS plystrer forbi når cyber-aktivisme stiger hodet masse. Denne typen angrep gir internasjonale overskrifter på grunn av flere årsaker. Problemene som starter de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer

instagram viewer
, og så videre. Men ett angrep som ikke blir snakket om så mye som er like ubehagelig som de andre clickjacking.

Clickjacking er vanskelig å oppdage, kan påvirke omtrent hvem som helst og er spredt over et bredt utvalg av operativsystemer og applikasjoner. Dette er hva du trenger å vite om clickjacking, inkludert hva det er, hvor du ser det, og hvordan du kan beskytte deg mot den.

Hva er Clickjacking?

Som du kanskje har samlet fra navnet, er clickjacking prosessen med å kapre en brukers klikk på a datamaskin (den kan også brukes til å kapre tastetrykk, men “tastetrykkjakkering” er mye vanskeligere å si). Det er flere måter denne prosessen kan foregå på, men de har alle en ting til felles: En bruker tror de klikker på en ting, når de i virkeligheten klikker på noe annet.

Mange clickjacking-angrep inkluderer et transparent brukergrensesnitt plassert over et annet grensesnitt som brukeren forventer å se (som er grunnen til at "UI redressing" er et annet navn på denne metoden). Når brukeren tror at de klikker på noe, klikker de faktisk på noe annet de ikke kan se. Du tror kanskje du klikker på en lenke som vil registrere deg for en kult nyhetsbrev Lær noe nytt med 10 nyhetsbrev som er verdt detDu vil bli overrasket over kvaliteten på nyhetsbrev i dag. De gjør comeback. Abonner på disse ti fantastiske nyhetsbrevene og finn ut hvorfor. Les mer , når du faktisk klikker på en knapp som gir en nettkriminell tilgang til e-postkontoen din, for eksempel.

En annen type angrep endrer den faktiske plasseringen til brukerens markør, men lar skjermen være uberørt, slik at markøren ser ut som om den er på ett sted, men faktisk er på et annet. Høres ut som det bare ville være et stort irritasjonsmoment, men det kan brukes til å få folk til å klikke på ting som gir bort sensitiv informasjon 10 stykker informasjon som brukes til å stjele identiteten dinIdentitetstyveri kan være kostbart. Her er de 10 opplysningene du trenger for å beskytte slik at identiteten din ikke blir stjålet. Les mer .

Noen andre kreative angrep faller også under paraplyen av clickjacking. Et nylig angrep brukte for eksempel et stykke malware for å omdirigere brukernes søk på Bing, Google og Yahoo til tilpassede (og uredelige) resultatsider som var fulle av Google-AdSense-drevne annonser. Brukere klikket på annonsene og trodde de var legitime søkeresultater, og angriperne ville få betalt.

clickjack-åpenhet

Noen mennesker inkluderer til og med angrep fra sosialteknisk art i clickjacking; for eksempel tilbake i 2009, gikk en tweet rundt Twitter som sa "Ikke klikk" og inkluderte en lenke. Hver gang noen klikket på lenken, ville den samme tweetet fra kontoen deres. Lignende teknikker Fem Facebook-trusler som kan infisere datamaskinen din, og hvordan de fungerer Les mer har blitt brukt til å spre pengegenererende lenker på Facebook.

Clickjacking er ikke bare begrenset til nettsteder og apper der brukere har mus. det kan også skje på mobile enheter. Et nylig eksempel er Android. Lockdroid. E, et stykke av Android ransomware Malware på Android: De fem typene du virkelig trenger å vite omMalware kan påvirke så vel mobile som stasjonære enheter. Men vær ikke redd: litt kunnskap og de riktige forholdsreglene kan beskytte deg mot trusler som løsepenger og sextortions-svindel. Les mer som brukte clickjacking (eller “touchjacking,” hvis du foretrekker det) for å få administrative rettigheter til målenheten. Og vi har nylig hørt om Sikkerhetsproblem i Clickjacking på Android Hvordan Android-tilgjengelighetstjenester kan brukes til å hacke telefonen dinUlike sikkerhetsproblemer er funnet i Android's Accessibility-pakke. Men hva er denne programvaren til og med brukt til? Les mer smarttelefoner og nettbrett.

Hva du kan gjøre for å forhindre clickjacking

Dessverre er det ikke mye du kan gjøre for å forhindre clickjacking med mindre du er en administrator av nettstedet. Den desidert mest anbefalte metoden for å beskytte deg selv mens du surfer er å bruke NoScript, Firefox-tillegget som forhindrer at skript lastes inn uten spesifikk autorisasjon fra du. NoScript har noen spesifikt anti-clickjacking-funksjoner, og er virkelig flinke til å oppdage hvilke typer skript som lager transparente overlegg på nettsteder.

noscript-firefox

Eventuelle lignende utvidelser som du kan bruke til forhindrer at skripter eller apper lastes inn Kontroller nettinnholdet ditt: Viktige utvidelser for å spore sporing og skriptSannheten er at det alltid er noen eller noe som overvåker din internettaktivitet og innhold. Til syvende og sist, jo mindre informasjon lar vi disse gruppene ha tryggere. Les mer vil også gi en viss beskyttelse.

De beste forsvarene mot clickjacking må imidlertid komme fra administratorer av nettstedet. Mange av forsvaret er ganske tekniske, og hvis du vil finne ut nøyaktig hvordan du skal implementere dem, anbefaler jeg å sjekke ut Clickjacking Defense Cheat Sheet fra OWASP.

En av de beste måtene å forhindre clickjacking på nettstedet ditt for å inkludere en HTTP-header for x-frame-alternativer som forhindrer at innholdet på nettstedet ditt lastes inn i en ramme ( tag) eller iframe (

x-frame-alternativer

Forhindre cross-site scripting Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetstrusselSikkerhetssvagheter på tvers av nettsteder er det største sikkerhetsproblemet på nettstedet i dag. Studier har funnet at de er sjokkerende vanlige - 55% av nettstedene inneholdt XSS-sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni ... Les mer (XSS) vil også bidra til å redusere sjansene for et clickjacking-angrep på et nettsted. Fordi XSS også brukes til andre angrep, er det lurt å beskytte mot det uansett.

For å minimere sannsynligheten for et klikkjackangrep på mobilenheten din, kan det være lurt å begrense deg selv til bare å laste ned apper fra pålitelige kilder, for eksempel Apple App Store eller Google Play Butikk. Selv om dette ikke er en garanti for at du vil være fri fra angrep, er det betydelig mindre sannsynlig at disse appene inkluderer skadelig kode enn de du får fra en tredjepartskilde.

Du kan også unngå å bruke nettlesere i appen, da dette er et vanlig sted for angrep på berøringsjakker. Angi standardoppførselen for at lenkeåpningen i appene dine skal åpne i systemleseren, i stedet for i nettleseren i appen, og du vil eliminere en potensiell svakhet i forsvaret ditt.

En virkelig trussel

Som nevnt tidligere høres clickjacking ut som mer irriterende enn en virkelig trussel mot sikkerheten din, men hvis den brukes effektivt, Det kan hjelpe angripere med å stjele veldig viktig informasjon eller få tilgang til online-kontoene dine, der de kan gjøre alvor skader.

Og mens det meste av forsvaret må komme bak kulissene, kan du bruke skriptblokkering utvidelser for å forhindre de fleste av disse angrepene - hvis du har det bra med å bruke denne typen tillegg, som de er litt kontroversiell AdBlock, NoScript & Ghostery - Trifecta Of EvilI løpet av de siste månedene har jeg blitt kontaktet av en god del lesere som har hatt problemer med å laste ned guidene våre, eller hvorfor de ikke kan se påloggingsknappene eller kommentarene ikke lastes inn. og i... Les mer .

Vet du om noen eksempler på storskala clickjacking-angrep, eller har du vært offer for et av disse angrepene? Bruker du NoScript eller distribuerer du noen forsvar på ditt eget nettsted? Del tankene dine nedenfor!

Bildekreditt: Mozilla.

Dann er en innholdsstrategi og markedskonsulent som hjelper bedrifter med å generere etterspørsel og potensielle kunder. Han blogger også om strategi og innholdsmarkedsføring på dannalbright.com.