Reklama
Pokiaľ ide o spôsoby, akými hackeri a distribútori škodlivého softvéru získavajú prístup k vášmu počítaču, je tu veľa vecí, o ktorých sa veľa hovorí: sociálne inžinierstvo Čo je sociálne inžinierstvo? [MakeUseOf vysvetľuje]Môžete nainštalovať najsilnejší a najdrahší firewall tohto odvetvia. Môžete vzdelávať zamestnancov o základných bezpečnostných postupoch a dôležitosti výberu silných hesiel. Môžete dokonca uzamknúť serverovňu - ale ako ... Čítaj viac , SQL vstrekovanie Čo je to injekcia SQL? [MakeUseOf vysvetľuje]Svet bezpečnosti internetu sužujú otvorené porty, zadné vrátka, bezpečnostné diery, trójske kone, červy, zraniteľné miesta v bráne firewall a množstvo ďalších problémov, ktoré nás každý deň držia na nohách. Pre súkromných používateľov ... Čítaj viac , Útoky DDoS Čo je DDoS Attack? [MakeUseOf vysvetľuje]Termín DDoS zapíska minulosť vždy, keď kybernetický aktivizmus chová hromadne hlavu. Tento druh útokov robí medzinárodné titulky z viacerých dôvodov. Problémy, ktoré naštartujú tieto útoky DDoS, sú často kontroverzné alebo veľmi ... Čítaj viac
, a tak ďalej. Ale jeden útok, o ktorom sa nehovorí toľko, že je rovnako krutý ako ostatní clickjackingu.Clickjacking je ťažké odhaliť, môže ovplyvniť takmer každého a je rozšírený v širokej škále operačných systémov a aplikácií. Tu je to, čo potrebujete vedieť o klikaní, vrátane toho, čo to je, kde to uvidíte a ako sa proti tomu chrániť.
Čo je to Clickjacking?
Ako ste sa možno zozbierali z názvu, kliknutie na server je proces, ktorým používateľ unesie kliknutie na ikonu a počítač (dá sa použiť aj na únos klávesových skratiek, ale „stlačenie klávesov“ je oveľa ťažšie povedať). Tento proces sa môže uskutočniť niekoľkými spôsobmi, ale všetci majú jednu spoločnú vec: používateľ si myslí, že klikne na jednu vec, keď v skutočnosti klikne na niečo iné.
Mnoho útokov na kliknutie zahŕňa priehľadné užívateľské rozhranie umiestnené nad iným rozhraním, ktoré používateľ očakáva, a preto je pre túto metódu iný názov „náprava používateľského rozhrania“. Keď si potom používateľ myslí, že na niečo kliká, skutočne klikne na niečo iné, čo nevidí. Môžete si myslieť, že klikáte na odkaz, ktorý vás zaregistruje skvelý informačný bulletin Naučte sa niečo nové s 10 hodnotnými e-mailovými spravodajcamiDnes budete prekvapení kvalitou spravodajcov. Robia návrat. Prihláste sa na odber týchto desiatich fantastických spravodajcov a zistite prečo. Čítaj viac , keď skutočne klikáte na tlačidlo, ktoré napríklad poskytuje kybernetickému trestnému prístupu prístup k vášmu e-mailovému účtu.
Iný typ útoku mení skutočnú polohu kurzora používateľa, ale ponecháva displej nedotknutý, takže kurzor vyzerá, že je na jednom mieste, ale je skutočne na inom mieste. Znie to, že by to bola len veľká obťažnosť, ale dá sa použiť na to, aby ľudia klikali na veci, ktoré rozdávajú citlivé informácie 10 častí informácií, ktoré sa používajú na odcudzenie vašej identityKrádež identity môže byť nákladná. Tu je 10 informácií, ktoré musíte chrániť, aby nedošlo k odcudzeniu vašej identity. Čítaj viac .
Niektoré ďalšie kreatívne útoky tiež spadajú pod zastrešenie clickjackingu. Nedávny útok napríklad použil časť škodlivého softvéru na presmerovanie vyhľadávaní používateľov na stránkach Bing, Google a Yahoo na prispôsobené (a podvodné) stránky s výsledkami, ktoré boli plné reklám poháňaných Google-AdSense. Používatelia by klikali na reklamy a mysleli si, že sú legitímnymi výsledkami vyhľadávania a útočníci by dostali zaplatené.
Niektorí ľudia dokonca zahrnujú útoky typu sociálneho inžinierstva do clickjackingu; napríklad už v roku 2009 obchádzal Twitter Twitter, ktorý povedal „Neklikajte“ a obsahoval odkaz. Zakaždým, keď niekto klikol na odkaz, z jeho účtu by bolo odvedené to isté. Podobné techniky Päť hrozieb na Facebooku, ktoré môžu infikovať váš počítač a ako fungujú Čítaj viac boli použité na šírenie peňazí generujúcich odkazy na Facebooku.
Clickjacking sa neobmedzuje iba na webové stránky a aplikácie, na ktorých majú používatelia myš; môže sa to stať aj na mobilných zariadeniach. Jedným z posledných príkladov je Android. Lockdroid. E, kúsok Ransomware pre Android Škodlivý softvér v systéme Android: 5 typov, o ktorých naozaj potrebujete vedieťŠkodlivý softvér môže ovplyvniť mobilné aj stolné zariadenia. Ale nebojte sa: trochu vedomostí a správnych opatrení vás môže ochrániť pred hrozbami, ako sú podvody typu ransomware a sextorizácia. Čítaj viac ktorý používal kliknutie (alebo „dotykové spojenie“, ak uprednostňujete) na získanie práv na správu cieľového zariadenia. A my sme nedávno počuli o Zjednodušenie ovládania Zraniteľnosť Clickjacking v systéme Android Ako sa dajú služby prístupu Android použiť na hacknutie telefónuV balíku Android Accessibility Suite boli nájdené rôzne chyby zabezpečenia. Ale na čo sa tento softvér používa? Čítaj viac smartfóny a tablety.
Čo môžete urobiť, aby ste zabránili klikaniu
Bohužiaľ, nie je toho veľa, čím by ste zabránili kliknutiu, pokiaľ nie ste správcom webových stránok. Zďaleka najbežnejšie odporúčaným spôsobom ochrany sa počas prehliadania je použitie NoScript, doplnok Firefox, ktorý zabraňuje načítavaniu skriptov bez osobitnej autorizácie vy. NoScript má niektoré špecificky anti-clickjackingové funkcie a je skutočne dobrý v detekcii druhov skriptov, ktoré vytvárajú na weboch priehľadné prekrytia.
Akékoľvek podobné rozšírenia, ktoré môžete použiť zabrániť načítaniu skriptov alebo aplikácií Ovládajte svoj webový obsah: Základné rozšírenia na blokovanie sledovania a skriptovPravda je, že vašu aktivitu a obsah na internete monitoruje vždy niekto alebo niečo. Nakoniec, čím menej informácií poskytneme týmto skupinám, tým bezpečnejšie budeme. Čítaj viac poskytne aj určitú ochranu.
Najlepšia obrana proti klikaniu však musí pochádzať od správcov webu. Mnohé z obranných opatrení sú skôr technické a ak ich chcete zistiť presne, ako ich implementovať, odporúčam vyskúšať Clickjacking Defense Cheat Sheet od OWASP.
Jedným z najlepších spôsobov, ako zabrániť tomu, aby sa na vaše stránky klikanie kliklo, je zahrnúť hlavičku protokolu HTTP s možnosťou x-frame, ktorá zabráni načítaniu obsahu vašich stránok do rámca ( značka) alebo iframe (
predchádzať skriptovanie na viacerých stránkach Čo je skriptovanie medzi servermi (XSS) a prečo je to bezpečnostná hrozbaSlabiny skriptovania na viacerých stránkach sú najväčším problémom zabezpečenia webových stránok v súčasnosti. Štúdie zistili, že sú otrasne bežné - podľa najnovšej správy White Hat Security, ktorá bola vydaná v júni..., 55% webových stránok obsahovalo zraniteľné miesta XSS v roku 2011 ... Čítaj viac (XSS) tiež pomôže znížiť pravdepodobnosť útoku na kliknutie na webe. Pretože sa služba XSS používa aj na iné útoky, je dobré ju pred ňou chrániť.
Ak chcete minimalizovať pravdepodobnosť útoku na kliknutie na vašom mobilnom zariadení, možno budete chcieť obmedziť sami sťahujete iba aplikácie z dôveryhodných zdrojov, napríklad z obchodu Apple App Store alebo Google Play Store. Aj keď nejde o záruku, že nebudete mať útoky, je pravdepodobné, že tieto aplikácie budú obsahovať škodlivý kód, ako tie, ktoré dostanete zo zdroja tretej strany.
Môžete sa tiež vyhnúť používaniu prehliadačov v aplikáciách, pretože toto je bežné miesto, kde sa môžu vyskytnúť útoky pomocou dotyku. Nastavte predvolené správanie pri otváraní odkazov vo vašich aplikáciách, ktoré sa majú otvárať v systémovom prehliadači, a nie v prehliadači v aplikácii, a vylúčite jednu ďalšiu potenciálnu slabinu v obrane.
Skutočná hrozba
Ako už bolo spomenuté, kliknutie znie skôr ako nepríjemnosť, než ako skutočná hrozba pre vašu bezpečnosť. Ak sa však používa efektívne, môže pomôcť útočníkom ukradnúť niektoré veľmi dôležité informácie alebo získať prístup k vašim online účtom, ak by to mohli urobiť vážne poškodiť.
A zatiaľ čo väčšina obrany musí vychádzať zo zákulisia, môžete použiť blokovanie skriptov rozšírenia, ktoré zabránia väčšine týchto útokov - ak ste v poriadku s používaním týchto doplnkov, ako sú sú trochu kontroverzné AdBlock, NoScript a Ghostery - The Trifecta Of EvilV posledných mesiacoch ma kontaktovalo veľké množstvo čitateľov, ktorí mali problémy so sťahovaním našich sprievodcov alebo prečo nevidia načítanie prihlasovacích tlačidiel alebo komentárov; av ... Čítaj viac .
Poznáte nejaké príklady rozsiahlych clickjackových útokov alebo ste sa stali obeťou jedného z týchto útokov? Používate NoScript alebo nasadzujete obranu na svoju vlastnú webovú stránku? Podeľte sa o svoje myšlienky nižšie!
Obrázkový kredit: Mozilla.
Dann je konzultant pre obsahovú stratégiu a marketing, ktorý pomáha spoločnostiam vytvárať dopyt a vedie. Blogy venoval aj stratégii a marketingu obsahu na stránke dannalbright.com.