Διαφήμιση
Όταν πρόκειται για τρόπους που οι χάκερ και οι διανομείς κακόβουλου λογισμικού αποκτούν πρόσβαση στον υπολογιστή σας, υπάρχουν μερικά πράγματα που μιλάνε για πολλά: κοινωνική μηχανική Τι είναι η κοινωνική μηχανική; [Επεξηγήσεις MakeUseOf]Μπορείτε να εγκαταστήσετε το ισχυρότερο και πιο ακριβό τείχος προστασίας της βιομηχανίας. Μπορείτε να εκπαιδεύσετε τους εργαζομένους σχετικά με τις βασικές διαδικασίες ασφαλείας και τη σημασία της επιλογής ισχυρών κωδικών πρόσβασης. Μπορείτε ακόμη και να κλειδώσετε το δωμάτιο server - αλλά πώς ... Διαβάστε περισσότερα , SQL injection Τι είναι μια ένεση SQL; [Επεξηγήσεις MakeUseOf]Ο κόσμος της ασφάλειας του Διαδικτύου μαστίζεται από ανοιχτές θύρες, backdoors, τρύπες ασφαλείας, Trojans, σκουλήκια, τρωτά σημεία τείχους προστασίας και πολλά άλλα θέματα που μας κρατούν όλα στα δάχτυλα των ποδιών μας καθημερινά. Για ιδιωτικούς χρήστες, ... Διαβάστε περισσότερα , Επιθέσεις DDoS Τι είναι μια επίθεση DDoS; [Επεξηγήσεις MakeUseOf]Ο όρος DDoS σφυρίζει το παρελθόν όποτε ο κυβερνο-ακτιβισμός αυξάνει το κεφάλι του μαζικά. Αυτές οι επιθέσεις κάνουν διεθνή πρωτοσέλιδα λόγω πολλών λόγων. Τα θέματα που ξεκινούν αυτές τις επιθέσεις DDoS είναι συχνά αμφιλεγόμενες ή πολύ ... Διαβάστε περισσότερα , και ούτω καθεξής. Αλλά μια επίθεση που δεν μιλάει για τόσο πολύ που είναι εξίσου κακή για τους άλλους clickjacking.
Το clickjacking είναι δύσκολο να ανιχνευθεί, μπορεί να επηρεάσει σχεδόν οποιονδήποτε και να διαδοθεί σε μια μεγάλη ποικιλία λειτουργικών συστημάτων και εφαρμογών. Εδώ είναι τι πρέπει να ξέρετε για το clickjacking, συμπεριλαμβανομένου του τι είναι, του πού θα το δείτε και πώς να προστατευτείτε από αυτό.
Τι είναι το Clickjacking;
Όπως ίσως έχετε συγκεντρώσει από το όνομα, clickjacking είναι η διαδικασία της πειρατείας κλικ ενός χρήστη σε ένα υπολογιστή (μπορεί επίσης να χρησιμοποιηθεί για να καταλάβει τις πληκτρολογήσεις, αλλά το "keystrokejacking" είναι πολύ πιο δύσκολο να λένε). Υπάρχουν διάφοροι τρόποι με τους οποίους μπορεί να γίνει αυτή η διαδικασία, αλλά όλοι έχουν ένα κοινό πράγμα: ένας χρήστης πιστεύει ότι κάνουν κλικ σε ένα πράγμα, όταν στην πραγματικότητα κάνουν κλικ σε κάτι άλλο.
Πολλές επιθέσεις clickjacking περιλαμβάνουν μια διαφανή διεπαφή χρήστη τοποθετημένη πάνω σε μια άλλη διεπαφή που ο χρήστης αναμένει να δει (γι 'αυτό και το όνομα της μεθόδου αυτής είναι "αποκατάσταση UI"). Στη συνέχεια, όταν ο χρήστης σκέφτεται ότι κάνουν κλικ σε κάτι, κάνουν κλικ σε κάτι άλλο που δεν μπορούν να δουν. Μπορεί να νομίζετε ότι κάνετε κλικ σε έναν σύνδεσμο που θα σας υπογράψει για ένα cool ενημερωτικό δελτίο Μάθετε κάτι νέο με 10 ενημερωτικά δελτία ηλεκτρονικού ταχυδρομείουΘα εκπλαγείτε από την ποιότητα των ενημερωτικών δελτίων σήμερα. Κάνουν μια επιστροφή. Εγγραφείτε σε αυτά τα δέκα φανταστικά ενημερωτικά δελτία και μάθετε γιατί. Διαβάστε περισσότερα , όταν κάνετε κλικ σε ένα κουμπί που δίνει πρόσβαση στον ηλεκτρονικό σας λογαριασμό ηλεκτρονικού ταχυδρομείου, για παράδειγμα.
Ένας άλλος τύπος επίθεσης αλλάζει την πραγματική θέση του δρομέα του χρήστη, αλλά αφήνει την οθόνη ανέπαφη, έτσι ώστε ο δρομέας να δείχνει ότι είναι σε ένα μέρος, αλλά είναι στην άλλη. Ακούγεται σαν να ήταν απλά μια μεγάλη ενόχληση, αλλά μπορεί να χρησιμοποιηθεί για να κάνει τους ανθρώπους να κάνουν κλικ σε πράγματα που δίνουν μακριά ευαίσθητες πληροφορίες 10 τεμάχια πληροφοριών που χρησιμοποιούνται για να κλέψουν την ταυτότητά σαςΗ κλοπή ταυτότητας μπορεί να είναι δαπανηρή. Εδώ είναι τα 10 κομμάτια των πληροφοριών που χρειάζεστε για να προστατεύσετε έτσι ώστε η ταυτότητά σας να μην κλαπεί. Διαβάστε περισσότερα .
Ορισμένες άλλες δημιουργικές επιθέσεις πέφτουν κάτω από την ομπρέλα του clickjacking. Για παράδειγμα, μια πρόσφατη επίθεση χρησιμοποίησε ένα κομμάτι κακόβουλου λογισμικού για να ανακατευθύνει τις αναζητήσεις των χρηστών σε Bing, Google και Yahoo σε προσαρμοσμένες (και παραπλανητικές) σελίδες αποτελεσμάτων που ήταν γεμάτες διαφημίσεις που βασίζονταν στο Google-AdSense. Οι χρήστες θα κάνουν κλικ στις διαφημίσεις, θεωρώντας ότι ήταν νόμιμα αποτελέσματα αναζήτησης και οι επιτιθέμενοι θα πληρώνονταν.
Μερικοί άνθρωποι συμπεριλαμβάνουν ακόμα επιθέσεις κοινωνικού-μηχανικού τύπου σε clickjacking. για παράδειγμα, πίσω το 2009, ένα tweet έμενε γύρω από το Twitter που είπε "Μην κάνετε κλικ" και συμπεριέλαβε μια σύνδεση. Κάθε φορά που κάποιος κάνει κλικ στο σύνδεσμο, το ίδιο πράγμα θα γίνει μέσω tweeted από το λογαριασμό του. Παρόμοιες τεχνικές Πέντε απειλές Facebook που μπορούν να μολύνουν τον υπολογιστή σας και πώς λειτουργούν Διαβάστε περισσότερα έχουν χρησιμοποιηθεί για τη διάδοση συνδέσμων που δημιουργούν χρήματα στο Facebook.
Το clickjacking δεν περιορίζεται μόνο σε ιστότοπους και εφαρμογές στις οποίες οι χρήστες έχουν ποντίκι. μπορεί να συμβεί και σε κινητές συσκευές. Ένα πρόσφατο παράδειγμα είναι το Android. Lockroid. Ε, ένα κομμάτι Android ransomware Malware για Android: Οι 5 τύποι που πραγματικά πρέπει να ξέρετε γιαΤο κακόβουλο λογισμικό μπορεί να επηρεάσει τις συσκευές κινητής καθώς και επιτραπέζιων υπολογιστών Αλλά μην φοβάστε: λίγη γνώση και οι σωστές προφυλάξεις μπορούν να σας προστατεύσουν από απειλές όπως απάτες ransomware και sextortion. Διαβάστε περισσότερα που χρησιμοποίησαν clickjacking (ή "touchjacking", αν προτιμάτε) για να αποκτήσετε δικαιώματα διαχειριστή στη συσκευή προορισμού. Και έχουμε πρόσφατα ακούσει για το Προσβασιμότητα Ευπάθεια Clickjacking στο Android Πώς οι υπηρεσίες προσβασιμότητας Android μπορούν να χρησιμοποιηθούν για την απόσπαση του τηλεφώνου σαςΔιάφορα ευπάθειες ασφαλείας εντοπίστηκαν στη σουίτα προσβασιμότητας του Android. Αλλά τι είναι αυτό το λογισμικό χρησιμοποιείται ακόμη και για; Διαβάστε περισσότερα smartphones και δισκία.
Τι μπορείτε να κάνετε για να αποτρέψετε το κλικ
Δυστυχώς, δεν μπορείτε να κάνετε πολλά για να αποφύγετε το clickjacking εκτός εάν είστε διαχειριστής ιστότοπου. Η μακρόχρονη μέθοδος συντήρησης είναι η πιο συνηθισμένη μέθοδος προστασίας από τον εαυτό σας κατά την περιήγησή σας NoScript, το πρόσθετο Firefox που εμποδίζει τη φόρτωση σεναρίων χωρίς ειδική εξουσιοδότηση από το εσείς. Το NoScript διαθέτει κάποιες συγκεκριμένες λειτουργίες κατά του clickjacking και είναι πολύ καλό για την ανίχνευση των ειδών σεναρίων που δημιουργούν διαφανείς επικαλύψεις σε ιστότοπους.
Οποιεσδήποτε παρόμοιες επεκτάσεις μπορείτε να χρησιμοποιήσετε για να αποτρέψετε τη φόρτωση των σεναρίων ή των εφαρμογών Ελέγξτε το περιεχόμενο του ιστού σας: Βασικές επεκτάσεις για να αποκλείσετε την παρακολούθηση και τα σενάριαΗ αλήθεια είναι ότι υπάρχει πάντα κάποιος ή κάτι που παρακολουθεί τη δραστηριότητα και το περιεχόμενο του Internet. Τελικά, τόσο λιγότερες πληροφορίες αφήσαμε αυτές τις ομάδες να έχουν την ασφαλέστερη θα είμαστε. Διαβάστε περισσότερα θα παράσχει επίσης κάποια προστασία.
Οι καλύτερες άμυνες εναντίον του clickjacking, ωστόσο, πρέπει να προέρχονται από τους διαχειριστές ιστότοπων. Πολλές από τις άμυνες είναι μάλλον τεχνικές και, αν θέλετε να μάθετε πώς να τις εφαρμόσετε, συνιστούμε να ελέγξετε το φύλλο εξαπάτησης Clickjacking Defense από το OWASP.
Ένας από τους καλύτερους τρόπους για να αποφύγετε το clickjacking στον ιστότοπό σας, ώστε να περιλαμβάνει μια κεφαλίδα HTTP x-frame-options που εμποδίζει το περιεχόμενο του ιστότοπού σας να φορτωθεί σε ένα πλαίσιο ( ετικέτα) ή iframe (
Πρόληψη δημιουργία σεναρίων μεταξύ ιστοτόπων Τι είναι η διαδικτυακή δέσμη ενεργειών (XSS) και γιατί αποτελεί απειλή για την ασφάλειαΤα τρωτά σημεία δέσμης ενεργειών μεταξύ ιστοτόπων είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστότοπου σήμερα. Μελέτες έχουν διαπιστώσει ότι είναι συγκλονιστικά συχνές - το 55% των ιστότοπων περιείχε ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, η οποία κυκλοφόρησε τον Ιούνιο ... Διαβάστε περισσότερα (XSS) θα συμβάλει επίσης στη μείωση των πιθανών επιθέσεων clickjacking σε έναν ιστότοπο. Επειδή το XSS χρησιμοποιείται επίσης για άλλες επιθέσεις, είναι καλή ιδέα να προστατευτείτε από αυτό ούτως ή άλλως.
Για να ελαχιστοποιήσετε την πιθανότητα μιας επίθεσης clickjacking στην κινητή συσκευή σας, ίσως να θέλετε να περιορίσετε εσείς μόνο να κάνετε λήψη εφαρμογών από αξιόπιστες πηγές, όπως το Apple App Store ή το Google Play Κατάστημα. Παρόλο που αυτό δεν εγγυάται ότι θα είστε ελεύθεροι από επιθέσεις, αυτές οι εφαρμογές είναι πολύ λιγότερο πιθανό να συμπεριλαμβάνουν κακόβουλο κώδικα από αυτές που λαμβάνετε από πηγή τρίτου μέρους.
Επίσης, μπορείτε να αποφύγετε τη χρήση φυλλομετρητή εντός εφαρμογής, καθώς πρόκειται για ένα κοινό σημείο για να εμφανιστούν επιθέσεις touchjacking. Ορίστε την προεπιλεγμένη συμπεριφορά για το άνοιγμα των συνδέσεων στις εφαρμογές σας, για να ανοίξετε στο πρόγραμμα περιήγησης του συστήματος, αντί για το πρόγραμμα περιήγησης εντός εφαρμογής, και θα εξαλείψετε μια ακόμη πιθανή αδυναμία στην υπεράσπισή σας.
Μια πραγματική απειλή
Όπως αναφέρθηκε προηγουμένως, η clickjacking ακούγεται περισσότερο σαν μια ενόχληση από μια πραγματική απειλή για την ασφάλειά σας, αλλά αν χρησιμοποιηθεί αποτελεσματικά, μπορεί να βοηθήσει τους επιτιθέμενους να κλέψουν μερικές πολύ σημαντικές πληροφορίες ή να αποκτήσουν πρόσβαση στους λογαριασμούς σας στο διαδίκτυο, όπου θα μπορούσαν να κάνουν σοβαρά βλάβη.
Και ενώ το μεγαλύτερο μέρος της άμυνας πρέπει να προέλθει από τα παρασκήνια, μπορείτε να χρησιμοποιήσετε δέσμευση δέσμης ενεργειών επεκτάσεις για να αποτρέψετε τις περισσότερες από αυτές τις επιθέσεις - αν είστε εντάξει με τη χρήση αυτών των ειδών πρόσθετων, όπως είναι λίγο αμφιλεγόμενο AdBlock, NoScript & Ghostery - Το Trifecta Of EvilΚατά τη διάρκεια των τελευταίων μηνών, ήρθε σε επαφή με έναν καλό αριθμό αναγνωστών που είχαν προβλήματα κατά τη λήψη των οδηγών μας ή γιατί δεν μπορούν να δουν τα κουμπιά σύνδεσης ή τα σχόλια που δεν φορτώνουν. και στο... Διαβάστε περισσότερα .
Γνωρίζετε τυχόν παραδείγματα κρίσεων clickjacking μεγάλης κλίμακας ή έχετε υποστεί μία από αυτές τις επιθέσεις; Χρησιμοποιείτε το NoScript ή αναπτύσσετε άμυνες στον δικό σας ιστότοπο; Μοιραστείτε τις σκέψεις σας παρακάτω!
Πιστοποίηση εικόνας: Mozilla.
Ο Dann είναι μια στρατηγική περιεχομένου και σύμβουλος μάρκετινγκ που βοηθά τις εταιρείες να δημιουργούν ζήτηση και οδηγεί. Επίσης, blogs σχετικά με τη στρατηγική και το περιεχόμενο μάρκετινγκ στο dannalbright.com.
