Рекламное объявление

Когда речь заходит о том, как хакеры и распространители вредоносного программного обеспечения получают доступ к вашему компьютеру, о некоторых вещах много говорят: социальная инженерия Что такое социальная инженерия? [MakeUseOf Объясняет]Вы можете установить самый сильный и самый дорогой межсетевой экран в отрасли. Вы можете обучить сотрудников основным процедурам безопасности и важности выбора надежных паролей. Вы даже можете заблокировать серверную комнату - но как ... Подробнее , SQL-инъекция Что такое SQL-инъекция? [MakeUseOf Объясняет]Мир интернет-безопасности изобилует открытыми портами, бэкдорами, дырами в безопасности, троянами, червями, уязвимостями брандмауэра и множеством других проблем, которые держат нас всех на ногах каждый день. Для частных пользователей ... Подробнее , DDoS-атаки Что такое DDoS-атака? [MakeUseOf Объясняет]Термин DDoS свистит, когда кибер-активизм поднимает голову в массовом порядке. Подобные атаки попадают в международные заголовки по нескольким причинам. Проблемы, которые запускают эти DDoS-атаки, часто являются спорными или весьма ...

instagram viewer
Подробнее , и так далее. Но одна атака, о которой не говорят так много, такая же гнусная, как и другие, ClickJacking.

Джекджинг трудно обнаружить, он может затронуть практически любого и распространяется на самые разные операционные системы и приложения. Вот что вам нужно знать о клик-джакерстве, в том числе о том, что это такое, где вы его увидите и как защитить себя от этого.

Что такое Clickjacking?

Как вы, возможно, поняли из названия, клик-джеккинг - это процесс захвата клика пользователя по компьютер (он также может быть использован для перехвата нажатий клавиш, но «нажатием клавиш» гораздо сложнее сказать). Есть несколько способов, которыми этот процесс может иметь место, но у всех них есть одна общая черта: пользователь думает, что он нажимает на одну вещь, а в действительности он нажимает на что-то другое.

Многие атаки, связанные с кликбэком, включают прозрачный пользовательский интерфейс, размещенный поверх другого интерфейса, который пользователь ожидает увидеть (именно поэтому «перенаправление интерфейса» - это другое название этого метода). Затем, когда этот пользователь думает, что он нажимает на что-то, он фактически нажимает на что-то еще, что он не может видеть. Вы можете подумать, что нажимаете на ссылку, которая зарегистрирует вас для классная новостная рассылка Узнайте что-то новое с 10 полезными новостными рассылкамиВы будете удивлены качеством рассылки сегодня. Они возвращаются. Подпишитесь на эти десять фантастических рассылок и узнайте почему. Подробнее когда вы фактически нажимаете кнопку, которая дает киберпреступному доступ к вашей учетной записи электронной почты, например.

Другой тип атаки изменяет фактическую позицию курсора пользователя, но оставляет отображение нетронутым, так что курсор выглядит так, как будто он находится в одном месте, но фактически находится в другом. Звучит так, будто это будет большим раздражением, но его можно использовать, чтобы заставить людей нажимать на вещи, которые выдают конфиденциальная информация 10 частей информации, которые используются, чтобы украсть вашу личностьКража личных данных может быть дорогостоящей. Вот 10 частей информации, которые вы должны защитить, чтобы ваша личность не была украдена. Подробнее .

Некоторые другие творческие атаки также попадают под эгиду кликджекинга. Например, недавняя атака использовала вредоносное ПО для перенаправления поисковых запросов пользователей в Bing, Google и Yahoo на настраиваемые (и мошеннические) страницы результатов, которые были заполнены рекламой на основе Google-AdSense. Пользователи нажимали на объявления, думая, что они являются законными результатами поиска, а злоумышленникам платят.

clickjack-прозрачность

Некоторые люди даже включают атаки типа социальной инженерии в клик-джеккинг; например, еще в 2009 году в Твиттере шел твит с надписью «Не нажимай» и со ссылкой. Всякий раз, когда кто-то нажимает на ссылку, то же самое происходит в Твиттере с его аккаунта. Подобные методы Пять угроз Facebook, которые могут заразить ваш компьютер, и как они работают Подробнее были использованы для распространения прибыльных ссылок на Facebook.

Однако Clickjacking не ограничивается веб-сайтами и приложениями, в которых пользователи используют мышь; это также может произойти на мобильных устройствах. Одним из последних примеров является Android. Lockdroid. Е, кусок Android-вымогатель Вредоносные программы на Android: 5 типов, о которых вы действительно должны знатьВредоносное ПО может влиять как на мобильные, так и на настольные устройства. Но не бойтесь: немного знаний и правильные меры предосторожности могут защитить вас от таких угроз, как вымогательство и мошенничество с секстримом. Подробнее в котором использовались клик-джеккинг (или «сенсорный джек-джек», если вы предпочитаете), чтобы получить права администратора на целевое устройство. И мы недавно слышали о Уязвимость ClickJacking в Android Как сервисы доступности Android могут быть использованы для взлома вашего телефонаВ наборе специальных возможностей Android были обнаружены различные уязвимости безопасности. Но для чего вообще используется это программное обеспечение? Подробнее смартфоны и планшеты.

Что вы можете сделать, чтобы предотвратить кликбэк

К сожалению, вы не можете сделать много, чтобы предотвратить кликбэк, если вы не являетесь администратором сайта. Безусловно, наиболее часто рекомендуемый способ защитить себя во время просмотра - использовать NoScript, надстройка Firefox, которая предотвращает загрузку сценариев без специального разрешения вы. В NoScript есть некоторые функции, специально предназначенные для защиты от кликбокса, и он действительно хорош для обнаружения сценариев, которые создают прозрачные наложения на веб-сайтах.

NoScript-светлячок

Любые подобные расширения, которые вы можете использовать для запретить загрузку скриптов или приложений Контролируйте свой веб-контент: необходимые расширения для блокировки отслеживания и сценариевПравда в том, что всегда кто-то или что-то контролирует вашу интернет-активность и контент. В конечном итоге, чем меньше информации мы дадим этим группам, тем безопаснее мы будем. Подробнее также обеспечит некоторую защиту.

Однако лучшая защита от кликджекинга должна исходить от администраторов сайта. Многие из защит являются довольно техническими, и если вы хотите узнать, как именно их реализовать, я рекомендую ознакомиться с Шпаргалкой по защите от Clickjacking от OWASP.

Один из лучших способов предотвращения кликджекинга на вашем сайте - это включить HTTP-заголовок x-frame-options, который предотвращает загрузку содержимого вашего сайта во фрейм ( тег) или iframe (

х-каркасные варианты

предотвращение межсайтовый скриптинг Что такое межсайтовый скриптинг (XSS) и почему это угроза безопасностиУязвимости межсайтового скриптинга являются сегодня самой большой проблемой безопасности сайта. Исследования показали, что они поразительно распространены - 55% веб-сайтов содержали уязвимости XSS в 2011 году, согласно последнему отчету White Hat Security, опубликованному в июне ... Подробнее (XSS) также поможет снизить вероятность нападения с использованием клик-джек на сайте. Поскольку XSS также используется для других атак, в любом случае, это хорошая защита от него.

Чтобы свести к минимуму вероятность атаки с помощью клик-джек на вашем мобильном устройстве, вы можете ограничить самостоятельно загружать приложения только из надежных источников, таких как Apple App Store или Google Play Хранить. Хотя это не является гарантией того, что вы будете свободны от атак, эти приложения с гораздо меньшей вероятностью содержат вредоносный код, чем те, которые вы получаете из сторонних источников.

Вы также можете избежать использования встроенных в приложение браузеров, так как это обычное место для атак с использованием сенсорной атаки. Установите поведение по умолчанию для открытия ссылок в своих приложениях, чтобы оно открывалось в системном браузере вместо браузера в приложении, и вы устраните еще одну потенциальную слабость в своей защите.

Реальная угроза

Как упоминалось ранее, клик-джекджинг звучит как скорее раздражение, чем реальная угроза вашей безопасности, но если оно используется эффективно, это может помочь злоумышленникам украсть очень важную информацию или получить доступ к вашим учетным записям в Интернете, где они могут делать серьезные наносить ущерб.

И хотя большая часть защиты должна исходить из-за кулис, вы можете использовать блокировку сценариев расширения для предотвращения большинства этих атак - если вы согласны с использованием этих видов дополнений, как они несколько спорных AdBlock, NoScript и Ghostery - Trifecta of EvilЗа последние несколько месяцев со мной связалось большое количество читателей, у которых были проблемы с загрузкой наших руководств или почему они не могут видеть кнопки входа или комментарии, не загружаемые; И в... Подробнее .

Знаете ли вы о каких-либо крупномасштабных атаках с использованием «кликджекинга», или вы стали жертвой одной из этих атак? Используете ли вы NoScript или разворачиваете какие-либо средства защиты на своем веб-сайте? Поделитесь своими мыслями ниже!

Кредит изображения: Mozilla.

Данн - консультант по контент-стратегии и маркетингу, который помогает компаниям формировать спрос и вести. Он также ведет блог о стратегии и контент-маркетинге на dannalbright.com.