Reklame

Når det kommer til måder, hvor hackere og malware-distributører får adgang til din computer, er der nogle ting, der bliver talt meget om: social engineering Hvad er social teknik? [MakeUseOf Explains]Du kan installere branchens stærkeste og dyreste firewall. Du kan uddanne medarbejdere om grundlæggende sikkerhedsprocedurer og vigtigheden af ​​at vælge stærke adgangskoder. Du kan endda låse serverrummet - men hvordan ... Læs mere , SQL-injektion Hvad er en SQL-injektion? [MakeUseOf Explains]Verden af ​​internetsikkerhed er plaget med åbne havne, bagdøre, sikkerhedshuller, trojanere, orme, firewall sårbarheder og en række andre problemer, der holder os alle på tæerne hver dag. For private brugere, ... Læs mere , DDoS angreb Hvad er et DDoS-angreb? [MakeUseOf Explains]Udtrykket DDoS fløjter forbi, når cyberaktivisme stiger hovedet masse. Denne form for angreb giver internationale overskrifter på grund af flere grunde. De spørgsmål, der starter disse DDoS-angreb, er ofte kontroversielle eller meget ... Læs mere

instagram viewer
, og så videre. Men et angreb, der ikke bliver talt om så meget, der er lige så ubehageligt som de andre clickjacking.

Clickjacking er vanskeligt at opdage, kan påvirke næsten nogen og er spredt over en lang række operativsystemer og applikationer. Her er hvad du har brug for at vide om clickjacking, herunder hvad det er, hvor du ser det, og hvordan du beskytter dig mod det.

Hvad er Clickjacking?

Som du måske har samlet fra navnet, er clickjacking processen med at kapre en brugers klik på en computer (det kan også bruges til at kapre tastetryk, men “keystrokejacking” er meget sværere at sige). Der er en række måder, denne proces kan finde sted på, men de har alle én ting til fælles: en bruger mener, at de klikker på en ting, når de i virkeligheden klikker på noget andet.

Mange clickjacking-angreb inkluderer en gennemsigtig brugergrænseflade placeret over en anden grænseflade, som brugeren forventer at se (hvilket er grunden til at "UI redressing" er et andet navn på denne metode). Når brugeren derefter tror, ​​at de klikker på noget, klikker de faktisk på noget andet, som de ikke kan se. Du tror måske, at du klikker på et link, der vil tilmelde dig en cool nyhedsbrev Lær noget nyt med 10 nyhedsbreve, der er værd at detDu vil blive overrasket over kvaliteten af ​​nyhedsbreve i dag. De laver comeback. Abonner på disse ti fantastiske nyhedsbreve, og find ud af hvorfor. Læs mere , når du faktisk klikker på en knap, der giver en cyberkriminel adgang til din e-mail-konto, f.eks.

En anden type angreb ændrer den faktiske placering af brugerens markør, men lader skærmen være uberørt, så markøren ser ud som om den er på et sted, men faktisk er på et andet. Det lyder som om det bare ville være en stor irritation, men det kan bruges til at få folk til at klikke på ting, der giver væk følsom information 10 stykker information, der bruges til at stjæle din identitetIdentitetstyveri kan være dyrt. Her er de 10 oplysninger, du har brug for for at beskytte, så din identitet ikke bliver stjålet. Læs mere .

Nogle andre kreative angreb falder også under paraplyen af ​​clickjacking. For eksempel anvendte et for nylig angreb et stykke malware til at omdirigere brugernes søgninger på Bing, Google og Yahoo til tilpassede (og falske) resultatsider, der var fulde af Google-AdSense-drevne annoncer. Brugere ville klikke på annoncerne og troede, at de var legitime søgeresultater, og angriberen ville få betalt.

clickjack-gennemsigtighed

Nogle mennesker inkluderer endda social-engineering-angreb i clickjacking; for eksempel tilbage i 2009 gik en tweet rundt på Twitter, der sagde “Don’t Click” og inkluderede et link. Hver gang nogen klikker på linket, ville den samme ting blive tweetet fra deres konto. Lignende teknikker Fem Facebook-trusler, der kan inficere din pc, og hvordan de fungerer Læs mere er blevet brugt til at sprede penge-genererende links på Facebook.

Clickjacking er dog ikke kun begrænset til websteder og apps, hvor brugere har en mus; det kan også ske på mobile enheder. Et nyligt eksempel er Android. Lockdroid. E, et stykke af Android løseprogram Malware på Android: De 5 typer, du virkelig har brug for at vide omMalware kan påvirke såvel mobile som desktop-enheder. Men vær ikke bange: lidt viden og de rigtige forholdsregler kan beskytte dig mod trusler som ransomware og sextortions-svindel. Læs mere der brugte clickjacking (eller “touchjacking,” hvis du foretrækker det) for at få administrative rettigheder til målenheden. Og vi har for nylig hørt om Tilgængelighed Clickjacking sårbarhed på Android Hvordan Android-tilgængelighedstjenester kan bruges til at hacke din telefonDer er fundet forskellige sikkerhedssårbarheder i Android's Accessibility-pakke. Men hvad bruges denne software endda til? Læs mere smartphones og tablets.

Hvad du kan gøre for at forhindre clickjacking

Desværre er der ikke en hel masse, du kan gøre for at forhindre clickjacking, medmindre du er en webstedsadministrator. Langt den mest almindeligt anbefalede metode til at beskytte dig selv, mens du gennemser, er at bruge NoScript, Firefox-tilføjelsen, der forhindrer indlæsning af scripts uden særlig tilladelse fra du. NoScript har nogle specifikt anti-clickjacking-funktioner, og er virkelig god til at registrere de slags scripts, der skaber gennemsigtige overlays på websteder.

noscript-firefox

Alle lignende udvidelser, som du kan bruge til forhindre scripts eller apps i at indlæse Kontroller dit webindhold: Væsentlige udvidelser til blokering af sporing og scriptsSandheden er, at der altid er nogen eller noget, der overvåger din internetaktivitet og indhold. I sidste ende, jo mindre information vi lader disse grupper have de sikrere vil vi være. Læs mere vil også give en vis beskyttelse.

De bedste forsvar mod clickjacking er dog nødt til at komme fra administratorer af websitet. Mange af forsvaret er temmelig tekniske, og hvis du vil finde ud af nøjagtigt, hvordan du implementerer dem, anbefaler jeg, at du tjekker Clickjacking Defense Cheat Sheet fra OWASP.

En af de bedste måder at forhindre clickjacking på dit websted, det inkluderer en HTTP-header med x-frame-indstillinger, der forhindrer dit websteds indhold i at blive indlæst i en ramme ( tag) eller iframe (

X-frame-optioner

Forebyggelse cross-site scripting Hvad er cross-site scripting (XSS) og hvorfor det er en sikkerhedstrusselSårbarheder på tværs af scripting er det største sikkerhedsproblem på webstedet i dag. Undersøgelser har fundet, at de er chokerende almindelige - 55% af websteder indeholdt XSS-sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, der blev frigivet i juni ... Læs mere (XSS) vil også hjælpe med at reducere chancerne for et clickjacking-angreb på et websted. Da XSS også bruges til andre angreb, er det en god ide at beskytte imod det alligevel.

For at minimere sandsynligheden for et clickjacking-angreb på din mobile enhed, ønsker du måske at begrænse dig selv til kun at downloade apps fra pålidelige kilder, f.eks. Apple App Store eller Google Play Butik. Selvom dette ikke er en garanti for, at du er fri for angreb, er disse apps betydeligt mindre tilbøjelige til at inkludere ondsindet kode end dem, du får fra en tredjepartskilde.

Du kan også undgå at bruge browsere i appen, da dette er et almindeligt sted, hvor touchjacking-angreb kan forekomme. Indstil standardopførsel for link-åbning i dine apps til at åbne i systembrowser i stedet for in-app-browser, og du vil fjerne en yderligere potentiel svaghed i dit forsvar.

En rigtig trussel

Som tidligere nævnt lyder clickjacking som mere af en irritation end en reel trussel mod din sikkerhed, men hvis den bruges effektivt, det kan hjælpe angribere med at stjæle nogle meget vigtige oplysninger eller få adgang til dine online konti, hvor de kunne gøre alvor skade.

Og mens det meste af forsvaret skal komme bag kulisserne, kan du bruge script-blokering udvidelser til at forhindre de fleste af disse angreb - hvis du har det godt med at bruge denne slags tilføjelser, som de er lidt kontroversielt AdBlock, NoScript & Ghostery - Trifecta Of EvilI løbet af de sidste par måneder er jeg blevet kontaktet af en lang række læsere, der har haft problemer med at downloade vores guider, eller hvorfor de ikke kan se login-knapperne eller kommentarerne ikke indlæses; og i... Læs mere .

Kender du til nogen eksempler på store jackjack-angreb i stor skala, eller har du været offer for et af disse angreb? Bruger du NoScript eller distribuerer du forsvar på dit eget websted? Del dine tanker nedenfor!

Billedkredit: Mozilla.

Dann er en indholdsstrategi og marketingkonsulent, der hjælper virksomheder med at skabe efterspørgsel og kundeemner. Han blogger også om strategi og indholdsmarkedsføring på dannalbright.com.