Hirdetés

Ha a hackerek és a rosszindulatú szoftverek forgalmazói hozzáférnek a számítógépéhez, van néhány olyan dolog, amelyekről sokat beszélnek: szociális tervezés Mi a szociális mérnöki munka? [MakeUseOf magyarázat]Telepítheti az iparág legerősebb és legdrágább tűzfalat. Oktathatja az alkalmazottakat az alapvető biztonsági eljárásokról és az erős jelszavak kiválasztásának fontosságáról. A szerverhelyiséget akár bezárhatja - de hogyan ... Olvass tovább , SQL injekció Mi az SQL befecskendezés? [MakeUseOf magyarázat]Az internetbiztonság világa nyitott portokkal, hátsó ajtókkal, biztonsági lyukakkal, trójaiakkal, férgekkel, tűzfal sérülékenységgel és számos egyéb kérdéssel sújt, amelyek minden nap lábujjainkat tartják. Magán felhasználók számára, ... Olvass tovább , DDoS támadások Mi a DDoS Attack? [MakeUseOf magyarázat]A DDoS kifejezés sípszik, amikor a kiber-aktivista a masszívre kelti a fejét. Az ilyen típusú támadások több oka miatt is nemzetközi címsorokká válnak. A DDoS támadások elindításával kapcsolatos kérdések gyakran ellentmondásosak vagy erősen ... Olvass tovább

, stb. De egy támadásról, amelyről nem annyira beszélnek, hogy ugyanolyan ártalmas, mint a többiek clickjacking.

A kattintást nehéz felismerni, szinte bárkit érinthet, és számos operációs rendszerben és alkalmazásban elterjedt. Íme, amit tudnia kell a kattintásos játékról, beleértve azt is, hogy mi van, hol láthatja, és hogyan védheti meg magát a kattintással.

Mi a Clickjacking?

Mint valószínűleg a névből gyűjtötték, a clickjacking a felhasználó kattintásának eltérítése számítógép (fel lehet használni a billentyűleütések eltérítésére is, de a „keystrokejacking” sokkal nehezebb mond). Számos módja van ennek a folyamatnak a végrehajtására, de mindegyikben van egy közös dolog: a felhasználó úgy gondolja, hogy egy dologra kattint, amikor a valóságban valami másra kattint.

Számos kattintásszög-támadás tartalmaz egy átlátszó felhasználói felületet, amely egy másik felület felett helyezkedik el, amelyet a felhasználó vár (ezért az „UI redressing” egy másik neve ennek a módszernek). Ezután, amikor a felhasználó úgy gondolja, hogy valamire kattint, valójában valami másra kattint, amelyet nem látnak. Azt gondolhatja, hogy egy linkre kattint, amely feliratkozik a jó hírlevél Tanuljon valami újat 10 érdemes e-mail hírlevelünkkelMeglepni fogja a mai hírlevelek minősége. Visszatérnek. Iratkozzon fel a tíz fantasztikus hírlevélre, és megtudhatja, miért. Olvass tovább , amikor ténylegesen rákattint egy gombra, amely például számítógépes bűncselekményhez fér hozzá az e-mail fiókjához.

Egy másik típusú támadás megváltoztatja a felhasználó kurzorának tényleges helyzetét, de a képernyőt nem érinti, így a kurzor úgy néz ki, mintha egy helyen lenne, de valójában egy másikban van. Úgy tűnik, hogy ez csak egy nagy bosszantás, de felhasználható arra, hogy az embereket rákattintják az adományokra érzékeny információ 10 darab információ, amelyet személyazonosságod ellopására használnakA személyazonosság-lopás költséges lehet. Íme a 10 olyan információ, amelyet meg kell védenie, hogy személyazonosságát nem lopják el. Olvass tovább .

Néhány más kreatív támadás szintén a clickjacking égisze alatt áll. Például egy nemrégiben elkövetett támadás egy darab rosszindulatú szoftvert használt a felhasználói keresések átirányításához a Bing, a Google és a Yahoo webhelyen a testreszabott (és csaló) eredményoldalra, amely tele volt a Google-AdSense által támogatott hirdetésekkel. A felhasználók rákattintottak a hirdetésekre, azt gondolva, hogy jogszerű keresési eredmények, és a támadók fizetnek.

clickjack az átláthatóság

Vannak, akik társadalmi-mérnöki típusú támadásokat is belefoglalnak a kattintásba; Például, 2009-ben egy Twitter környékén egy tweet lépett fel, amely felszólította a „Ne kattintson” elemet, és tartalmaz egy linket. Ha valaki rákattint a linkre, ugyanaz lesz a hangja a fiókjukból. Hasonló technikák Öt Facebook-fenyegetés, amely megfertőzheti a számítógépet, és hogyan működnek Olvass tovább felhasználták a pénztermelő linkek terjesztésére a Facebookon.

A kattintással történő feltörés nem csupán azokra a webhelyekre és alkalmazásokra korlátozódik, amelyekben a felhasználók egérrel rendelkeznek; ez megtörténhet mobil eszközökön is. Az egyik legújabb példa az Android. Lockdroid. E, egy darab Android ransomware Malware az Androidon: Az 5 típus, amelyekről valóban tudnia kellA rosszindulatú programok befolyásolhatják a mobil és az asztali eszközöket is. De ne félj: egy kis tudás és a megfelelő óvintézkedések megvédhetnek a fenyegetésektől, mint például a ransomware és a szexuális csalások. Olvass tovább amely a clickjacking-et (vagy ha úgy tette, ha „touchjacking” -et használ) adminisztrátori jogokat szerez a céleszközre. És nemrég hallottunk erről Kisegítő lehetőségek A Clickjacking biztonsági rése az Android rendszeren Hogyan lehet az Android akadálymentesség-szolgáltatásait felhasználni a telefon feltöréséreAz Android akadálymentesség-csomagjában különféle biztonsági réseket találtak. De mire is használják ezt a szoftvert? Olvass tovább okostelefonok és táblagépek.

Mit tehetsz a kattintásos út megakadályozása érdekében?

Sajnos nincs sok minden, amit megtehetsz a kattintásos játék megakadályozása érdekében, hacsak Ön nem egy webhely rendszergazda. A böngészés során messze a leggyakrabban ajánlott módszer a védelemre NoScript, a Firefox kiegészítő, amely megakadályozza a szkriptek betöltését speciális engedély nélkül te. A NoScript rendelkezik néhány kifejezetten kattintás elleni funkcióval, és valóban jól érzékeli azokat a szkripteket, amelyek átlátható átfedéseket hoznak létre a webhelyeken.

noscript-firefox

Bármely hasonló kiterjesztés, amelyhez felhasználhatja megakadályozhatja a szkriptek vagy alkalmazások betöltését Kezelje webtartalmát: A blokkkövetés és a szkriptek alapvető kiterjesztéseiAz igazság az, hogy mindig van valaki vagy valaki, aki figyeli az internetes tevékenységeit és tartalmát. Végül minél kevesebb információt adunk ezeknek a csoportoknak, annál biztonságosabbak leszünk. Olvass tovább szintén biztosít védelmet.

A kattintások elleni legjobb védekezésnek azonban a webhely adminisztrátorainak kell származniuk. Sok védekezés meglehetősen technikai jellegű, és ha pontosan meg akarja tudni, hogyan kell ezeket megvalósítani, azt javaslom, hogy ellenőrizze a Clickjacking Defense Cheat Sheet oldalt az OWASP-től.

Az egyik legjobb módja annak, hogy megakadályozzák webhelyén a kattintást, és tartalmaznak egy x-frame-options HTTP fejlécet, amely megakadályozza, hogy webhelye tartalma kereteken legyen betöltve ( tag) vagy iframe (

X-frame-opciók

megelőzése webhelyek közötti szkriptek Mi az a helyszíni szkriptek (XSS), és miért ez a veszély?A legtöbb webhely-biztonsági probléma manapság a webhelyek közötti szkriptek sérülékenysége. A tanulmányok szerint sokkolóan általánosak - a White Hat Security legfrissebb, júniusban kiadott jelentése szerint a webhelyek 55% -a tartalmazott XSS sebezhetőséget 2011-ben ... Olvass tovább (XSS) segít csökkenteni a kattintással történő támadások esélyét egy webhelyen. Mivel az XSS-t más támadásokhoz is használják, jó ötlet az ellen védekezni.

A mobil eszközön történő kattintásszerű támadás valószínűségének minimalizálása érdekében korlátozhat magadnak, hogy alkalmazásokat csak megbízható forrásokból töltsön le, például az Apple App Store-ból vagy a Google Play-ből Bolt. Noha ez nem garantálja a támadásoktól való mentességét, ezek az alkalmazások sokkal kisebb valószínűséggel tartalmaznak rosszindulatú kódot, mint azok, amelyeket egy harmadik féltől származó forrásból szereztek be.

Kerülheti az alkalmazáson belüli böngészők használatát is, mivel ez az érintőképernyős támadások gyakori helye. Állítsa be az alapértelmezett viselkedést a linkek megnyitásához az alkalmazásaiban, hogy a rendszer böngészőben nyisson meg, az alkalmazáson belüli böngésző helyett, és ezzel megszünteti a védelem további potenciális gyengeségeit.

Igazi fenyegetés

Mint már korábban említettük, a kattintással történő bántalmazás inkább bosszantónak hangzik, mint valódi veszélynek a biztonságra, de ha hatékonyan használják, segíthet a támadóknak néhány nagyon fontos információ ellopásában vagy hozzáférésében az online fiókokhoz, ahol súlyos cselekedetek lehetnek kár.

És bár a védelem nagy részének a színfalak mögül kell lennie, használhat forgatókönyvet kiterjesztések, amelyek megakadályozzák a legtöbb ilyen támadást - ha minden rendben van az ilyen kiegészítők használatával, pl ők kissé ellentmondásos AdBlock, NoScript & Ghostery - A Gonosz TrifectaAz elmúlt néhány hónapban számos olyan olvasóval kapcsolatba léptem velem, akiknek nehézségeik voltak az útmutatónk letöltésében, vagy miért nem látják a bejelentkezési gombokat vagy megjegyzéseket, amelyek nem töltődnek be; és ... Olvass tovább .

Tud valamilyen példát a nagyszabású kattintásszakadásokra, vagy ilyen áldozatok áldozatává váltak? Használ Nocriptet, vagy telepít semmilyen védelmet a saját webhelyén? Ossza meg gondolatait alább!

Kép jóváírása: Mozilla.

A Dann tartalomstratégiai és marketing tanácsadó, aki segíti a vállalatokat a kereslet előteremtésében és vezet. Blogokat ír a stratégiai és tartalommarketingről a dannalbright.com webhelyen.