
Owen Little
1
2726
124
Pokud jde o způsoby, jak hackeři a distributoři malwaru získat přístup k vašemu počítači, je zde několik věcí, o kterých se mluví: sociální inženýrství Co je sociální inženýrství? [MakeUseOf vysvětluje] Co je sociální inženýrství? [MakeUseOf vysvětluje] Můžete nainstalovat nejsilnější a nejdražší firewall tohoto odvětví. Můžete zaměstnance poučit o základních bezpečnostních postupech a důležitosti výběru silných hesel. Můžete dokonce zamknout serverovou místnost - ale jak ..., SQL injection Co je to SQL Injection? [MakeUseOf vysvětluje] Co je injekce SQL? [MakeUseOf vysvětluje] Svět bezpečnosti internetu je sužován otevřenými porty, zadními vrátkami, bezpečnostními dírami, trojskými koni, červy, zranitelnostmi v bráně firewall a spoustou dalších problémů, které nás každý den drží na nohou. Pro soukromé uživatele… útoky DDoS Co je útok DDoS? [MakeUseOf vysvětluje] Co je to útok DDoS? [MakeUseOf vysvětluje] Termín DDoS hvízdá minulosti, kdy kybernetický aktivismus chová masově hlavu. Tyto útoky dělají mezinárodní titulky z mnoha důvodů. Problémy, které tyto útoky DDoS naskočí, jsou často kontroverzní nebo vysoce… atd. Ale jeden útok, o kterém se nehovoří tolik, je stejně tak nebezpečný jako ostatní clickjacking.
Clickjacking je obtížné odhalit, může ovlivnit téměř každého a je rozšířen v celé řadě operačních systémů a aplikací. Zde je informace, které potřebujete vědět o klikání, včetně toho, co to je, kde to uvidíte, a jak se proti tomu chránit.
Co je Clickjacking?
Jak jste možná získali ze jména, clickjacking je proces únosu kliknutí uživatele na počítač (lze jej také použít k únosu klávesových zkratek, ale “keystrokejacking” je mnohem těžší říct). Tento proces se může uskutečnit několika způsoby, ale všichni mají jednu společnou věc: uživatel si myslí, že klikne na jednu věc, když ve skutečnosti klikne na něco jiného.
Mnoho útoků clickjackingu zahrnuje průhledné uživatelské rozhraní umístěné nad jiným rozhraním, které uživatel očekává, že ho uvidí (což je důvod, proč “Náprava UI” je jiné jméno pro tuto metodu). Poté, když si tento uživatel myslí, že na něco klikne, skutečně klikne na něco jiného, co nevidí. Můžete si myslet, že kliknete na odkaz, který vás přihlásí k příjemnému zpravodaji. Naučte se něco nového s 10 zasílání e-mailových zpravodajů za dobrou cenu Naučte se něco nového s 10 zasílání e-mailových zpravodajů za dobrou cenu Budete dnes překvapeni kvalitou zpravodajů. Přicházejí na scénu. Přihlaste se k odběru těchto deseti fantastických zpravodajů a zjistěte proč. , když skutečně klepnete na tlačítko, které například poskytuje kyberkriminální přístup k vašemu e-mailovému účtu.
Jiný typ útoku mění skutečnou polohu kurzoru uživatele, ale ponechá displej nedotčený, takže kurzor vypadá jako na jednom místě, ale ve skutečnosti je na jiném místě. Zní to, jako by to byla jen velká nepříjemnost, ale lze ji použít k tomu, aby lidé klikali na věci, které rozdávají citlivé informace. 10 kusů informací, které se používají k odcizení vaší identity, 10 kusů informací, které se používají k odcizení vaší identity. před americkým úřadem spravedlnosti, oběť krádeže identity stála v roce 2012 více než 24 miliard dolarů, což je více než společné vloupání domácností, krádeží motorových vozidel a majetku. Těchto 10 informací je to, co zloději hledají… .
Některé další kreativní útoky spadají pod deštník clickjackingu. Například nedávný útok použil část malwaru k přesměrování vyhledávání uživatelů na serverech Bing, Google a Yahoo na přizpůsobené (a podvodné) stránky s výsledky, které byly plné reklam poháněných Google-AdSense. Uživatelé by klikali na reklamy a mysleli si, že jsou legitimní výsledky vyhledávání, a útočníci by dostali zaplaceno.
Někteří lidé dokonce zahrnují útoky typu sociálního inženýrství do clickjackingu; například zpět v roce 2009 se kolem Twitteru objevil tweet “Neklikejte” a zahrnoval odkaz. Kdykoli někdo klikl na odkaz, stejná věc by byla vynechána z jeho účtu. Podobné techniky Pět hrozeb na Facebooku, které mohou infikovat váš počítač, a jak fungují Pět hrozeb na Facebooku, které mohou infikovat váš počítač a jak fungují, se používá k šíření odkazů vytvářejících peníze na Facebooku.
Clickjacking se však neomezuje pouze na weby a aplikace, na kterých mají uživatelé myš; může se to také stát na mobilních zařízeních. Jedním z posledních příkladů je Android.Lockdroid.E, kousek malwaru pro Android ransomware pro Android: 5 typů, které opravdu potřebujete vědět o malwaru na Androidu: 5 typů, které opravdu potřebujete vědět o malwaru, může ovlivnit mobilní i stolní zařízení . Ale nebojte se: trochu znalostí a správných opatření vás může ochránit před hrozbami, jako jsou podvody s ransomwarem nebo sexuálními podvody. který používal clickjacking (nebo “touchjacking,” pokud chcete) získat administrátorská práva k cílovému zařízení. A nedávno jsme slyšeli o zranitelnosti pro usnadnění přístupu v Androidu, jak mohou být služby Android Accessibility použity k hacknutí telefonu Jak mohou být služby Android Accessibility použity pro hacknutí telefonu Bezpečnostní vědci zjistili zranitelnost zabezpečení ve službě Android Accessibility Services, která by mohla umožnit útočník, který získá kontrolu nad zařízením. Uvidíme, jak tomu zabránit. chytré telefony a tablety.
Co můžete udělat, abyste zabránili Clickjackingu
Bohužel není toho mnoho, co můžete udělat, abyste zabránili clickjackingu, pokud nejste administrátorem webových stránek. Nejběžnějším doporučeným způsobem ochrany při procházení je použití NoScript, doplňku Firefox, který zabraňuje načtení skriptů bez konkrétního povolení od vás. NoScript má některé specificky anti-clickjacking funkce a je opravdu dobrý v detekci druhů skriptů, které vytvářejí transparentní překryvy na webových stránkách.
Jakákoli podobná rozšíření, která můžete použít k zabránění načítání skriptů nebo aplikací, ovládejte svůj webový obsah: základní rozšíření pro blokování sledování a skripty ovládejte svůj webový obsah: základní rozšíření pro blokování sledování a skriptů Pravda je, že vždy existuje někdo nebo něco, co monitoruje váš Internetová aktivita a obsah. Nakonec, čím méně informací necháme těmto skupinám, tím bezpečnější budeme. bude také poskytovat určitou ochranu.
Nejlepší obrana proti clickjackingu však musí pocházet od správců webu. Mnohé z obran jsou spíše technické, a pokud chcete zjistit, jak je přesně implementovat, doporučuji podívat se na Clickjacking Defence Cheat Sheet od OWASP.
Jedním z nejlepších způsobů, jak zabránit tomu, aby na vašem webu došlo ke kliknutí, by měl obsahovat záhlaví HTTP x-frame-options, které zabrání načtení obsahu vašeho webu do rámečku (značka) nebo iframe (značka). Protože se často používají jako útočné vektory - nejen pro clickjacking, ale také pro jiné hrozby - je to účinný způsob, jak tuto hrozbu zmírnit.
Prevence skriptování mezi weby Co je skriptování mezi weby (XSS) a proč je to bezpečnostní hrozba Co je to skriptování mezi weby (XSS) a proč je to bezpečnostní hrozba Chyby zabezpečení skriptování mezi weby jsou dnes největším problémem zabezpečení webových stránek. Studie zjistily, že jsou šokově běžné - 55% webových stránek obsahovalo zranitelnost XSS v roce 2011, podle nejnovější zprávy White Hat Security, vydané v červnu… (XSS), také pomůže snížit šanci na clickjacking útok na web. Vzhledem k tomu, že se XSS používá i pro jiné útoky, je stejně dobré chránit se proti němu.
Chcete-li minimalizovat pravděpodobnost útoku clickjacking na mobilní zařízení, můžete se omezit na stahování pouze aplikací z důvěryhodných zdrojů, jako je Apple App Store nebo Google Play Store. I když to není záruka, že budete bez útoků, u těchto aplikací je mnohem méně pravděpodobné, že budou obsahovat škodlivý kód, než ty, které získáte ze zdroje třetí strany..
Můžete se také vyhnout používání prohlížečů v aplikacích, protože to je běžné místo, kde mohou nastat útoky s touchjackingem. Nastavte výchozí chování pro otevírání odkazů v aplikacích, které se mají otevírat v systémovém prohlížeči namísto prohlížeče v aplikaci, a odstraníte další potenciální slabost ve své obraně.
Skutečná hrozba
Jak již bylo zmíněno, clickjacking zní jako nepříjemnost než skutečné ohrožení vaší bezpečnosti, ale pokud je používán efektivně, může útočníkům pomoci ukrást některé velmi důležité informace nebo získat přístup k vašim online účtům, kde by mohly způsobit vážné poškození..
A zatímco většina obrany musí vycházet ze zákulisí, můžete použít rozšíření blokující skripty, abyste zabránili většině těchto útoků - pokud jste v pořádku s používáním těchto druhů doplňků, protože jsou trochu kontroverzní AdBlock , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil V posledních několika měsících mě kontaktovalo velké množství čtenářů, kteří měli problémy se stahováním našich průvodců, nebo proč nemohou zobrazit přihlašovací tlačítka nebo komentáře se nenačítají; a… .
Znáte nějaké příklady rozsáhlých clickjacking útoků, nebo jste se stali obětí jednoho z těchto útoků? Používáte NoScript nebo nasazujete obranu na svůj vlastní web? Podělte se o své myšlenky níže!
Obrazový kredit: Mozilla.