Annons

När det gäller sätt som hackare och distributörer av skadlig programvara får åtkomst till din dator är det några saker som pratas mycket om: social teknik Vad är socialteknik? [MakeUseOf Explains]Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsrutiner och vikten av att välja starka lösenord. Du kan till och med låsa ner serverrummet - men hur ... Läs mer , SQL-injektion Vad är en SQL-injektion? [MakeUseOf Explains]Internetsäkerhetsvärlden plågas av öppna portar, bakdörrar, säkerhetshål, trojaner, maskar, brandväggssårbarheter och en mängd andra problem som håller oss alla på tårna varje dag. För privata användare, ... Läs mer , DDoS-attacker Vad är en DDoS-attack? [MakeUseOf Explains]Begreppet DDoS visslar förbi när cyberaktivismen leder upp en massa. Den här typen av attacker gör internationella rubriker på grund av flera orsaker. De frågor som hoppar igång dessa DDoS-attacker är ofta kontroversiella eller mycket ... Läs mer

instagram viewer
, och så vidare. Men en attack som inte pratar om så mycket som är lika besviken som de andra är clickjacking.

Clickjacking är svårt att upptäcka, kan påverka nästan vem som helst och är spridd över en mängd olika operativsystem och applikationer. Här är vad du behöver veta om clickjacking, inklusive vad det är, där du ser det och hur du kan skydda dig mot det.

Vad är Clickjacking?

Som du kanske har samlat från namnet är clickjacking processen att kapa en användares klick på en dator (den kan också användas för att kapa tangenttryckningar, men "keystrokejacking" är mycket svårare att säga). Det finns ett antal sätt som denna process kan ske, men de har alla en sak gemensamt: en användare tror att de klickar på en sak, när de i verkligheten klickar på något annat.

Många attacker av klickjackningar inkluderar ett transparent användargränssnitt placerat över ett annat gränssnitt som användaren förväntar sig att se (vilket är anledningen till att "UI redressing" är ett annat namn för den här metoden). När användaren tror att de klickar på något klickar de faktiskt på något annat som de inte kan se. Du kanske tror att du klickar på en länk som registrerar dig för en coolt nyhetsbrev Lär dig något nytt med 10 nyhetsbrev som är värda detDu kommer att bli förvånad över kvaliteten på nyhetsbrev idag. De gör comeback. Prenumerera på dessa tio fantastiska nyhetsbrev och ta reda på varför. Läs mer , när du faktiskt klickar på en knapp som till exempel ger en internetkriminell åtkomst till ditt e-postkonto.

En annan typ av attack ändrar den faktiska positionen för användarens markör, men lämnar skärmen orörd, så att markören ser ut som om den är på ett ställe, men faktiskt finns på en annan. Det låter som att det bara skulle vara en stor irritation, men det kan användas för att få människor att klicka på saker som ger bort känslig information 10 bitar information som används för att stjäla din identitetIdentitetsstöld kan vara kostsamt. Här är de tio informationen du behöver för att skydda så att din identitet inte blir stulen. Läs mer .

Vissa andra kreativa attacker faller också under paraplyet av clickjacking. Till exempel använde en nyligen attack en bit malware för att omdirigera användarnas sökningar på Bing, Google och Yahoo till anpassade (och bedrägliga) resultatsidor som var fulla av Google-AdSense-drevna annonser. Användare skulle klicka på annonserna och trodde att de var legitima sökresultat och angriparna skulle få betalt.

clickjack-transparens

Vissa människor inkluderar till och med attacker av socialt teknik i clickjacking; till exempel, tillbaka 2009, en tweet gick runt på Twitter som sa "Don’t Click" och inkluderade en länk. När någon klickade på länken skulle samma sak tweetas från sitt konto. Liknande tekniker Fem hot på Facebook som kan infektera din dator och hur de fungerar Läs mer har använts för att sprida pengargenererande länkar på Facebook.

Clickjacking är dock inte bara begränsat till webbplatser och appar där användare har en mus; det kan också hända på mobila enheter. Ett nytt exempel är Android. Lockdroid. E, en bit av Android ransomware Malware på Android: De fem typerna du verkligen behöver veta omMalware kan påverka såväl mobila som stationära enheter. Men var inte rädd: lite kunskap och rätt försiktighetsåtgärder kan skydda dig mot hot som ransomware och sextortionsbedrägerier. Läs mer som använde clickjacking (eller "touchjacking", om du föredrar) för att få administrativa rättigheter för målenheten. Och vi har nyligen hört talas om Tillgänglighet Clickjacking-sårbarhet på Android Hur Android-tillgänglighetstjänster kan användas för att hacka din telefonOlika säkerhetsproblem har hittats i Android: s tillgänglighetssvit. Men vad används den här programvaran till och med? Läs mer smartphones och surfplattor.

Vad du kan göra för att förhindra Clickjacking

Tyvärr finns det inte mycket du kan göra för att förhindra klickjacking om du inte är en webbplatsadministratör. Den absolut mest rekommenderade metoden för att skydda dig själv när du surfar är att använda NoScript, Firefox-tillägget som förhindrar att skript laddas utan specifik behörighet från du. NoScript har vissa specifikt anti-clickjacking-funktioner och är riktigt bra på att upptäcka vilka skript som skapar transparenta överlägg på webbplatser.

noscript-firefox

Alla liknande tillägg som du kan använda till förhindra att skript eller appar laddas Kontrollera ditt webbinnehåll: Viktiga tillägg för att blockera spårning och skriptSanningen är att det alltid finns någon eller något som övervakar din Internetaktivitet och innehåll. I slutändan, ju mindre information vi låter dessa grupper ha säkrare kommer vi att vara. Läs mer kommer också att ge ett visst skydd.

Det bästa försvaret mot klickjackning måste emellertid komma från webbplatsadministratörer. Många av försvaren är ganska tekniska, och om du vill ta reda på exakt hur de ska implementeras rekommenderar jag att du tittar på Clickjacking Defense Cheat Sheet från OWASP.

Ett av de bästa sätten att förhindra att klickjacka på din webbplats är att inkludera en HTTP-rubrik med alternativ ram-alternativ som förhindrar att webbplatsens innehåll laddas i en ram ( tag) eller iframe (

x-frame-options

Förebyggande cross-site scripting Vad är Cross-Site Scripting (XSS) och varför det är en säkerhetshotSäkerhetsproblem på flera webbplatser är det största säkerhetsproblemet på webbplatsen idag. Studier har visat att de är chockerande vanliga - 55% av webbplatserna innehöll XSS-sårbarheter 2011, enligt White Hat Securitys senaste rapport, släppt i juni ... Läs mer (XSS) kommer också att bidra till att minska risken för en klickjackningsattack på en webbplats. Eftersom XSS också används för andra attacker är det en bra idé att skydda mot det ändå.

För att minimera sannolikheten för ett klickjackningsattack på din mobila enhet kanske du vill begränsa att bara ladda ner appar från pålitliga källor, som Apple App Store eller Google Play Lagra. Även om detta inte är en garanti för att du kommer att vara fri från attacker, är dessa appar betydligt mindre benägna att inkludera skadlig kod än de som du får från en tredjepartskälla.

Du kan också undvika att använda webbläsare i appen, eftersom det här är en vanlig plats för touchjacking-attacker. Ställ in standardbeteendet för länköppning i dina appar så att den öppnas i systemwebbläsaren, istället för webbläsaren i appen, så eliminerar du ytterligare en eventuell svaghet i ditt försvar.

En riktig hot

Som nämnts tidigare låter clickjacking mer som en irritation än ett verkligt hot mot din säkerhet, men om det används effektivt, Det kan hjälpa angripare att stjäla mycket viktig information eller få tillgång till dina onlinekonton, där de kan göra allvar skada.

Och medan det mesta av försvaret måste komma bakom kulisserna kan du använda skriptblockering tillägg för att förhindra de flesta av dessa attacker - om du är okej med att använda den här typen av tillägg, som de är lite kontroversiell AdBlock, NoScript & Ghostery - Trifecta Of EvilUnder de senaste månaderna har jag kontaktats av ett stort antal läsare som har haft problem med att ladda ner våra guider, eller varför de inte kan se inloggningsknapparna eller kommentarerna inte laddas; och i... Läs mer .

Känner du till några exempel på storskaliga klickjackningsattacker, eller har du varit offer för ett av dessa attacker? Använder du NoScript eller distribuerar du några försvar på din egen webbplats? Dela dina tankar nedan!

Bildkredit: Mozilla.

Dann är en innehållsstrategi och marknadskonsult som hjälper företag att skapa efterfrågan och leder. Han bloggar också om strategi och innehållsmarknadsföring på dannalbright.com.