реклама
Когато става въпрос за начини, по които хакерите и разпространителите на зловреден софтуер получават достъп до вашия компютър, има някои неща, за които се говори много: социално инженерство Какво е социално инженерство? [MakeUseOf обяснява]Можете да инсталирате най-силната и скъпа защитна стена в бранша. Можете да обучавате служителите за основните процедури за сигурност и важността на избора на силни пароли. Можете дори да заключите стаята на сървъра - но как ... Прочетете още , SQL инжекция Какво е SQL инжектиране? [MakeUseOf обяснява]Светът на интернет сигурността е обсебен от отворени портове, заден план, дупки за сигурност, троянски коне, червеи, уязвимости на защитната стена и множество други проблеми, които ни поддържат всеки ден на пръстите на краката. За частни потребители ... Прочетете още , DDoS атаки Какво е DDoS Attack? [MakeUseOf обяснява]Терминът DDoS свирка миналото винаги, когато кибер-активизмът вдига главата си масово. Този вид атаки правят международни заглавия поради множество причини. Проблемите, които стартират тези DDoS атаки, често са противоречиви или силно ... Прочетете още , и така нататък. Но една атака, за която не се говори толкова много, че е толкова страшна, колкото другите clickjacking.
Clickjacking е трудно откриваем, може да засегне почти всеки и е разпространен в голямо разнообразие от операционни системи и приложения. Ето какво трябва да знаете за кликването, включително какво е, къде ще го видите и как да се предпазите от него.
Какво е Clickjacking?
Както може би сте се събрали от името, щракването с щракване е процес на отвличане на кликване на потребител върху a компютър (може да се използва и за отвличане на клавиши, но „натискането на клавиши“ е много по-трудно да казвам). Има няколко начина, по които този процес може да се осъществи, но всички те имат едно общо нещо: потребителят мисли, че щраква върху едно нещо, а в действителност кликва върху нещо друго.
Много атаки за щракване включват прозрачен потребителски интерфейс, поставен върху друг интерфейс, който потребителят очаква да види (поради което „преправяне на потребителския интерфейс“ е друго име за този метод). Тогава, когато този потребител мисли, че щраква върху нещо, всъщност кликва върху нещо друго, което не може да види. Може да мислите, че щракнете върху връзка, която ще ви регистрира за готин бюлетин Научете нещо ново с 10 заслужаващи електронни бюлетиниЩе се изненадате от качеството на бюлетините днес. Правят се завръщане. Абонирайте се за тези десет фантастични бюлетини и разберете защо. Прочетете още , когато всъщност щракнете върху бутон, който дава достъп до киберпрестъпници до вашия имейл акаунт, например.
Друг тип атака променя действителната позиция на курсора на потребителя, но оставя дисплея недокоснат, така че курсорът да изглежда, че е на едно място, но всъщност е на друго. Звучи, че ще бъде просто голямо досада, но може да се използва, за да накара хората да натискат неща, които раздават чувствителна информация 10 части информация, които се използват за открадване на самоличността виКражбата на самоличност може да струва скъпо. Ето 10-те части информация, която трябва да защитите, за да не бъде открадната вашата самоличност Прочетете още .
Някои други творчески атаки също попадат под чадъра на щракането. Например, скорошна атака използва парче злонамерен софтуер за пренасочване на търсенията на потребителите в Bing, Google и Yahoo към персонализирани (и измамни) страници с резултати, пълни с реклами, задвижвани от Google AdSense. Потребителите щракват върху рекламите, мислейки, че са законни резултати от търсенето и нападателите ще получат заплащане.
Някои хора дори включват атаки от социален инженеринг в клик-джакинг; например през 2009 г. в Туитър обикаляше туитър, който казваше „Не кликвайте“ и включва връзка. Всеки път, когато някой кликне на връзката, същото ще бъде туитвано от профила му. Подобни техники Пет заплахи от Facebook, които могат да заразят вашия компютър и как работят Прочетете още са били използвани за разпространение на връзки за генериране на пари във Facebook.
Clickjacking обаче не е ограничен само до уебсайтове и приложения, в които потребителите имат мишка; това може да се случи и на мобилни устройства. Един скорошен пример е Android. Lockdroid. Д, парче от Изтегляне на Android Зловреден софтуер за Android: 5-те вида, които наистина трябва да знаетеЗловредният софтуер може да засегне мобилни, както и настолни устройства. Но не се страхувайте: малко познание и правилните предпазни мерки могат да ви предпазят от заплахи като измамници и измами. Прочетете още който използва щракването (или „touchjacking“, ако предпочитате), за да получи административни права на целевото устройство. И наскоро чухме за това Достъпност Уязвимостта на Clickjacking на Android Как услугите за достъпност на Android могат да се използват за хакване на телефона виВ пакета за достъпност на Android бяха открити различни уязвимости в сигурността. Но за какво е използван този софтуер? Прочетете още смартфони и таблети.
Какво можете да направите, за да предотвратите щракването
За съжаление, не може да направите много, за да предотвратите кликването, освен ако не сте администратор на уебсайт. Далеч най-често препоръчваният метод за защита на себе си, докато разглеждате, е да използвате NoScript, добавката на Firefox, която предотвратява зареждането на скриптове без конкретно разрешение от ти. NoScript има някои специфични функции срещу щракване и наистина е добър в откриването на видовете скриптове, които създават прозрачни наслагвания на уебсайтове.
Всякакви подобни разширения, които можете да използвате предотвратяване на зареждане на скриптове или приложения Контролирайте уеб съдържанието си: Основни разширения за блокиране на проследяване и скриптовеИстината е, че винаги има някой или нещо, което наблюдава вашата интернет активност и съдържание. В крайна сметка, колкото по-малко информация даваме на тези групи, толкова по-сигурно ще бъдем. Прочетете още ще осигури и известна защита.
Най-добрите защити срещу щракване обаче трябва да идват от администраторите на сайта. Много от защитите са по-скоро технически и ако искате да разберете как точно да ги внедрите, препоръчвам да проверите листата за манипулиране на Clickjacking Defense от OWASP.
Един от най-добрите начини за предотвратяване на кликването върху вашия сайт, за да се включи HTTP заглавието с опции x-frame, което предотвратява зареждането на съдържанието на вашия сайт в рамка ( етикет) или iframe (
Предотвратяване скриптове на място Какво е скрипт на различни сайтове (XSS) и защо това е заплаха за сигурносттаУязвимостите за скрипт на различни сайтове са най-големият проблем за сигурността на уебсайтовете днес. Според проучванията те са шокиращо често срещани - 55% от уебсайтовете съдържат XSS уязвимости през 2011 г., според последния доклад на White Hat Security, публикуван през юни ... Прочетете още (XSS) също ще помогне за намаляване на шансовете за атака с щракване върху даден сайт. Тъй като XSS се използва и за други атаки, е добре да се предпазите от него.
За да сведете до минимум вероятността от атака с щракване върху вашето мобилно устройство, може да искате да ограничите сами да изтегляте приложения само от надеждни източници, като Apple App Store или Google Play Store. Въпреки че това не е гаранция, че няма да бъдете атакувани, е много по-малко вероятно тези приложения да включват злонамерен код от тези, които получавате от източник на трета страна.
Можете също така да избегнете използването на браузъри в приложението, тъй като това е често срещано място за поява на атаки с докосване. Задайте поведението по подразбиране за отваряне на връзки в приложенията си, за да се отваря в системния браузър, вместо в браузъра в приложението, и ще премахнете още една потенциална слабост във вашата защита.
Истинска заплаха
Както споменахме по-горе, щракването с клик звучи по-скоро като досада, отколкото като реална заплаха за сигурността ви, но ако се използва ефективно, това може да помогне на нападателите да откраднат много важна информация или да получат достъп до вашите онлайн акаунти, където биха могли да направят сериозно щета.
И докато по-голямата част от защитата трябва да идва отвъд кулисите, можете да използвате скрипт блокиране разширения за предотвратяване на повечето от тези атаки - ако не сте добре с използването на тези видове добавки, като те са малко спорно AdBlock, NoScript & Ghostery - Трифекта на злотоПрез последните няколко месеца се свързах с голям брой читатели, които са имали проблеми при изтеглянето на нашите ръководства или защо не могат да видят бутоните за вход или коментарите да не се зареждат; и в... Прочетете още .
Знаете ли за някакви примери за мащабни клик-джак атаки или сте били жертва на някоя от тези атаки? Използвате ли NoScript или разгръщате защити на собствения си уебсайт? Споделете мислите си по-долу!
Кредит за изображение: Mozilla.
Дан е стратегия за съдържание и маркетингов консултант, който помага на компаниите да генерират търсене и да водят. Той също така блогове за стратегия и маркетинг на съдържанието в dannalbright.com.