Clickjacking: o que é, e como você pode evitá-lo?

Quando se trata de maneiras que hackers e distribuidores de malware obter acesso ao seu computador, há algumas coisas que se falou muito: Engenharia social

, injeção SQL, ataques DDoS, e assim por diante. Mas um ataque que não se falou sobre o máximo que é tão nefasto quanto os outros é clickjacking.O que é Engenharia Social? [MakeUseOf Explica]O que é Engenharia Social? [MakeUseOf Explica]Você pode instalar o firewall mais forte e mais caro da indústria. Você pode educar os funcionários sobre os procedimentos de segurança básicos e a importância de escolher senhas fortes. Você pode até mesmo bloquear-down sala do servidor - mas como ...consulte Mais informação

Clickjacking é difícil de detectar, pode afetar apenas cerca de ninguém, e está espalhada por uma ampla variedade de sistemas operacionais e aplicativos. Aqui está o que você precisa saber sobre o clickjacking, incluindo o que é, onde você vai vê-lo, e como proteger-se contra ela.

O que é Clickjacking?

Como você deve ter percebido a partir do nome, clickjacking é o processo de seqüestro clique de um usuário em um computador (que também pode ser usado para seqüestrar as teclas digitadas, mas “keystrokejacking” é muito mais difícil de dizer). Há uma série de maneiras que este processo pode ter lugar, mas todos eles têm uma coisa em comum: um usuário acha que eles estão clicando em uma coisa, quando, na realidade, eles estão clicando em outra coisa.

Muitos ataques de clickjacking incluem uma interface de usuário transparente colocada sobre a outra interface que o usuário está esperando para ver (que é por isso que “corrigir UI” é outro nome para este método). Então, quando o usuário pensa que eles estão clicando em algo, eles estão realmente clicar em outra coisa que eles não podem ver. Você pode pensar que você está clicando em um link que vai assinar-lo para um boletim legal, quando você está realmente clicar em um botão que lhe dá um acesso cibercriminoso à sua conta de e-mail, por exemplo.Aprender algo novo com 10 Worth-It-mail NewslettersAprender algo novo com 10 Worth-It-mail NewslettersVocê ficará surpreso com a qualidade dos boletins hoje. Eles estão fazendo um retorno. Inscrever-se para estes dez boletins fantásticos e descobrir o porquê.consulte Mais informação

Outro tipo de ataque muda a posição real do cursor do usuário, mas deixa tocar no visor, para que o cursor parece que está em um lugar, mas é realmente em outro. Parece que seria apenas um grande aborrecimento, mas ele pode ser usado para levar as pessoas a clicar em coisas que dão afastado informação sensível.

Alguns outros ataques criativas cair sob a égide de clickjacking, também. Por exemplo, um ataque recente usou um pedaço de malware para redirecionar buscas dos usuários no Bing, Google e Yahoo para páginas personalizadas (e fraudulentas) resulta que estavam cheios de anúncios Google-powered do AdSense. Os usuários clicam nos anúncios, pensando que eram resultado de buscas legítimos, e os atacantes seria pago.

clickjack-transparência

Algumas pessoas até mesmo incluir ataques de engenharia do tipo social na clickjacking- por exemplo, em 2009, um tweet estava indo em torno de Twitter que dizia “Não Clique” e incluiu um link. Sempre que alguém clicar no link, a mesma coisa seria twittou a partir de sua conta. técnicas similares foram usados ​​para espalhar links de dinheiro de geração no Facebook.Cinco Ameaças Facebook que podem infectar seu PC, e como eles funcionamCinco Ameaças Facebook que podem infectar seu PC, e como eles funcionamconsulte Mais informação

Clickjacking não se limita apenas aos sites e aplicativos nos quais os usuários têm um rato, embora- também pode acontecer em dispositivos móveis. Um exemplo recente é Android.Lockdroid.E, um pedaço de ransomware Android que clickjacking utilizado (ou “touchjacking”, se você preferir) para obter direitos administrativos para o dispositivo de destino. E nós temos ouvido recentemente sobre o vulnerabilidade de acessibilidade Clickjacking on Android smartphones e comprimidos.

O que você pode fazer para evitar Clickjacking

Infelizmente, não há um lote inteiro que você pode fazer para evitar clickjacking a menos que você é um administrador do site. De longe o método mais comumente recomendada de proteger a si mesmo, enquanto você está navegando é usar NoScript, o Firefox add-on que impede que os scripts de carregamento sem autorização específica de você. NoScript tem algumas características especificamente anti-clickjacking, e é realmente bons em detectar os tipos de scripts que criam sobreposições transparentes sobre websites.



noscript-firefox

Todas as extensões semelhantes que você pode usar para impedir que scripts ou aplicações de carregamento Também irá fornecer alguma proteção.Controlar o seu conteúdo Web: extensões essenciais para Rastreamento e Scripts BloquearControlar o seu conteúdo Web: extensões essenciais para Rastreamento e Scripts BloquearA verdade é que há sempre alguém ou algo monitorando sua atividade na Internet e conteúdo. Em última análise, a menos informação deixamos esses grupos têm o mais seguro estaremos.consulte Mais informação

As melhores defesas contra clickjacking, no entanto, precisa vir de administradores do site. Muitos dos defesas são bastante técnica, e se você quiser saber exatamente como implementá-los, eu recomendo verificar a Folha Clickjacking Defesa fraude da OWASP.

Uma das melhores maneiras de ir sobre prevenção de clickjacking em seu site para incluir um cabeçalho-frame-opções x HTTP que impede o conteúdo do seu site seja carregado em um quadro ( tag) ou iframe (

-frame-opções x

prevenção cross-site scripting (XSS) também irá ajudar a reduzir as chances de um ataque de clickjacking em um site. Porque XSS também é utilizado para outros ataques, é uma boa idéia para proteger contra ela de qualquer maneira.O que é Cross-Site Scripting (XSS), & Porque é uma ameaça à segurançaO que é Cross-Site Scripting (XSS), & Porque é uma ameaça à segurançaCross-site scripting vulnerabilidades são o maior problema de segurança site hoje. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, segundo o último relatório do White Hat Segurança, lançado em junho ...consulte Mais informação

Para minimizar a probabilidade de um ataque de clickjacking no seu dispositivo móvel, você pode querer restringir-se a apenas baixar aplicativos de fontes confiáveis, como a Apple App Store ou na Google Play Store. Enquanto isso não é uma garantia de que você estará livre de ataques, esses aplicativos são consideravelmente menos susceptíveis de incluir código malicioso que aqueles que você começa a partir de uma fonte de terceiros.

Você também pode evitar o uso de in-app navegadores, como este é um lugar comum para ataques touchjacking a ocorrer. Definir o comportamento padrão para ligação de abertura em seus aplicativos para abrir no navegador do sistema, em vez do navegador in-app, e você vai eliminar uma fraqueza mais potencial em sua defesa.

Uma ameaça real

Como mencionado antes, clickjacking soa como mais um aborrecimento do que uma ameaça real para a sua segurança, mas se for utilizada de forma eficaz, pode ajudar os atacantes roubar algumas informações muito importantes ou ter acesso às suas contas online, onde eles poderiam causar sérios danos.

E enquanto a maioria da defesa tem de vir de trás das cenas, você pode usar extensões de bloqueio de script para evitar que a maioria destes ataques - se você está bem com o uso desses tipos de add-ons, como eles são um pouco controversa.AdBlock, NoScript & Ghostery - O Trifecta Of EvilAdBlock, NoScript & Ghostery - O Trifecta Of EvilAo longo dos últimos meses, tenho sido contactado por um bom número de leitores que tiveram problemas para baixar nossos guias, ou porque eles não podem ver os botões de login ou comentários não loading- e em ...consulte Mais informação

Sabe de quaisquer exemplos de ataques de clickjacking grande escala, ou você tem sido vítima de um desses ataques? Você usa o NoScript ou implantar qualquer defesa em seu próprio site? Compartilhe seus pensamentos abaixo!


Artigos relacionados