Безопасность

Clickjacking: что это такое, и как вы можете избежать этого?

Clickjacking: что это такое, и как вы можете избежать этого?

Когда речь заходит о том, как хакеры и распространители вредоносного ПО получают доступ к вашему компьютеру, о некоторых вещах много говорят: социальная инженерия , SQL-инъекция DDoS-атаки и так далее. Но одна атака, о которой не говорят так много, и такая же гнусная, как и другие, заключается в краже кликов .

Джекджинг трудно обнаружить, он может затронуть практически любого и распространяется на самые разные операционные системы и приложения. Вот что вам нужно знать о кликджекинге, в том числе о том, что это такое, где вы его увидите и как защитить себя от этого.

Что такое Clickjacking?

Как вы, наверное, поняли из названия, клик-джеккинг — это процесс перехвата клика пользователем на компьютере (его также можно использовать для перехвата нажатий клавиш, но «угон клавиш» гораздо сложнее сказать). Есть несколько способов, которыми этот процесс может иметь место, но у всех них есть одна общая черта: пользователь думает, что он нажимает на одну вещь, а в действительности он нажимает на что-то другое.

Многие атаки, связанные с кликбэком, включают в себя прозрачный пользовательский интерфейс, размещенный поверх другого интерфейса, который пользователь ожидает увидеть (именно поэтому «перенаправление интерфейса» — это другое название этого метода). Затем, когда этот пользователь думает, что он нажимает на что-то, он фактически нажимает на что-то еще, что он не может видеть. Вы можете подумать, что нажимаете на ссылку, которая подпишет вас на интересную новостную рассылку новостными рассылками , когда вы нажимаете кнопку, которая дает киберпреступному доступ к вашей учетной записи электронной почты.

Другой тип атаки изменяет фактическую позицию курсора пользователя, но оставляет отображение нетронутым, так что курсор выглядит так, как будто он находится в одном месте, но фактически находится в другом. Похоже, это было бы большим раздражением, но его можно использовать, чтобы заставить людей нажимать на вещи, которые передают конфиденциальную информацию.

Некоторые другие творческие атаки также попадают под эгиду кликджекинга. Например, недавняя атака использовала вредоносное ПО для перенаправления поисковых запросов пользователей в Bing, Google и Yahoo на настраиваемые (и мошеннические) страницы результатов, которые были заполнены рекламой на основе Google-AdSense. Пользователи нажимали на объявления, полагая, что они являются законными результатами поиска, а злоумышленникам платят.

clickjack-прозрачность

Некоторые люди даже включают атаки типа социальной инженерии в перехвате кликов; Например, еще в 2009 году в Твиттере ходил твит с надписью «Не нажимай» и включал ссылку. Всякий раз, когда кто-то нажимает на ссылку, то же самое происходит в Твиттере с его аккаунта. Подобные методы были использованы для распространения генерирующих ссылки на Facebook.

Однако Clickjacking не ограничивается веб-сайтами и приложениями, в которых у пользователей есть мышь; это также может произойти на мобильных устройствах. Одним из недавних примеров является Android.Lockdroid.E, часть для Android-вымогателей о том, что для получения административных прав на целевое устройство использовались клик-джеккинг (или «сенсорный джек-джек», если вы предпочитаете). И недавно мы слышали об уязвимости Accessibility Clickjacking на Android. смартфоны и планшеты.

Что вы можете сделать, чтобы предотвратить кликбэк

К сожалению, вы не можете многое сделать, чтобы предотвратить кликбэк, если вы не являетесь администратором сайта. Безусловно, наиболее рекомендуемый метод защиты себя во время просмотра — это использование NoScript, надстройки Firefox, которая предотвращает загрузку сценариев без особой авторизации с вашей стороны. В NoScript есть некоторые функции, специально предназначенные для защиты от клик-джеккинга, и он действительно хорош при обнаружении сценариев, которые создают прозрачные наложения на веб-сайтах.

NoScript-светлячок

Любые аналогичные расширения, которые вы можете использовать для предотвращения загрузки скриптов или приложений. также обеспечит некоторую защиту.

Однако лучшая защита от перехвата кликов должна исходить от администраторов сайта. Многие из защит являются довольно техническими, и если вы хотите выяснить, как именно их реализовать, я рекомендую ознакомиться с Шпаргалкой по защите от Clickjacking от OWASP.

Один из лучших способов предотвратить клик-джекки на вашем сайте — это включить HTTP-заголовок x-frame-options, который предотвращает загрузку содержимого вашего сайта во фрейм (тег <frame>) или iframe (тег <iframe>). Поскольку они часто используются в качестве векторов атак — не только для взлома кликов, но и для других угроз — это эффективный способ смягчения угрозы.

х-каркасные варианты

Предотвращение межсайтового скриптинга (XSS) также поможет снизить вероятность атаки с помощью клик-джекинга сайт. Поскольку XSS также используется для других атак, в любом случае это хорошая защита от него.

Чтобы свести к минимуму вероятность нападения с помощью кликабинга на ваше мобильное устройство, вы можете ограничиться загрузкой приложений только из надежных источников, таких как Apple App Store или Google Play Store. Хотя это не является гарантией того, что вы будете свободны от атак, эти приложения с гораздо меньшей вероятностью содержат вредоносный код, чем те, которые вы получаете из сторонних источников.

Вы также можете избежать использования встроенных в приложение браузеров, так как это обычное место для атак с применением сенсорного взлома. Установите поведение по умолчанию для открытия ссылок в своих приложениях, чтобы оно открывалось в системном браузере вместо браузера в приложении, и вы устраните еще одну потенциальную слабость в своей защите.

Реальная угроза

Как упоминалось ранее, клик-джекджинг звучит скорее как раздражение, чем как реальная угроза вашей безопасности, но если он используется эффективно, он может помочь злоумышленникам украсть очень важную информацию или получить доступ к вашим онлайн-аккаунтам, где они могут нанести серьезный ущерб.

И хотя большая часть защиты должна происходить из-за кулис, вы можете использовать расширения блокировки сценариев, чтобы предотвратить большинство этих атак — если вы в порядке с использованием этих видов надстроек, так как они немного спорны .

Знаете ли вы о каких-либо крупномасштабных атаках с использованием «кликджекинга», или вы стали жертвой одной из этих атак? Используете ли вы NoScript или разворачиваете какие-либо средства защиты на своем веб-сайте? Поделитесь своими мыслями ниже!

Изображение предоставлено: Mozilla .

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16