Co to jest Clickjacking i jak się przed nim chronić

[ware_item id=33][/ware_item]

Hakowanie i ataki na dane są przeprowadzane na wiele sposobów, które pomagają napastnikowi uzyskać dostęp do twoich informacji. Ale prawdopodobnie nie zdajesz sobie sprawy z techniki hakowania Clickjacking. W przeciwieństwie do inżynierii społecznej, iniekcji SQL, ataków DDoS i innych, Clickjacking to ten, o którym nie mówi się zbyt wiele. Jest jednak równie szkodliwy i wrażliwy, jak inne.


Co to jest clickjacking, jak temu zapobiec i gdzie można go znaleźć? Na wszystkie te pytania pomoże ten artykuł. jednak trudno jest zidentyfikować tę metodę włamania.

Co to jest Clickjacking?

Clickjacking, jak się wydaje z nazwy, jest techniką, w której użytkownik jest uwięziony poprzez kliknięcie na cokolwiek. Odbywa się to na wiele sposobów, oszukując użytkownika, ponieważ obiekt, który klikają, różni się od tego, co im się wydaje.

Adresowanie interfejsu użytkownika jest innym terminem używanym do klikania. Wynika to z faktu, że proces obejmuje technikę umieszczania interfejsu oczekiwanego przez użytkownika pod innym przezroczystym interfejsem użytkownika. Dlatego użytkownik klikający coś interesującego okazuje się złośliwy dla swojego urządzenia i danych.

Inną taktyką stosowaną w tej metodzie jest odwracanie uwagi użytkownika poprzez zmianę pozycji kursora. Kursor wyświetlany w jednej pozycji jest w rzeczywistości w innej. Za pomocą tego atakującego ludzie mogą klikać rzeczy, które mogłyby podać ich dane osobowe.

Clickjacking obejmuje szereg tak niezwykłych i pomysłowych ataków. Podobny był ten, w którym niedawno zgłoszono, w którym niewinnie wyglądający obraz na WhatsApp może przenieść kontrolę konta na nadawcę obrazu, po kliknięciu obrazu przez odbiorcę.

Co to jest Clickjacking i jak się przed nim chronić

Niektóre osoby również zaliczają ataki socjotechniczne do kategorii kliknięć. Na przykład w serwisie Twitter opublikowano w 2009 r. Tweet zawierający link i zwrot „nie klikaj”. A gdy ktoś kliknie to samo, tweetuje również z konta. Taką metodę stosuje się również do zarabiania pieniędzy poprzez linki na Facebooku.

Jeśli zakładasz, że kliknięcie odbywa się poprzez kliknięcie, mylisz się. Jest również zgłaszany na urządzeniu z Androidem. Android.Lockdroid.E, oprogramowanie ransomware dla Androida, przejmuje kontrolę nad docelowym urządzeniem poprzez kliknięcie.

Jak zapobiegać Clickjackingowi

Jeśli jesteś administratorem witryny, możesz zapobiec kliknięciu. Ale jeśli nie, to nie ma wielu skutecznych i użytecznych sposobów na uniknięcie kliknięcia.

Jednak jednym z najbardziej sugerowanych sposobów zapobiegania kliknięciom jest użycie rozszerzenia firefox bez skryptu podczas przeglądania. Tak jak w przypadku Reklamy unikającej rozszerzeń, No-script uniemożliwi ładowanie dowolnego skryptu do czasu pewnej autoryzacji od Ciebie.

Brak skryptu z funkcjami zapobiegającymi kliknięciu zidentyfikuje skrypt, który generuje przezroczyste nakładki na stronach internetowych. Niektóre rozszerzenia uniemożliwiające korzystanie ze skryptów i pobieranie aplikacji mogą również uratować Cię przed kliknięciem.

Co to jest Clickjacking i jak się przed nim chronić

Jednak administratorzy witryn są sposobem, dzięki któremu można uzyskać najlepszą ochronę przed kliknięciami. Jednak większość z nich jest zawiła i techniczna. Jeśli jednak chcesz je wdrożyć, możesz to sprawdzić na stronie OWASP w Clickjacking Defense Cheat Sheet od OWASP.

Aby zatrzymać klikanie, możesz także dołączyć nagłówek HTTP opcji x-frame, który jest jednym z najbardziej skutecznych sposobów ochrony witryny. Uniemożliwia ładowanie treści witryny do ramki (tagu) lub elementu iframe (tagu).

Eliminując zagrożenie, jest to skuteczny sposób na uniknięcie kliknięcia, ponieważ ta taktyka służy jako ułatwienie ataku w przypadku kliknięcia, a także innych złośliwych ataków.

Opcje X-Frame, których możesz użyć

Istnieją trzy możliwe wartości nagłówka opcji ramki X;

ZAPRZECZAĆ:  strona nie może być wyświetlana w ramce, nawet jeśli witryna spróbuje to zrobić

SAMEORIGIN: co pozwala tylko bieżącej witrynie na umieszczenie zawartości w ramce.

ALLOW-FROM uri:  Strona może być wyświetlana tylko w ramce o określonym pochodzeniu.

Prawdziwą troską wszystkich w dzisiejszych czasach jest luka w zabezpieczeniach urządzeń z Androidem. Aby zmniejszyć szanse na kliknięcie w telefonie, do pobierania należy używać autentycznych i zaufanych aplikacji. Pobieranie aplikacji takich jak Apple App Store lub Google Play Store jest mniej prawdopodobne, że zawierają złośliwe treści w porównaniu z jakimkolwiek źródłem strony trzeciej, ale nie są również w pełni wolne od takich luk.

Przeglądarki w aplikacji są najbardziej prawdopodobnym miejscem, w którym można spotkać się z atakiem typu „kliknięcie”. Zamiast korzystać z przeglądarki w aplikacji, możesz ustawić domyślne zachowanie otwierania linków w aplikacjach w przeglądarce systemowej. To da ci jeszcze jedną szansę na uwięzienie.

Wniosek

Clickjacking wydaje się bardziej uciążliwy niż w rzeczywistości. Jeśli jednak jest wykorzystywany przez napastnika w sposób wydajny i sprytny, może on zapewnić mu dostęp do poufnych informacji i kont osobistych.

Clickjacking może wyrządzić ci poważną szkodę, ponieważ zwykle pochodzi z niedyskryminacyjnego źródła. Aby uniknąć Clickjackingu, możesz użyć rozszerzeń blokujących skrypty, pamiętając jednak o tym, że tego rodzaju dodatki są również nieco kontrowersyjne.