Какво е Clickjacking и как да се предпазите от него

[ware_item id=33][/ware_item]

Хакерските и данните атаки се извършват по много начини, които помагат на нападателя да получи достъп до вашата информация. Но вероятно няма да знаете за използваната от хакерите техника Clickjacking. За разлика от социалното инженерство, SQL инжектирането, DDoS атаките и други, Clickjacking е този, който не се обсъжда много. Въпреки това, той е също толкова вреден и уязвим като другите.


Какво е clickjacking, как да го предотвратя и къде се намира? На всички тези въпроси тази статия ще ви помогне да отговорите. Въпреки това, е трудно да се идентифицира този метод на хакване.

Какво е Clickjacking?

Clickjacking, както изглежда по име, е техника, чрез която потребителят е хванат в капан чрез щракване върху каквото и да било. Извършва се по много начини, като измами потребителя, тъй като обектът, върху който щракват, е различен от този, който им се струва.

Адресът на потребителския интерфейс е друг термин, използван за щракване. Това е така, защото процесът включва техника, чрез която потребителският очакван интерфейс се поставя под друг прозрачен потребителски интерфейс. Ето защо потребителят, кликвайки върху нещо интересно, се оказва злонамерен за своето устройство и данни.

Друга тактика, използвана в този метод, е тази, която разсейва потребителя чрез промяна на позицията на курсора. Курсорът, показан на една позиция, всъщност е в друга. Чрез този нападател може да накара хората да кликват върху неща, които биха могли да дадат личната им информация.

Clickjacking включва редица такива необичайни и гениални атаки. Подобно беше съобщеното наскоро, в което невинно изглеждащо изображение в WhatsApp може да прехвърли контрола на акаунта ви на подателя на изображението, след като изображението бъде кликнато от получателя.

Какво е Clickjacking и как да се предпазите от него

Социално-инженерните атаки също са включени в категорията за щракване от някои индивиди. Например в twitter през 2009 г. беше разпространен туит, включващ връзка и фраза „не кликва“. И когато някой кликне върху него едно и също нещо, той е туитван и от акаунта си. Такъв метод се използва и за печелене на пари чрез връзки във фейсбук.

Ако предполагате, че щракването с клик става само чрез щракване, вие го сбъркате. Съобщава се и за Android устройство. Android.Lockdroid.E, android ransomware усилва контрол върху целевото устройство чрез кликване.

Как да се предотврати Clickjacking

Ако сте администратор на уебсайт, можете да предотвратите кликване. Но ако не, тогава няма много ефективни и полезни начини да избегнете кликване.

Въпреки това, един от най-препоръчваните начини за предотвратяване на кликване е използването на разширение на firefox без скрипт, докато сърфирате. Подобно на рекламата, избягваща разширения, No-script ще предотврати зареждането на всеки скрипт до определено удостоверяване от вас.

Не-скрипт с функции срещу щракване ще идентифицира скрипта, който генерира прозрачни наслагвания в уебсайтовете. Някои разширения с предотвратяване на функции на скрипта и изтегляне на приложения също могат да ви спестят от щракване.

Какво е Clickjacking и как да се предпазите от него

Администраторите на сайта обаче са начинът, по който могат да се получат най-добрите защитни защити от кликване. И все пак, повечето от тях са непроходими и технически. Но ако искате начинът да ги реализирате, можете да го проверите в Clickjacking Defense Cheat Sheet от OWASP.

За да спрете щракването с щракване, можете също така да включите HTTP заглавието с опции x-frame, което е един от най-ефективните начини за защита на вашия сайт. Той пречи съдържанието на уебсайта Ви да се зарежда в рамка (маркер) или iframe (маркер).

Облекчаване на заплахата е ефективен начин да се избегне кликването, тъй като тази тактика се използва като фасилитатор на атаки за щракване, както и други злонамерени атаки.

Опции за X-Frame, които можете да използвате

Има три възможни стойности за заглавката на опциите на X-frame;

Отказ:  страницата не може да бъде показана на кадър, дори ако сайтът се опитва да го направи

SAMEORIGIN: което позволява само на текущия сайт да рамкира съдържанието.

ДОБРЕ-ОТ УРИ:  Страницата може да се показва само в рамка с посочения произход.

Истинска грижа за всички в днешно време е всяка уязвимост в техните Android устройства. За да намалите шансовете за щракване върху вашия телефон, трябва да използвате автентични и надеждни приложения за изтегляне. Изтеглянето на приложения като Apple App Store или Google Play Store е по-малко вероятно да включват злонамерени неща в сравнение с всеки източник на трети страни, но те също така не са напълно свободни от такива уязвимости.

Браузърите в приложението са най-вероятно мястото, където можете да се сблъскате с атака на щракване. Така че, вместо да използвате браузъра в приложението, можете да зададете поведението по подразбиране за отваряне на връзки във вашите приложения, за да се отвори в системния браузър. Това ще има още един шанс да бъдете хванат в капан.

заключение

Clickjacking изглежда по-неприятно, отколкото всъщност е. Ако обаче се използва ефикасно и умело от нападател, това би могло да им даде достъп до вашата чувствителна информация и лични акаунти.

Clickjacking може да ви нанесе сериозна вреда, тъй като обикновено идва от безразборни източници. За да избегнете Clickjacking, можете да използвате разширения за блокиране на скриптове, но имайте предвид, че тези видове добавки също са малко противоречиви.